You are on page 1of 33

Auditoria de Información.

Sistemas

de

Ing. Mag. Elmer Ruiz Trigozo

16/04/2013

El Auditor de Sistemas de Información

16/04/2013

1 Temas a Cubrir
El Auditor de Sistemas de Información Políticas, estándares, lineamientos y procedimientos Auditor VS Auditado El Auditor es un puesto ejecutivo Entendiendo la Estructura Organizacional de la Corporación

16/04/2013

y vulnerabilidades están identificadas y administradas apropiadamente para reducir el riesgo. amenazas.1 El Auditor de Sistemas de Información Entendiendo la Demanda de Auditorías de los Sistemas de Información Activo Amenaza Vulnerabilidad El Auditor debe verificar que los activos.1. 16/04/2013 .

lineamientos y procedimientos Código de Ética profesional ISACA Prevención de Conflictos Éticos Propósito de una Auditoría Tipos Básicos de Auditoría Responsabilidad del Auditor Auditorías VS Valoraciones 16/04/2013 .1.2 Políticas. estándares.

16/04/2013 .

2.1.1 Código de Ética profesional ISACA Soportar la implementación de políticas. estándares y lineamientos Realizar sus actividades con objetividad y cuidado profesional Servir los intereses de los interesados de manera honesta y legal Mantener la privacidad y confidencialidad de la información Entregar resultados precisos sobre todos los hechos relevantes 16/04/2013 .

2 Prevención de Conflictos Éticos Violaciones de Derechos de Autor Los culpables obtienen amnistía Sigue tus propias reglas.2. No falles Recuerda a todos los encarcelados NO violes la ley Reporta las violaciones rápido primero obtiene amnistía) 16/04/2013 (el .1.

16/04/2013 . establezca un criterio para la auditoría.1.3 Propósito de una Auditoría Una auditoría es sólo una revisión de la historia pasada Se espera que el auditor siga un proceso definido para la auditoría.2. recopile evidencia significativa. y presente una opinión independiente sobre los controles internos.

4 Tipos Básicos de Auditoría Auditorías Internas y Valoraciones Auditorías Internas Auditorías Independientes 16/04/2013 .2.1.

4 Tipos Básicos de Auditoría (cont.2.1.) Auditorías de Productos Auditorías Financieras Auditorías Operativas Auditorías Integradas Auditorías de Cumplimiento (de normas) Auditorías Administrativas Acreditación o certificación de Sistemas de Información 16/04/2013 .

5 Responsabilidad del Auditor Debe cumplir una relación fiduciaria Una Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interés El Auditor NO debe anteponer nunca los intereses del auditado a la verdad 16/04/2013 .2.1.

16/04/2013 .6 Auditorías VS Valoraciones Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad) Valoraciones (Assessment): Menos formal que la Auditoría.1. Su principal función es para que el personal pueda trabajar para mejorar.2.

3 Auditor VS Auditado Aplicación de una prueba de Independencia Estándares de Auditorías Estándar de Auditoría de Sistemas de Información ISACA Regulaciones Específicas que definen Mejores Prácticas 16/04/2013 .1.

1.3.1 Aplicación de una prueba de Independencia ¿Audita algo que Usted desarrolló? ¿Está libre de influencias del auditado que puedan afectar su juicio? ¿Tiene alguna relación de negocios o financiera con el auditado? ¿Su posición en la empresa es bajo las órdenes del área auditada? ¿Recibe regalos o favores especiales? 16/04/2013 .

1. Committee of Sponsoring Organizations of the Treadway Commission (COSO).S.S. Federal Information Security Management Act (FISMA) IS Audit and Control Association (ISACA) Basel Accord Standard II (Basel II) 16/04/2013 . Public Company Accounting Oversight Board (PCAOB) Organization for Economic Cooperation and Development (OECD) U. National Institute of Standards and Technology (NIST) U.3.2 Estándares de Auditorías American Institute of Certified Public Accountants (AICPA) Financial Accounting Standards Board (FASB) Generally Accepted Accounting Principles (GAAP).

TAREA # 1 Investigar brevemente los Organismos de Estándares anteriores 16/04/2013 .

3.3 Estándares de Auditoría de Sistemas de Información ISACA S1 Audit Charter S2 Independence S3 Professional Ethics and Standards of Conduct S4 Professional Competence S5 Planning S6 Performance of Audit Work S7 Audit Reporting S8 Follow-up Activities S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Analysis in Audit Planning S12 Audit Materiality S13 Using the Work of Other People S14 Proper Audit Evidence S15 Effective IT Controls S16 Electronic Commerce Controls 16/04/2013 .1.

3.4 Regulaciones Específicas que definen Mejores Prácticas 16/04/2013 .1.

4 El Auditor es un puesto ejecutivo La importancia de la confidencialidad del Auditor Conservar la Documentación de la Auditoría Proveer buena comunicación e integración Responsabilidades de Liderazgo Planear y fijar prioridades Tratar con conflictos y fallas El valor de Auditores Internos y Externos Entender la regla de la Evidencia Identificar a quién se necesita entrevistar 16/04/2013 .1.

1.4.1 La importancia de la confidencialidad del Auditor La información sensible no debe salir de las oficinas El Auditor debe pedir consejo legal sobre las leyes de confidencialidad Los “papeles de trabajo” deben estar protegidos con control de acceso y respaldos Considerar seguridad en laptops Se crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente 16/04/2013 .

2 Conservar la Documentación de la Auditoría En muchos casos se debe retener la documentación por 7 años Durante la planeación de la auditoría se debe saber si el período es mayor o menor Si el cliente pierde la documentación es su problema 16/04/2013 .1.4.

4.3 Proveer buena comunicación e integración Establecer respeto mutuo No culpar a un individuo Apegarse a los hechos 16/04/2013 .1.

4. 16/04/2013 .1.4 Responsabilidades de Liderazgo Su tipo de liderazgo debe identificar cuando sus direcciones son mandatarias o sujetas a comentarios. El líder debe desarrollar objetivos específicos para el éxito y compartir esos planes.

semestrales.4. trimestrales) Establecer prioridades Seleccionar una estrategia con base en el riesgo y la información conocida Encontrar a la gente para tu equipo de auditoría Coordinar la logística de recursos y lugar de trabajo 16/04/2013 .5 Planear y fijar prioridades Una buena auditoría es el resultado de una planeación apropiada Responsabilidades del Auditor durante la fase de Planeación:       Entender el negocio del cliente Respetar los ciclos del negocio (Anuales.1.

Responsabilidades del Auditor durante la fase de Planeación:     Solicitar documentación Programar el tiempo y disponibilidad de la gente Coordinar viajes y alojamiento Planear retrasos 16/04/2013 .

6 Tratar con conflictos y fallas Cierto nivel de conflicto es inevitable y las fallas son siempre posibles 16/04/2013 .4.1.

4.7 El valor de Auditores Internos y Externos A los Auditores Externos se les paga para ser revisores de una organización Los Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa 16/04/2013 .1.

1. relevancia y confiabilidad aceptables 16/04/2013 . La evidencia soporta la reclamación No se puede formular una opinión cuando falta evidencia en cantidad.8 Entender la regla de la Evidencia Sin evidencia una reclamación no se puede verificar.4.

9 Identificar a quién se necesita entrevistar Es importante reconocer a quién entrevistar y durante cuánto tiempo Prestar atención al costo del tiempo de los demás 16/04/2013 .1.4.

5 Entendiendo la Estructura Organizacional de la Corporación Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización 16/04/2013 .1.

5.1 Identificando Roles en la Estructura Organizacional de una Corporación 16/04/2013 .1.

5.2 Identificando Roles en la Estructura Organizacional de una Firma de Consultoría 16/04/2013 .1.