Auditoria de Sistemas de Información.

Ing. Mag. Elmer Ruiz Trigozo

10/04/23

El Auditor de Sistemas de Información

10/04/23

1 Temas a Cubrir

El Auditor de Sistemas de InformaciónPolíticas, estándares, lineamientos y procedimientosAuditor VS AuditadoEl Auditor es un puesto ejecutivoEntendiendo la Estructura Organizacional de la Corporación

10/04/23

1.1 El Auditor de Sistemas de Información

Entendiendo la Demanda de Auditorías de los Sistemas de InformaciónActivoAmenazaVulnerabilidadEl Auditor debe verificar que los activos, amenazas, y vulnerabilidades están identificadas y administradas apropiadamente para reducir el riesgo.

10/04/23

1.2 Políticas, estándares, lineamientos y procedimientos

Código de Ética profesional ISACAPrevención de Conflictos ÉticosPropósito de una AuditoríaTipos Básicos de AuditoríaResponsabilidad del AuditorAuditorías VS Valoraciones

10/04/23

10/04/23

1.2.1 Código de Ética profesional ISACA

Soportar la implementación de políticas, estándares y lineamientosRealizar sus actividades con objetividad y cuidado profesionalServir los intereses de los interesados de manera honesta y legalMantener la privacidad y confidencialidad de la informaciónEntregar resultados precisos sobre todos los hechos relevantes

10/04/23

1.2.2 Prevención de Conflictos Éticos

Violaciones de Derechos de AutorLos culpables obtienen amnistíaSigue tus propias reglas. No fallesRecuerda a todos los encarceladosNO violes la leyReporta las violaciones rápido (el primero obtiene amnistía)

10/04/23

1.2.3 Propósito de una Auditoría

Una auditoría es sólo una revisión de la historia pasadaSe espera que el auditor siga un proceso definido para la auditoría, establezca un criterio para la auditoría, recopile evidencia significativa, y presente una opinión independiente sobre los controles internos.

10/04/23

1.2.4 Tipos Básicos de Auditoría

Auditorías Internas y ValoracionesAuditorías InternasAuditorías Independientes

10/04/23

1.2.4 Tipos Básicos de Auditoría (cont.)

Auditorías de ProductosAuditorías FinancierasAuditorías OperativasAuditorías IntegradasAuditorías de Cumplimiento (de normas)Auditorías AdministrativasAcreditación o certificación de Sistemas de Información

10/04/23

1.2.5 Responsabilidad del Auditor

Debe cumplir una relación fiduciariaUna Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interésEl Auditor NO debe anteponer nunca los intereses del auditado a la verdad

10/04/23

1.2.6 Auditorías VS Valoraciones

Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad)Valoraciones (Assessment): Menos formal que la Auditoría. Su principal función es para que el personal pueda trabajar para mejorar.

10/04/23

1.3 Auditor VS Auditado

Aplicación de una prueba de IndependenciaEstándares de AuditoríasEstándar de Auditoría de Sistemas de Información ISACARegulaciones Específicas que definen Mejores Prácticas

10/04/23

1.3.1 Aplicación de una prueba de Independencia

¿Audita algo que Usted desarrolló?¿Está libre de influencias del auditado que puedan afectar su juicio?¿Tiene alguna relación de negocios o financiera con el auditado?¿Su posición en la empresa es bajo las órdenes del área auditada?¿Recibe regalos o favores especiales?

10/04/23

1.3.2 Estándares de Auditorías

American Institute of Certified Public Accountants (AICPA)Financial Accounting Standards Board (FASB)Generally Accepted Accounting Principles (GAAP).Committee of Sponsoring Organizations of the Treadway Commission (COSO),Public Company Accounting Oversight Board (PCAOB)Organization for Economic Cooperation and Development (OECD)U.S. National Institute of Standards and Technology (NIST)U.S. Federal Information Security Management Act (FISMA)IS Audit and Control Association (ISACA)Basel Accord Standard II (Basel II)

10/04/23

TAREA # 1Investigar brevemente los Organismos de Estándares anteriores

10/04/23

1.3.3 Estándares de Auditoría de Sistemas de Información ISACA

S1 Audit CharterS2 IndependenceS3 Professional Ethics and Standards of ConductS4 Professional CompetenceS5 Planning S6 Performance of Audit Work S7 Audit Reporting S8 Follow-up Activities S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Analysis in Audit Planning S12 Audit Materiality S13 Using the Work of Other People S14 Proper Audit Evidence S15 Effective IT Controls S16 Electronic Commerce Controls

10/04/23

1.3.4 Regulaciones Específicas que definen Mejores Prácticas

10/04/23

1.4 El Auditor es un puesto ejecutivo

La importancia de la confidencialidad del AuditorConservar la Documentación de la AuditoríaProveer buena comunicación e integraciónResponsabilidades de LiderazgoPlanear y fijar prioridadesTratar con conflictos y fallasEl valor de Auditores Internos y ExternosEntender la regla de la EvidenciaIdentificar a quién se necesita entrevistar

10/04/23

1.4.1 La importancia de la confidencialidad del Auditor

La información sensible no debe salir de las oficinasEl Auditor debe pedir consejo legal sobre las leyes de confidencialidadLos “papeles de trabajo” deben estar protegidos con control de acceso y respaldosConsiderar seguridad en laptopsSe crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente

10/04/23

1.4.2 Conservar la Documentación de la Auditoría

En muchos casos se debe retener la documentación por 7 añosDurante la planeación de la auditoría se debe saber si el período es mayor o menorSi el cliente pierde la documentación es su problema

10/04/23

1.4.3 Proveer buena comunicación e integración

Establecer respeto mutuoNo culpar a un individuoApegarse a los hechos

10/04/23

1.4.4 Responsabilidades de Liderazgo

Su tipo de liderazgo debe identificar cuando sus direcciones son mandatarias o sujetas a comentarios.El líder debe desarrollar objetivos específicos para el éxito y compartir esos planes.

10/04/23

1.4.5 Planear y fijar prioridades

Una buena auditoría es el resultado de una planeación apropiadaResponsabilidades del Auditor durante la fase de Planeación:

Entender el negocio del cliente Respetar los ciclos del negocio (Anuales,

semestrales, trimestrales) Establecer prioridades Seleccionar una estrategia con base en el riesgo y la

información conocida Encontrar a la gente para tu equipo de auditoría Coordinar la logística de recursos y lugar de trabajo

10/04/23

Responsabilidades del Auditor durante la fase de Planeación: Solicitar documentación Programar el tiempo y disponibilidad

de la gente Coordinar viajes y alojamiento Planear retrasos

10/04/23

1.4.6 Tratar con conflictos y fallas

Cierto nivel de conflicto es inevitable y las fallas son siempre posibles

10/04/23

1.4.7 El valor de Auditores Internos y Externos

A los Auditores Externos se les paga para ser revisores de una organizaciónLos Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa

10/04/23

1.4.8 Entender la regla de la Evidencia

Sin evidencia una reclamación no se puede verificar. La evidencia soporta la reclamaciónNo se puede formular una opinión cuando falta evidencia en cantidad, relevancia y confiabilidad aceptables

10/04/23

1.4.9 Identificar a quién se necesita entrevistar

Es importante reconocer a quién entrevistar y durante cuánto tiempoPrestar atención al costo del tiempo de los demás

10/04/23

1.5 Entendiendo la Estructura Organizacional de la Corporación

Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización

10/04/23

1.5.1 Identificando Roles en la Estructura Organizacional de una Corporación

10/04/23

1.5.2 Identificando Roles en la Estructura Organizacional de una Firma de Consultoría

10/04/23