Auditoría de Sistemas Informáticos

21 de Marzo 2015
Contenido del curso

(Fuente: Syllabus del curso, actualizado al 25/11/2014)

En la clase anterior…
(OPE) Operaciones, mantenimiento y soporte de
sistemas de información
• Gestión de operaciones de TI
• Gestión de servicios de TI
• Gestión de incidentes y problemas
• Registro de errores
• Monitoreo de hardware
• Planificación y monitoreo de la capacidad

(SEC) Protección de los activos de información

• Políticas de Seguridad de Información: contenido, consideraciones

• Controles de acceso
• Identificación y autenticación
• Autorización
• Controles ambientales / controles físicos

Controles de Aplicación de TI

• Clasificación
• Evaluación
Prueba de auditoria. Las pruebas cómo
fuente de satisfacción de auditoría.
Concepto de evidencia. Prueba de
controles clave. Procedimientos
sustantivos.
Semana 11
 Temas a tratar
Pruebas de auditoría /
Prueba de controles
Reportando
clave / Las pruebas Prueba de controles
Concepto de evidencia debilidades de control
como fuente de sustantivos
interno
satisfacción de la
auditoría
Emisión de
informes de
auditoría (Semana
08)

Controles
Pruebas
generales de TI Evidencia de
sustantivas Hallazgos
(Semana 09 y auditoría
(Semana 06)
Semana 10)

Informe de
auditoría
Evidencia de auditoría
• “La evidencia de auditoría es la información que
obtiene el auditor para extraer conclusiones en las
cuales sustenta su opinión”.

• Características de la evidencia competente y

suficiente:
– Relevante: ayuda al auditor a llegar a una conclusión
respecto a los objetivos específicos de auditoría.
– Auténtica: es verdadera en todas sus características.
– Verificable: permite que dos o más auditores lleguen
por separado a las mismas conclusiones, en iguales
circunstancias.
– Neutral: debe estar libre de prejuicios. Si el asunto
bajo estudio es neutral, no debe haber sido diseñado
para apoyar intereses especiales.

(Fuente: Auditool.org)
Evidencia de auditoría: tipos

Física (fotos,
Documental
mapas, etc.)

Analítica
Testimonial
(comparaciones,
(entrevistas)
cálculos)
Evidencia de auditoría:
ejemplos

Evidencia física

(Fuente: http://kissconcept.blogspot.com/ )
 Evidencia de auditoría: ejemplos

Evidencia documental

(Fuente: http://www.reniec.gob.pe/portal/pdf/certificacion/erep_politica_de_seguridad.pdf )
Evidencia de auditoría: ejemplos

Evidencia testimonial

Documento que recopila las indagaciones

realizadas en entrevistas al equipo de
Sistemas de una compañía.

(Fuente: Elaboración propia)

Evidencia de auditoría: ejemplos

Evidencia analítica

Archivo de análisis de los resultados de

información obtenida de la red de datos.

(Fuente: Elaboración propia)

 Hallazgos
• Hechos o circunstancias
que constituyen una falla
recurrente del proceso
evaluado.
Hallazgo
• Su impacto puede ser
negativo en el desarrollo
de las operaciones y del
negocio en la
Fortaleza Debilidad organización.

• Los hallazgos se apoyan

en las evidencias; una vez
Observación No
(riesgo alto o conformidad
identificados, se deben
medio) (riesgo bajo) informar a los
Informe de responsables de la unidad
auditoría evaluada.
Informe de auditoría
Sumilla
Título de la observación.

Condición
Descripción del hallazgo negativo identificado. Informe
borrador

Criterio Discusión
Políticas, normas o estándares trasgredidos.
con el
auditado

Riesgo (impacto)
Consecuencia real o potencial.

Recomendación
Opinión del auditor.

Descargo Informe final

Respuesta del auditado, plan de acción y fecha estimada de implementación.
 Caso: Protección de los activos de
información
Sumilla
• Se deben fortalecer el monitoreo de los accesos a los sistemas de información.

Condición
• Se identificó que si bien existe un procedimiento de revisión periódica de los accesos de los usuarios en
los sistemas de información, éste no ha sido formalizado.
Criterio
• El proceso de COBIT DSS05.04: Gestionar la identidad del usuario y el acceso lógico, recomienda realizar
regularmente revisiones de gestión de todas las cuentas y privilegios relacionados.
Riesgo
• Esta situación expone a la Compañía al riesgo de acceso a información confidencial sin ser detectado
oportunamente, y a ejecutar opciones que no corresponden a las funciones y responsabilidades
asignadas a los usuarios.
• Impacto: Medio.

Recomendación
• Recomendamos que la Jefatura de Sistemas formalice el procedimiento de revisión periódica de los
accesos de los usuarios en los sistemas de información, y documentar los resultados de la validación por
parte de los jefes de área. Esta revisión debería realizarse por lo menos una vez al año.
Próxima clase…
• Semana 12:
– Separación de funciones (SoD)

• Tercera Práctica:
– Semanas 08: Papeles de trabajo, emisión
de informes de auditoría.
– Semana 09 y 10: Controles Generales de
TI, Controles de Aplicación
– Semana 11: Pruebas de auditoría,
Pruebas sustantivas, Evidencia
(Reportando debilidades de control
Interno: Examen Final).
 ¡Gracias!
Ing. Johana Cevallos Vera
c14171@grupoutp.edu.pe