UNIVERSIDAD DE LAS FUERZAS

ARMADAS ESPE EXTENSIÓN LATACUNGA

DEPARTAMENTO DE CIENCIAS ECONÓMICAS,

ADMINISTRATIVAS Y DEL COMERCIO

TEMA: MAPA CONCEPTUAL

ASIGNATURA NRC
AUDITORÍA INFORMÁTICA 3378
ESTUDIANTE: L00366612
PROFESOR(A): ING. LUIS LEMA

historia de la preparación
para la auditoría
El concepto de
"preparación para la
auditoría" comenzó en el
Gobierno Federal de los
EE.UU., un organismo en
el que históricamente no se
habían exigido auditorías
independientes de los
estados financieros
GUÍA DEFINITIVA
PARA LA
PREPARACIÓN PARA
LA AUDITORÍA
Superación del dolor de
los requisitos de
cumplimiento de TI
surge la necesidad de la responsabilidad adicional de Simplemente tratar con el
buscar personas asegurar el cumplimiento propio marco de riesgo y
control de una organización
capacitadas, de preferencia normativo de TI y alternativamente
externas (imparciales), para se ven obligados a gastar el tiempo, y el múltiples subcategorías
de controles de aplicaciones
que se desarrollen esfuerzo y dinero en cumplir los
mecanismos de y controles generales de TI
requisitos de auditor con los cuales pueden ser una un reto que
supervisión, vigilancia y pueden no estar de acuerdo. requiere una gran cantidad
control de los empleados Además, la dirección ejecutiva de recursos.
que integran y normalmente equivale a más
desempeñan las funciones presupuestos y gastos en
relativas a la actividad cumplimiento de una mayor
operacional de la empresa seguridad
 dentificar Y Evaluar Sus Riesgos,
Empezando Por Los Que Son
Estratégicos En Cuanto A Su
Impacto, Incluidos Los Riesgos
Reglamentarios, Operativos Y
Emergentes
.- Identificar Objetivos De Control
Que Ayuden A Mitigar Sus Riesgos
.- Mapear Objetivos De Control En
Una Biblioteca De Marco De
Control Maestro
PASOS PARA LA
PREPARACIÓN DE LA
AUDITORÍA DE TI
Plan, Alcance Y Prueba De
Esfuerzo De Los Microriesgos
Dentro De Los Objetivos De
Control
El proceso y la tecnología son sólo dos
partes de la ecuación. El tercer
componente esencial son las personas
Evaluar La Eficacia De Los
Controles Existentes
.- Capturar, Rastrear Y Reportar
Las Deficiencias Para Mejorar
Los Controles
Esta etapa es la crítica y está en el centro de cualquier proceso
de gestión de riesgos. Se trata de construir un "universo" de
riesgos, situado en la medida de lo posible en el contexto de los
riesgos estratégicos clave
En esta etapa, los controles y los procedimientos de reducción
de riesgos (que se encuentran en lugar o necesidad de
implementación) están definidos y documentados. Se puede
considerar la posibilidad de estimar el costo de la
implementación y la manteniendo un control.
Estrechamente relacionado con el proceso de identificación de
los controles atenuantes es el de mapearlos, cuando sea
posible, en una biblioteca general de marcos de control.
Los controles están diseñados para abordar los riesgos a
muchos niveles y se vuelven cada vez más detallados (es
decir, "micro") para reflejar posibilidades y vulnerabilidades
específicas
Los controles también pueden ser autoevaluados por los
propietarios de los controles, que rellenan regularmente los
cuestionarios.
Cuando se identifican deficiencias en el control, es importante
responder, de manera oportuna, para corregir y mejorar el
proceso de control. En muchos casos, el análisis de datos
recurrentes puede utilizarse para reforzar los controles o para
crear una capa adicional de control.
 MONITOR! AUTOMATIZAR LAS
PRUEBAS DE LOS CONTROLES PARA
LIBERAR RECURSOS Apoyando una evaluación actualizada de la eficacia de los programas de
Y PROPORCIONAR UNA MEJOR las actividades existentes de gestión y control de riesgos de TI
COBERTURA DE RIESGOS EN TODA
LA ORGANIZACIÓN

GESTIONAR LOS PROBLEMAS

MARCANDO LAS EXCEPCIONES, El proceso de monitoreo resulta en indicadores de problemas potenciales,
REVISANDO, INVESTIGANDO Y señalando que un control no está funcionando de manera efectiva o que
REMEDIANDO A TRAVÉS DEL CICLO un riesgo específico está aumentando.
DE VIDA DEL PROBLEMA

Conduce a un estado de preparación para la auditoría en el que existe un

.- MEJORA CONTINUA DE
PASOS PARA LA gran riesgo de que se produzcan errores de auditoría. reducción de la
PROCESOS DE CONTROL Y
PREPARACIÓN DE LA probabilidad de hallazgos de auditoría adversos cuando la TI está sujeta a
SEGUIMIENTO = DISPONIBILIDAD
AUDITORÍA DE TI escrutinio mediante funciones de auditoría y cumplimiento, ya sean
PARA LA AUDITORÍA
internas o externas.

DEFINIR MÉTRICAS KRI PARA Cuando se implementa un sistema que monitorea y evalúa
EJECUTAR ANÁLISIS DE RIESGO continuamente la la integridad de las transacciones de TI y la eficacia de
PARA PREDECIR SU TENDENCIA los controles, existe la oportunidad de informar de los resultados de la
DE RIESGO investigación todo el proceso

Las organizaciones pueden utilizar una variedad de tecnologías y enfoques

INTEGRAR LOS PROCESOS DE
para evaluar los problemas de riesgo/control y la preparación para la
GESTIÓN DE RIESGOS EN EL ERM
auditoría en diferentes ámbitos
 PREPARACIÓN PARA LA
AUDITORÍA: NO SE TRATA
SÓLO DE UNA AUDITORÍA.
El objetivo final no es sólo la Los reguladores y auditores,
reducción del riesgo de que tanto internos como externos,
cosas malas sucederán, es van a para irse más feliz y
El informe de los resultados
también para transformar lo con menos cosas negativas
de una auditoría limpia
que a menudo puede ser una que informar. En el al mismo
también refleja un logro más
doloroso, frustrante y muy tiempo, la gestión de TI es
importante: garantizar que
ineficiente proceso en algo capaz de mejorar
los riesgos de TI son ser bien
que requiere mucho menos significativamente la y la
manejado.
esfuerzo y recursos globales seguridad que pueden
significativamente reducidos proporcionar a la suite
costes. ejecutiva.

PASO 7
¡Monitor! Automatizar pruebas de
los controles de TI
PASO 1
Identificar y evaluar las tecnologías
de la información riesgos,
comenzando por aquellos que son
estratégicos en impacto, incluyendo
reglamentario, operativo y riesgos
emergentes.

PASO 6 PASO 2
Captura, seguimiento y reportar Identificar el control objetivos que
deficiencias para mejorar controles. ayudar a mitigar la TI riesgos

PASO 3
PASO 5
Control de mapas objetivos en un
Evaluar la efectividad de lo
mando principal biblioteca de
existente mandos.
marcos de trabajo.

PASO 4
Plan, alcance y prueba de esfuerzo
micro riesgos bajo control
objetivos