TEMA 3. - El Proceso y Las Fases de La Auditoria de Sistemas de Información VFF

Auditorias de seguridad
Javier Bermejo Higuera

Pablo Blanco Iñigo
El proceso y las fases de la auditoría de

Sistemas de Información
INDICE
• ¿Cómo estudiar este tema?
• Evaluación de Riesgos (EDR) y otras metodologías de

auditoría informática
• Ejecución de una auditoría de Sistemas de Información.

Fases de auditoría
• Habilidades fundamentales del auditor de Sistemas de

Información
TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Sareb-Público
INDICE


Fases de auditoría

Información

Sareb-Público
¿Cómo estudiar este tema?
Para estudiar este tema:
Lee los apuntes sobre «El proceso y las fases de la auditoría de

Sistemas de Información».
Al finalizar el tema, tienes que leer el apartado «a fondo» para reforzar
los principales conocimientos desarrollados.
Además, tienes que realizar las lecturas recomendadas y apoyarte en
la bibliografía y la webgrafía asociadas al tema

Sareb-Público
INDICE
• Evaluación de Riesgos (EDR) y otras

metodologías de auditoría informática
Fases de auditoría

Información

Sareb-Público
Evaluación de Riesgos y otras
metodologías
Algunos ejemplos de tipos de auditorías:
• Financiera – Exactitud de estados financieros

• Operativa – Estructura de control interno
• Integradas – Financiera y operativa
• Cumplimiento – Exactitud en lo requerido por una ley, norma, estándar.,..
• Auditoria de SI
– Técnicas.
– Procesos.
– Gobierno
• Especializadas
– Privacidad
– Seguridad
– Detección de fraudes
– Forenses ¡¡Tantas tipologías como nos
– Cumplimiento exija los objetivos del negocio!!
• …
Sareb-Público
metodologías

Sareb-Público
metodologías

Sareb-Público
metodologías
Resultados informes Riesgos Globales World Economic Forum
2017 2018 2019
Riesgo de Ciberataques Riesgo de Ciberataques Riesgo de Ciberataques

• La octava con mayor nivel de • El quinto con mayor nivel de • El sexto con mayor nivel de
impacto. impacto. impacto.
• La quinta en probabilidad de • La tercera en probabilidad de • La cuarto en probabilidad de
ocurrencia. ocurrencia. ocurrencia.
Resultados obtenidos de World Economic Forum en Davos, donde se evidencia el notable aumento de la probabilidad de ocurrencia y
del impacto en materia de ciberamenazas

Sareb-Público
metodologías
Cambio de paradigma de riesgos.

Sareb-Público
metodologías
¿Qué es una metodología?
Es un conjunto de métodos que se siguen de forma sistemática y
disciplinada para la realización de un fin u objetivo determinado.
Palabras claves: Objetivo, independiente, sistemático, disciplina,

finalidad, proporcionalidad, sentido común,….
Es importante resaltar que la auditoría debe ser una herramienta de la

dirección para asegurar el alineamiento de las TIC con el negocio, y que el
buen auditor no sólo debe detectar no conformidades sino que debe ser capaz
de generar valor para el negocio

Sareb-Público
metodologías
EDR Genérico: evaluación de Riesgos
Principios generales:
El auditor conduce todo el proceso de auditoría bajo un enfoque de riesgos
sobre los sistemas de información.
El auditor realiza un análisis del riesgo existente en los sistemas de información
incluidos en el alcance de la auditoría, determinando a través de pruebas y
herramientas de auditoría la existencia de controles y la eficacia y eficiencia de los
mismos,
Se identifican los riesgos existentes por defecto del control o por la implementación
parcial del mismo.
Se elabora un informe.
Riesgos Objetivos de control Controles Pruebas
La auditoría informática basada en la evaluación de riesgos permite cuantificar el riesgo de los

sistemas de información midiendo la completitud, eficacia y eficiencia de los controles internos
puestos en marcha por la función del Control Interno Informático de la organización.

Sareb-Público
metodologías
Antes de empezar con los términos un ejemplo:
Una consultora dedicada al desarrollo de soluciones de contabilidad,

tiene problemas con el registro de diferentes patentes y se prevé que el
problema viene por las personas que trabajan en cierto departamento,
por ello ve que ahí esta el problema pero desconoce si esta fuga es de
forma accidental o de forma deliberada.
RIESGO?
OBJETIVOS DE CONTROL?
CONTROLES?
PRUEBAS?

Sareb-Público
metodologías
A.7 SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS
A.7.1 Antes del empleo
Objetivo: Para asegurarse de que los empleados y contratistas entiendan sus responsabilidades y son adecuados para las funciones para las que se consideran
A.7.1.1 La comprobación de los antecedentes de todos los candidatos al puesto de trabajo se debe llevar a cabo de acuerdo con las leyes, normas y códigos éticos que sean de
aplicación y debe ser proporcional a las necesidades del negocio, la clasificación de la información a la que se accede y los riesgos percibidos.
A.7.1.2 Como parte de sus obligaciones contractuales, los empleados y contratistas deben establecer los ´términos y condiciones de su contrato de trabajo en lo que respecta a
la seguridad de la información, tanto hacia el empleado como hacia la organización.
A.7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan con sus responsabilidades en seguridad de la información
A.7.2.1 La dirección debe exigir a los empleados y contratistas, que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos en la
organización.
A.7.2.2 Todos los empleados de la organización y, cuando corresponda, los contratistas, deben recibir una adecuada educación, concienciación y capacitación con
actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo.
A.7.2.3 Debe existir un proceso disciplinario formal que haya sido comunicado a los empleados, que recoja las acciones a tomar ante aquellos que hayan provocado alguna
brecha de seguridad.
A.7.3 Finalización del empleo o cambio en el puesto de trabajo

Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o finalización del empleo
A.7.3.1 Las responsabilidades en seguridad de la información y obligaciones que siguen vigentes después del cambio o finalización del empleo se deben definir, comunicar al
empleado o contratista y se deben cumplir.

Sareb-Público
metodologías
Un riesgo es la estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios a la
Organización.
Un análisis de riesgos es un proceso metódico y sistemático para estimar

la magnitud de los riesgos a que está expuesta una Organización.
Amenazas típicas
• De origen natural • Causadas por las personas de forma accidental
• Del entorno (de origen industrial) • Causadas por las personas de forma deliberada
• Defectos de las aplicaciones

Sareb-Público
metodologías
El objetivo de todo control es la reducción de riesgo, bien reduciendo su

probabilidad de ocurrencia o bien mitigando su impacto.
La cuantificación de los riesgos potenciales de la organización, conocidos o

no, es la base para establecer detalladamente los objetivos de control. El
auditor informático debe cuantificar y valorar el riesgo potencial asociado a
los Sistemas de Información en el alcance de la auditoría.

Sareb-Público
metodologías
Una vez que el auditor ha identificado los riesgos potenciales y definido los
objetivos de control necesarios para su mitigación, por cada objetivo de
control encaminado a la mitigación de un riesgo potencial, se deben
identificar los controles que deben minimizar el riesgo, logrando cumplir
así, el objetivo de control.
Un mismo objetivo de control puede quedar cubierto por varios controles y

un control puede llegar a cubrir varios objetivos de control.

Sareb-Público
metodologías
Una vez que el auditor ha cuantificado el riesgo potencial y definido los

objetivos de control encaminados a la mitigación del riesgo, deberá valorar
la completitud y eficacia de los controles internos puestos en marcha por la
organización a través de su función de Control Interno Informático.
• Pruebas de cumplimiento
• Pruebas sustantivas

Sareb-Público
metodologías
Pruebas de cumplimiento:
Empleadas por el auditor informático para probar y verificar el cumplimiento
de una técnica de control/controles. Una prueba de cumplimiento reúne
evidencias de auditoría para indicar:
• Si un control existe
• Si funciona de forma efectiva
• Si logra sus objetivos de forma eficiente
La prueba de cumplimiento es el primer nivel de prueba que realiza un

auditor informático para cuantificar el riesgo real de los sistemas de
información y obtener evidencias que sustentarán las conclusiones de la
auditoría.

Sareb-Público
metodologías
Pruebas sustantivas:
Empleadas por el auditor informático únicamente cuando las pruebas de
cumplimiento no han satisfecho los objetivos del auditor.
Son aquellas pruebas que diseña el auditor con el objeto de conseguir

evidencia que permita tener una seguridad razonable de que los controles
internos establecidos por la empresa auditada están siendo aplicados
correctamente y son efectivas.
Es importante tener en cuenta que la realización de las pruebas sustantivas

generalmente requiere de una mayor dedicación y consumo de recursos
que una prueba de cumplimiento.

Sareb-Público
metodologías
Empezar 2
¿Existe No Realización de pruebas

2 sustantivas
control?
SI
Prueba de cumplimiento ¿Existen
deficiencias?
No
Confirmación mediante pruebas
SI Comentario
Comentario medio o grave verbal o leve
¿Conforme No según deficiencias o
con el 2 incidencias
control?
SI
FIN FIN FIN

Sareb-Público
metodologías
EDR simplificado – Checklist
Las características principales del EDR Simplificado son:

El auditor revisa los controles con la ayuda de una lista de control
(checklist) que consta de una serie de preguntas o cuestiones a
verificar (en realidad, pruebas de cumplimiento de los controles).
Ese método de auditoría informática suele utilizarse por auditores con

poca experiencia, como guía de referencia, para asegurar que se han
revisado todos los controles.
Muy útil para que no se olvide nada!!

Sareb-Público
metodologías
EDR ampliado – de producto
Un EDR Ampliado o de productos informáticos, además de los elementos

principales de un EDR genérico, se basa en:
Audit tools. Son programas de utilidad que tiene el propio producto

que vamos a auditar.
Audit retrievals. Programas o scripts desarrollados al efecto de
obtener información del producto que sea de utilidad para la auditoría.
Audit trails. Son habitualmente los logs. Contienen evidencias de lo
que sucede en el interior del sistema. Tienen como desventaja que
consumen mayor tiempo de procesador, pues cada operación se anota
en el registro.
Básicamente, automatismos como ayuda para la auditoria!!

Sareb-Público
metodologías
Metodología
Importante diferenciar una metodología de auditoría de una metodología de

análisis de riesgos!!
La metodología de auditoría basada en riesgos, se utiliza la valoración de

riesgos como punto de partida en la auditoría, verificándose luego la
implantación y la eficacia de los controles a través de ciertas pruebas -
cumplimiento y/o sustantivas-, de las que se extraerán evidencias que
deberán de analizarse para comprender el nivel de control que se posee.
En la práctica, la auditoría de sistemas de información, basada en la

evaluación de riesgos, se sirve de una metodología propia, estándar o
específica de cada sector para la realización del análisis de riesgos de los
sistemas de información.
Sareb-Público
metodologías
Metodología
¿Qué metodología utilizar?

Sareb-Público
metodologías
www.isaca.org

Sareb-Público
metodologías
www.coso.org

Sareb-Público
metodologías
www.aicpa.org

Sareb-Público
metodologías
Ejemplo de Plan de Auditoría
1 Auditoría SCIIF – 2 Auditoría SCIIF – 3 Auditoría SCIIF –
Indicador 6 Indicador 6 Indicador 6
(1/3) (2/3) (3/3)
2017 2018 2019
4 6 8
Auditoría del Plan de
Revisión de proveedores Legislación …
Continuidad de Negocio
5 7 9
Auditorías SCIIF Revisión de licencias y Auditoría sobre la Auditoría de junta de
aplicaciones prevención de fraude accionistas
Otras Auditorías

Sareb-Público
metodologías
Realización de la auditoria del indicador 6 del SCIIF, consistente en políticas y procedimientos de control interno sobre los sistemas de información
(entre otros, sobre seguridad de acceso, control de cambios, operación de los mismos, continuidad operativa y segregación de funciones) que
soporten los procesos relevantes de la entidad en relación a la elaboración y publicación de la información financiera.

Sareb-Público
metodologías
2017
Ene Feb Mar Abr May Jun Jul Ago Sep Oct Nov Dic
5 4
No. Nombre Descripción Acciones Aplicaciones Estimación

1. Planificación e inicio
Depende del alcance

Realización de una revisión de los aspectos de 2. Identificación del universo auditable
Seguridad de la Información sobre los proveedores de 3. Definición del marco de controles
Revisión de
4 seguridad de los
la compañía en España, tanto a nivel de cumplimiento
4. Revisión de contratos N/A
tecnológico, como del cumplimiento contractual y de la
proveedores 5. Personalización del marco de controles para cada proveedor
legislación en nuevas tecnologías aplicable, desde la
vertiente contractual y tecnológica. 6. Revisión de controles
7. Resultados, entregables y definición de un plan de acción.
1. Planificación e inicio.
Depende del alcance

2. Identificación del alcance.
Revisión de Realización de una revisión de la usabilidad de las 3. Revisión del perfilado
5 licencias y licencias de las aplicaciones mas relevantes de la N/A
4. Revisión de los contratos .
aplicaciones compañía y análisis del coste/rentabilidad de estas.
5. Revisión de utilización de las aplicaciones por parte de usuario.
6. Resultados, entregables y definición de un plan de acción.

Sareb-Público
metodologías
Ejemplo de Metodología a alto nivel
Acciones Resultados
Entendimiento de la información que Comprensión de la definición del SCIIF así como la valoración de si aborda todo lo
genera la entidad en relación a SCIIF requerido para la posterior evaluación
Entendimiento del proceso de elaboración
Evaluación de la terminología para ver si se ajusta a las definiciones del marco de

Entrevistas con el personal involucrado
referencia
Información de si están en funcionamiento los procesos de control
Revisión de la documentación facilitada en

Entendimiento de los procesos y posterior evaluación de los controles
las entrevistas
Análisis de la información facilitada Informe de los controles y valoración
Lectura de actas Evaluación de la consistencia en relación a SCIIF
Conclusiones Informes de conclusiones con las recomendaciones obtenidas

Sareb-Público
metodologías
Ejemplo de priorización de las auditorias
Numero Nombre
4
1 Auditoria SCIIF – Indicador 6 (1/3)
3 2 Auditoria SCIIF – Indicador 6 (2/3)

6
4 Auditoria SCIIF – Indicador 6 (3/3)
Probabilidad
3
COSTE
3 7
2 1 2 8 4
Revisión de seguridad de los
proveedores.
9 5
5 Revisión de licencias y aplicaciones.
1 Auditoría del Plan de Continuidad

6
de Negocio.
Auditoría sobre la prevención del
7
fraude internos.
0
Legislación …
0 1 2 3 4 8
Impacto
BENEFICIO 9 Auditoría de juntas de accionistas.

Sareb-Público
INDICE

• Ejecución de una auditoría de Sistemas

de Información. Fases de auditoría
Información

Sareb-Público
Fases de Auditoría
0. Preparación de la auditoría
1. Sujeto de la auditoría. Identificar el área que será auditada.
2. Objetivo de auditoría. Identificar el propósito de la auditoría. Por ejemplo, un

objetivo podría ser determinar si los cambios del código fuente del programa
ocurren en un ambiente bien definido y controlado.
3. Alcance de la auditoría. Identificar los sistemas, funciones o unidades

específicos de la organización que serán incluidos en la revisión. Por ejemplo, en el
ejemplo de cambios de programa anterior ejemplo de cambios de programa
anterior, el enunciado de alcance podría limitar la revisión a sólo un sistema de
aplicación o a un período limitado.

Sareb-Público
Fases de Auditoría
4. Planificación de preauditoria.
• Identificar habilidades y recursos técnicos necesarios.
• Identificar las fuentes de información para la prueba o examen, como diagramas
de flujo funcionales, políticas, normas, procedimientos y papeles de trabajo
anteriores a la auditoría.
• Identificar las localidades o instalaciones que serán auditadas.
5. Procedimientos de auditoría y pasos para recolección de datos.

• Identificar y seleccionar el enfoque de auditoría para verificar y comprobar los
controles.
• Identificar una lista de individuos que serán entrevistados.
• Identificar y obtener las políticas, estándares y directrices departamentales para
realizar la revisión.
• Desarrollar herramientas y metodología de auditoría para probar y verificar el
control.
• Identificación de riesgos potenciales e identificación de controles fuertes y
débiles.
Sareb-Público
Fases de Auditoría
5. Procedimientos de auditoría y pasos para recolección de datos.
Recopilación de información.
Esta actividad consiste en identificar las fuentes de información más relevantes con
el objeto de revisarla antes de la realización de la auditoría.
Una vez analizada la información básica, el auditor debe identificar una lista de
personas a entrevistar, especificando en la medida de lo posible:
Nombre y cargo de la persona a entrevistar.
Información relacionada con el objeto de la entrevista como:
Lista de sistemas a revisar.
Lista de controles.
Otra información significativa.
Fecha y hora previstas para la entrevista.
Lugar de la entrevista.
Requerimientos , como por ejemplo:
Documentación requerida, etc.
ORDEN Y CADENA DE CUSTODIA

Sareb-Público
Fases de Auditoría
6. Procedimientos para evaluar los resultados de la prueba o la
revisión.
• Específico de la organización.
7. Procedimientos para las comunicaciones con la gerencia. Específico

de la organización.
8. Preparación del informe de auditoría.

• Identificar los procedimientos de seguimiento de la revisión.
• Identificar los procedimientos para evaluar/probar la eficiencia y efectividad
operacional.
• Identificar los procedimientos para probar los controles.
• Revisar y evaluar la calidad de los documentos, políticas y procedimientos.

Sareb-Público
Fases de Auditoría
9. Conclusiones y comentarios:
El auditor debe analizar y revisar todos los comentarios generados a lo largo de la
realización de la auditoría y los resultados de cada prueba deben valorarse, obtener
una conclusión, siempre teniendo en cuenta los objetivos y el alcance de la
auditoría.
El auditor tiene que resumir los comentarios acerca de lo analizado (riesgos,
incidencias, etc.) y adjuntarlos al informa final. El detalle de todos los comentarios
forma parte del informe final pero en un anexo.
10. Plan de comunicación.

Uno de los aspectos clave que debe quedar acordado con el auditado, y que
conforma un factor crítico de éxito en la realización de la auditoría, es el plan de
comunicación. El auditor debe explicar y acordar con el área auditada los aspectos
de comunicación.

Sareb-Público
Fases de Auditoría
Recopilar información y planificar
Conocimiento del negocio y la industria Regulación
Resultados de la auditoria del año anterior Problemática y AARR
Comprensión del control interno

Ambiente de control
Procedimientos de control Evaluación de riesgos de control
Valoración de riesgos de detección Equiparar riesgo total
Realizar pruebas de cumplimiento

Identificar controles clave que se puedan probar Realizar pruebas de confiabilidad, prevención de
riesgos y adherencia a políticas y procedimientos
de la organización
Realizar pruebas substantivas

Procedimientos analíticos
Pruebas detalladas de saldos de cuentas
Otras pruebas sustantivas de auditoria
Concluir la auditoria
Crear recomendaciones Escribir un informe de auditoria

Sareb-Público
Fases de Auditoría
INFORME DE AUDITORIA
A continuación presentamos el formato (cada uno de sus posibles

apartados) habitual del informe de auditoría.
Antecedentes:
Deben reflejar brevemente lo que se ha auditado. Es información de
contexto que sirve para situar, a la persona que recibe el informe,
como están las cosas: alcance inicial de la auditoría, motivación de
la auditoría, etc.
Alcance:
El auditor indica aquí el alcance real, es decir, lo que realmente se
ha auditado, que puede o no coincidir con el alcance inicial de la
auditoría.

Sareb-Público
Fases de Auditoría
Resumen de la auditoría:
El auditor resume las etapas de la auditoría y el trabajo realizado:
Las ubicaciones auditadas.
Los sistemas de información analizados.
Las entrevistas realizadas.
Desviaciones en programa de trabajo, recursos, etc.
Riesgos que se han producido y cómo se han gestionado.
Conclusiones:
Las conclusiones deben ser ejecutivas y resumir en un lenguaje
claro y preciso los comentarios más relevantes o de mayor
importancia para el negocio.
Anexo y comentarios:
Todos los comentarios realizados por el auditor en relación a los
hallazgos obtenidos durante la auditoría se deben recoger en un
anexo.
Sareb-Público
INDICE


Fases de auditoría
• Habilidades fundamentales del auditor

de Sistemas de Información

Sareb-Público
Habilidades del auditor
Habilidades
Un auditor en informática debe tener las siguientes habilidades:
• Capacidad para revisar y evaluar el control interno del medio ambiente en

que se desarrollan los sistemas de información.
• Capacidad para revisar, evaluar y diseñar los controles necesarios en el
desarrollo de los sistemas de información.
• Capacidad para revisar y evaluar los controles en sistemas de información
que estén produciendo información.
• Capacidad para diseñar procedimientos y técnicas de auditoría con medios
informáticos.

Sareb-Público
Código ético:
ISACA establece este Código de Ética Profesional para guiar la conducta

profesional y personal de los miembros y/o poseedores de certificaciones
de la asociación.
Los miembros y los poseedores de certificaciones de ISACA deberán:
1. Respaldar la implementación y promover el cumplimiento con

estándares y procedimientos apropiados del gobierno y gestión
efectiva de los sistemas de información y la tecnología de la empresa,
incluyendo la gestión de auditoría, control, seguridad y riesgos.
2. Llevar a cabo sus labores con objetividad, debida diligencia y

rigor/cuidado profesional, de acuerdo con estándares de la profesión.

Sareb-Público
3. Servir en beneficio de las partes interesadas de un modo legal y
honesto y, al mismo tiempo, mantener altos niveles de conducta y
carácter, y no involucrarse en actos que desacrediten su profesión o a
la Asociación.
4. Mantener la privacidad y confidencialidad de la información

obtenida en el curso de sus deberes a menos que la divulgación sea
requerida por una autoridad legal. Dicha información no debe ser
utilizada para beneficio personal ni revelada a partes Inapropiadas.
Llevar a cabo sus labores con objetividad, debida diligencia y
rigor/cuidado profesional, de acuerdo con estándares de la profesión.
5. Mantener la aptitud en sus respectivos campos y asumir sólo

aquellas actividades que razonablemente esperen completar con
las habilidades, conocimiento y competencias necesarias.

Sareb-Público
6. Informar los resultados del trabajo realizado a las partes
apropiadas, incluyendo la revelación de todos los hechos significativos
sobre los cuales tengan conocimiento que, de no ser divulgados,
pueden distorsionar el reporte de los resultados.
7. Respaldar la educación profesional de las partes interesadas para

que tengan una mejor comprensión del gobierno y la gestión de los
sistemas de información y la tecnología de la empresa, incluyendo la
gestión de la auditoría, control, seguridad y riesgos.
El incumplimiento de este Código de Ética Profesional puede acarrear una

investigación de la conducta de un miembro y/o titular de la certificación y,
en última instancia, medidas disciplinarias.

Sareb-Público
¿PREGUNTAS?
Sareb-Público
www.unir.net

TEMA 3. - El Proceso y Las Fases de La Auditoria de Sistemas de Información VFF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TEMA 3. - El Proceso y Las Fases de La Auditoria de Sistemas de Información VFF

Transféré par

Droits d'auteur :

Formats disponibles

Auditorias de seguridad

Javier Bermejo Higuera

El proceso y las fases de la auditoría de

• ¿Cómo estudiar este tema?

• Evaluación de Riesgos (EDR) y otras metodologías de

• Ejecución de una auditoría de Sistemas de Información.

• Habilidades fundamentales del auditor de Sistemas de

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

• ¿Cómo estudiar este tema?

• Ejecución de una auditoría de Sistemas de Información.

• Habilidades fundamentales del auditor de Sistemas de

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Lee los apuntes sobre «El proceso y las fases de la auditoría de

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

• ¿Cómo estudiar este tema?

• Evaluación de Riesgos (EDR) y otras

• Habilidades fundamentales del auditor de Sistemas de

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

• Financiera – Exactitud de estados financieros

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

2017 2018 2019

Riesgo de Ciberataques Riesgo de Ciberataques Riesgo de Ciberataques

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Palabras claves: Objetivo, independiente, sistemático, disciplina,

Es importante resaltar que la auditoría debe ser una herramienta de la

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Riesgos Objetivos de control Controles Pruebas

La auditoría informática basada en la evaluación de riesgos permite cuantificar el riesgo de los

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Antes de empezar con los términos un ejemplo:

Una consultora dedicada al desarrollo de soluciones de contabilidad,

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

A.7.2 Durante el empleo

A.7.3 Finalización del empleo o cambio en el puesto de trabajo

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Riesgos Objetivos de control Controles Pruebas

Un riesgo es la estimación del grado de exposición a que una amenaza se

Un análisis de riesgos es un proceso metódico y sistemático para estimar

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Riesgos Objetivos de control Controles Pruebas

El objetivo de todo control es la reducción de riesgo, bien reduciendo su

La cuantificación de los riesgos potenciales de la organización, conocidos o

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Un mismo objetivo de control puede quedar cubierto por varios controles y

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Riesgos Objetivos de control Controles Pruebas

Una vez que el auditor ha cuantificado el riesgo potencial y definido los

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

La prueba de cumplimiento es el primer nivel de prueba que realiza un

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Son aquellas pruebas que diseña el auditor con el objeto de conseguir

Es importante tener en cuenta que la realización de las pruebas sustantivas

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

¿Existe No Realización de pruebas

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Las características principales del EDR Simplificado son:

Ese método de auditoría informática suele utilizarse por auditores con

Muy útil para que no se olvide nada!!

TEMA 3. El proceso y las fases de la auditoría de Sistemas de Información

Un EDR Ampliado o de productos informáticos, además de los elementos

Audit tools. Son programas de utilidad que tiene el propio producto