Académique Documents
Professionnel Documents
Culture Documents
FINALIDAD.- Incidir en el Perfil Profesional del Auditor estimulando que este se ajuste a determinados
principios morales que deben servirle de gua.
La Deontologa del Auditor abarcar tanto su moral y tica profesional en el manejo del activo mas
importante que tienen las empresas, que es la informacin que se maneja. Los principios contenidos en
los Cdigos Deontolgicos exigen, que los propios profesionales ayuden a un comportamiento conforme a
los mismos como medio de sensibilizacin y mejora del prestigio y calidad de su oficio.
Los auditores deben estar constantemente familiarizados con los principios deontolgicos adoptados por
diferentes Colegios y Asociaciones Profesionales, de los cuales podemos mencionar:
I - DEONTOLOGA DEL AUDITOR INFORMTICO
(PRINCIPIOS FUNDAMENTALES)
1. Beneficio del Auditado 13. Independencia
2. Calidad 14. Informacin Suficiente
3. Capacidad 15.Integridad Moral
4. Cautela 16.Legalidad
5. Comportamiento Profesional 17.Libre Competencia
6. Concentracin en el trabajo 18.NO Discriminacin
7. Confianza 19.NO injerencia
8. Criterio Propio 20.Precisin
9. Discrecin 21.Publicidad adecuada
10.Economa 22.Responsabilidad
11.Formacin Continuada 23.Secreto Profesional
12.Fortalecimiento y Respeto de la Profesin 24.Servicio Pblico
25.Veracidad
I - DEONTOLOGA DEL AUDITOR INFORMTICO
(PRINCIPIOS FUNDAMENTALES)
1. Principio del Beneficio del Auditado.- Un aspecto importante, en cuanto a la aplicacin de este
principio, es facilitar el derecho de las organizaciones auditadas, a la eleccin del auditor.
2. Principio de Calidad.- El auditor deber cumplir sus servicios con calidad, aun cuando el no se sienta
en la capacidad de hacerlo, deber buscar ayuda o capacitacin profesional.
Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la empresa XXX, para cumplir
con su tarea, ste debe tener accesibilidad a documentacin necesaria, si en dicho departamento le
niegan la documentacin, el auditor debe negarse a realizar la auditoria ya que no puede acceder a la
informacin que es de vital importancia para su desempeo.
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
3. Principio de Capacidad.- El auditor debe estar plenamente consciente del alcance de sus
conocimientos y de su capacidad y aptitud para desarrollar la auditoria.
Ejemplo: El auditor hace la auditoria del Departamento de Ventas, debido a que no tiene suficiente
conocimiento en su trabajo, realiza un informe con recomendaciones que a la larga le dejarn perjuicios
a la empresa, lo que har que el auditor pierda credibilidad como profesional.
4. Principio de Cautela.- El auditor debe tener cierto grado de cuidado, y no confiarse de sus
conocimientos profesionales, ser humilde al dictar sus criterios, y ser consciente de que sus
recomendaciones deben estar basadas en la experiencia.
Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben estar avaluadas en base a
la realidad de la empresa (econmico ).
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
5. Principio de Comportamiento Profesional.- Este principio esta ligado con la tica profesional del
auditor, como evitar actos ilcitos, ficticios, que encubran comportamientos no profesionales.
Ejemplo: Si el auditor necesita ayuda para la revisin de documentacin, debe acudir donde otro
profesional (un contador) el cual le pueda ayudar en dicha tarea, dejando constancia en el informe de
auditoria de que terceros ayudaron en el trabajo de la auditoria al Departamento de Ventas.
8. Principio de Criterio Propio.-Este principio demanda de que el auditor actu con criterio propio, para
no permitir estar subordinado al de otros profesionales.
Ejemplo: Si un empleado va y comenta al auditor de que tiene sospechas de que el jefe
departamental est desviando fondos, esto no quiere decir que el auditor va a dar por cierto dicho
comentario.
I - DEONTOLOGA DEL AUDITOR INFORMTICO
PRINCIPIOS FUNDAMENTALES
9. Principio de Discrecin.- Depender del cuidado y discrecin en la divulgacin de datos, y
mantenerlos durante el proceso de auditoria como en la finalizacin.
Ejemplo: El auditor no deber divulgar datos tales como los estados financieros de la empresa,
inversiones, estrategias de ventas, etc. Esto restara credibilidad al auditor.
10. Principio de Economa.- Se refiere a proteger los derechos econmicos del Auditado con el fin de
evitar gastos innecesarios, as mismo rechazar, ampliaciones de trabajo sobre asuntos no directamente
relacionados con la auditoria.
Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar gastos extras.
II NORMA JURDICA DE LA AUDITORA
(INTRODUCCIN)
Las Entidades Jurdicas junto con las Empresas pueden asumir los siguientes roles:
Potestad reguladora
Potestad inspectora
Potestad sancionadora
Potestad inmovilizadora
II NORMA JURDICA DE LA AUDITORA
(DELITO INFORMTICO)
Para que se presente la figura del Delito Informtico, se han de conjugar los siguientes principios:
RESOLUCIN MINISTERIAL
N 246-2007-PCM
Lima, 22 de agosto de 2007
Aprueban uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnologa de
la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. 2a. Edicin
en todas las entidades integrantes del Sistema Nacional de Informtica
II NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la
Informacin
RESEA HISTRICA
La presente Norma Tcnica Peruana ha sido elaborada por el Comit Tcnico de Normalizacin de
Codificacin e Intercambio Electrnico de Datos (EDI), mediante el Sistema 1 u Adopcin, durante los
meses de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005
Information Technology Code of practice for information security management.
II NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la
Informacin (MONITOREO)
Los sistemas deben ser monitoreados y los eventos de la seguridad de informacin deben ser
grabadas. El registro de los operadores y el registro de averas debe ser usado para asegurar que los
problemas del sistema de informacin sean identificados.
Una organizacin debe cumplir con todos los requerimientos legales aplicables para el monitoreo y
el registro de actividades.
El monitoreo del sistema debe ser utilizado para verificar la efectividad de los controles adoptados
y para verificar la conformidad de un acceso a un modelo de poltica.
II NTP-ISO/IEC 17799:2007 EDI. TI (REGISTRO DE
AUDITORA)
CONTROL
Los Registros de Auditoria grabando actividades de los usuarios, excepciones y eventos de la
seguridad de informacin deben ser producidos y guardados para un periodo acordado con el fin de
que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.
II NTP-ISO/IEC 17799:2007 EDI. Tecnologa de la
Informacin
RESOLUCIN MINISTERIAL
N 004-2016-PCM
Lima, 08 de enero de 2016
Aprueban uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 27001:2014 EDI. Tecnologa de
la Informacin. Tcnicas de Seguridad. Sistema de Gestin de la Seguridad de la Informacin. 2a. Edicin
en todas las entidades integrantes del Sistema Nacional de Informtica
II NTP-ISO/IEC 27001:2014 EDI. Tecnologa de la
Informacin
RESEA HISTRICA
La presente Norma Tcnica ha sido elaborada por el Comit Tcnico de Normalizacin de Codificacin e
intercambio Electrnico de Datos, mediante el Sistema 1 o de Adopcin, durante los meses de abril a
junio del 2014, utilizando como antecedente a la norma ISO/IEC 27001:2013 Information Technology
Security Techniques Information Security Management Systems Requirements y la ISO/IEC
27001:2013/COR 1 2013 Information Technology Security Techniques Information Security
Management Systems REQUIREMENTS
II NTP-ISO/IEC 27001:2014 EDI. Tecnologa de la
Informacin
INTRODUCCIN
ISO (la Organizacin Internacional para la Normalizacin) e IEC (la Comisin Electrotcnica
Internacional) forman el sistema especializado para la normalizacin mundial. Los rganos nacionales
que son miembros de ISO o de IEC participan en el desarrollo de las Normas Internacionales a travs de
comits tcnicos establecidos por la respectiva organizacin para ocuparse de campos particulares de
actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en campos de inters mutuo. Otras
organizaciones internacionales, gubernamentales y no gubernamentales, en enlace con ISO y con IEC,
tambin participan en el trabajo. En el campo de la tecnologa de la informacin, ISO e IEC han
establecido.omit tcnico conjunto, ISO/IEC JTC 1.
II NTP-ISO/IEC 27001:2014 EDI. TI (OBJETIVOS)
Esta Norma Tcnica Peruana especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestin de seguridad de la informacin dentro del contexto de la
organizacin.
Esta Norma Tcnica Peruana tambin incluye requisitos para la evaluacin y tratamiento de los riesgos
de seguridad de la informacin orientados a las necesidades de la organizacin. Los requisitos
establecidos en esta Norma Tcnica Peruana son genricos y estn hechos para aplicarse a todas las
organizaciones, sin importar su tipo, tamao o naturaleza. Excluir cualquiera de los requisitos
especificados en las Clusulas 4 a 10 no es aceptable cuando una organizacin declara conformidad con
esta Norma Tcnica Peruana.
II NTP-ISO/IEC 27001:2014 EDI. TI
(EVALUACIN DEL DESEMPEO)
La Organizacin debe conducir Auditoras Internas en intervalos planificados para proporcionar
informacin sobre si el Sistema de Gestin de Seguridad de la Informacin:
a) Est en conformidad con
1) Los requisitos de la propia organizacin para su sistema de gestin de seguridad de la informacin;
2) Los requisitos de esta Norma Tcnica Peruana;
b) Est efectivamente implementado y mantenido. La organizacin debe:
c) Planificar, establecer, implementar y mantener uno o varios programas de auditora, incluyendo la
frecuencia, mtodos, responsabilidades, requisitos e informes de planificacin. Los programas de
auditora deben tomar en consideracin la importancia de los procesos concernientes y los resultados
de auditoras previas;
II NORMA JURDICA DE LA AUDITORA
Norma Constitucional
8,
#$# &'()"*$5%>%7$8,5,$(1
II NORMA JURDICA DE LA AUDITORA
Norma Constitucional
8,
8,
II NORMA JURDICA DE LA AUDITORA
8,
II NORMA JURDICA DE LA AUDITORA
8,
II NORMA JURDICA DE LA AUDITORA
8,
III - ISACA
II ISACA - DEFINICIN
Establecida en 1969, ISACA es una asociacin sin fines de lucro conformada por 140.000
profesionales en 187 pases. Sus miembros incluyen auditores internos y externos, CEOs, CFOs,
CIOs, educadores, profesionales de seguridad y control de informacin, gerentes de negocios,
estudiantes y consultores de TI. ISACA tiene ms de 215 Divisiones o Captulos en ms de 92
pases.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:
Para los lderes que gestionan la seguridad de la informacin de una organizacin. Con ms de
32.000 miembros. Se han ganado la designacin CISM desde su creacin en 2002.
II ISACA ACTIVIDADES
Desarrolla y administra cuatro certificaciones lderes de la industria:
Cobit 5 Es un marco de negocio para gobernar la tecnologa de la empresa. Que incluye:
Tcnicas
Tcnicas de Evaluacin de riesgos
Muestreo
Clculo pos operacin
Monitoreo de actividades
Recopilacin de grandes cantidades de informacin
Verificacin de desviaciones en el comportamiento de la data;
Anlisis e interpretacin de la evidencia, etc.
IV PERFIL DEL AUDITOR (FUNCIONES)
Hablando de las realidad actual, podra afirmarse que las funciones del Auditor Informtico deben mantener los
objetivos de revisin que le demande la organizacin. Principalmente, como tambin lo indican Piattini y Del
Peso (2001), stas son las actividades a desarrollar por la Funcin de la Auditora Informtica:
Anlisis de la administracin de los riesgos de Informacin y de la seguridad implcita.
Anlisis de la administracin de los Sistemas de Informacin desde un enfoque de riesgo de seguridad,
administracin y efectividad de la administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin, a travs del anlisis de aplicaciones.
Auditoria del riesgo operativo de los circuitos de informacin.
Diagnostico del grado de cobertura que dan las aplicaciones a las necesidades de la empresa.
Revisin del control interno, tanto de las aplicaciones como de los Sistemas de Informacin, dispositivos
perifricos, entre otros.
MUCHAS GRACIAS