Auditor

1
Auditoría InformáticaClase 2

• Miguel Ángel Barahona M.
• Ingeniero Informático, UTFSM
• Magíster en Tecnología y Gestión, UC

2
Estándares Internacionales

• ISACA, Information Systems Audit and Control
  Association
• Fundado en 1969.
• Reconocido como líder mundial en governance,
  control y seguridad en Sistemas de Información
• La misión de ISACA es soportar los objetivos de
  la empresa a través de investigación, desarrollo,
  estándares, competencias y prácticas para un
  efectivo governance, control, aseguramiento de la
  información, sistemas y tecnología en la empresa.

3
ISACA

• Sus normas de auditoría y control de SI son
  seguidas por profesionales de todo el mundo
• ISACA además ofrece cuatro certificaciones
• Certified Information Systems Auditor (CISA)
• Certified Information Security Manager, (CISM)
• Certified in the Governance of Enterprise IT
  (CGEIT)
• Certified in Risk and Information Systems Control
  (CRISC)

4
Procesos de Auditoría en Sistemas de Información

• Estándar de Auditoría en SI.
• Los estándares, guías, y códigos de ética, son la
  base de la actividad de auditoría de sistemas.
• Los estándares son bastante claros, y describen
  los requerimientos básicos de la auditoría de
  sistemas
• La responsabilidad y autoridad de las funciones
  de auditoría deben ser apropiadamente
  documentadas en una carta de auditoría o carta de
  compromiso.
• En todas las materias relacionadas con la
  auditoría, el auditor debe ser independiente del
  auditado, en actitud y apariencia.
• La función de auditoría debe ser completamente
  independiente del área a ser auditada, con el
  objeto de efectuar una auditoría en profundidad.
• El auditor debe adherir al código profesional de
  ISACA

5

• El auditor debe ser capaz de aplicar con atención
  los estándares de auditoría.
• El auditor es técnicamente competente, teniendo
  habilidades y conocimientos necesarios para
  ejecutar las tareas de auditoría.
• El auditor debe mantener las competencias
  técnicas, a través de una continua preparación
  educacional.
• El auditor necesita un plan del trabajo de
  auditoría que lo dirija hacia el objetivo de
  esta, cumpliendo los estándares establecidos.
• Durante el curso de la auditoría, el auditor
  reúne suficiente evidencia para cumplir
  efectivamente los objetivos de la auditoría. Los
  hallazgos y conclusiones son soportadas por esta
  evidencia.
• El auditor debe generar un reporte completo con
  los hallazgos, conclusiones y recomendaciones con
  acciones que deben ser implementadas
  tempranamente.

6
(No Transcript)
7
Enfoque Basado en Riesgos

• El propósito de un auditor es identificar riesgos
  y asegurar que los riesgos residuales (que quedan
  después de aplicar controles) son aceptables de
  administrar.
• Todas las actividades presentan riesgos, en
  algunas más que en otras. Es el costo de todo
  negocio.
• Las consecuencias de un riesgo son evaluadas, los
  riesgos medidos, y se seleccionan alternativas.
• Un auditor debe considerar tres tipos de riesgos
  cuando planifica una auditoría
• Riesgos Inherentes La susceptibilidad de un
  error en un negocio o proceso, no presente en un
  control interno. P.e. Instalar UNIX sin sus
  parches de seguridad y conectar servidor en red.
• Riesgo de Control Un control puesto en algún
  lugar no prevendrá, corregirá o detectará un
  error en sus fases tempranas. Revisión de Log.
• Riesgo de Detección El riesgo de que los
  procedimientos del auditor no detecten un error.
  En este caso el auditor podría necesitar
  información adicional.

8
Know Your Business

• El auditor debe conocer el negocio y sus
  objetivos. Por ejemplo, debe saber cual es el
  estado de negocios similares en el mundo, cuales
  son las tendencias actuales y futuras de los
  productos o servicios que provee la compañía,
  cual es la cultura organizacional, cual es la
  experiencia de los ejecutivos, etc.