Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Expo Final

    Încărcat de

    Fabricio Rodriguez Avalos
    18 vizualizări2 pagini
    auditoria

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    auditoria

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    18 vizualizări2 pagini

    Expo Final

    Încărcat de

    Fabricio Rodriguez Avalos
    auditoria

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 2

    Planificación: Utilizar análisis de datos previo

    Tradicionalmente, el uso del análisis de datos es considerado solo en la etapa de la auditoria de


    trabajo en terreno. Sin embargo, si en un compromiso de auditoria se permite el acceso a todos los
    datos de la empresa de la materia bajo revisión, puede entonces valer la pena realizar un análisis
    previo de datos. Al extraer los datos es posible determinar qué países, unidades y procesos de
    negocios, u otras áreas, ocultan valores atípicos que podrían representar un mayor riesgo o
    problemas de cumplimiento. Una vez que se identifica a una unidad de negocio, se puede afinar
    más el alcance del compromiso profundizando más en los datos, aumentando el alcance en las áreas
    de mayor riesgo y reduciendo el alcance en los sectores donde el análisis sugiere que el riesgo puede
    ser menor.

    El resultado general es un plan de auditoría más dinámico basado en una evaluación de riesgos
    continua, justo a tiempo; auditorías más eficientes que están alineadas con las áreas de riesgo;
    resultados de auditoria más efectivos que se enfocan en aquellas áreas de alto riesgo; e informes
    automatizados.

    Planificación: Implementación de la autoevaluación de controles

    En empresas donde una parte considerable de la evidencia es proporcionada mediante entrevistas,


    y donde existe una buena relación de trabajo entre la gerencia y auditoría, uno podría realmente
    innovar y ahorrar significativamente tiempo adoptando la autoevaluación de controles (CSA).

    Resumiendo, ISACA define el CSA como una evaluación de los controles realizados por el personal
    de la unidad o las unidades involucradas. Es una técnica de gestión que asegura a los interesados,
    clientes y otras partes que el sistema de control interno de la organización es confiable. El CSA
    requiere que el auditado conteste una serie de preguntas sobre los criterios relevantes, o los
    estándares y puntos de referencia usados, para medir y presentar el tema con los cuales un auditor
    de SI lo evalúa.

    Planificación: Verticalidad de la auditoria

    Auditar aplicaciones o áreas temáticas horizontalmente, es decir, revisar todas las áreas de riesgo
    seleccionadas para una aplicación determinada, es una práctica generalizada. Cada aplicación o
    materia se audita independientemente. Sin embargo, esta manera de auditar puede conducir a
    hallazgos recurrentes o temas comunes. Por ejemplo, puede que varias aplicaciones no sean
    totalmente compatibles con el proceso de gestión de cambios definido. Esto dará como resultado
    varios hallazgos similares en las diferentes aplicaciones. En tales circunstancias, puede tener sentido
    auditar el proceso de administración de cambios en forma horizontal en todas las aplicaciones. El
    objetivo de dicha auditoría sería abordar las causas subyacentes del tema recurrente y mitigar el
    riesgo en la mayoría de las aplicaciones.
    Trabajo en terreno/documentación: Obtener acceso primario a la evidencia

    En la etapa de trabajo en terreno de la auditoria, un auditor de TI obtiene evidencia para medir


    contra criterios. La forma tradicional de hacerlo es a través de entrevistas y de recorridos, donde el
    auditor de TI solicitará una pantalla impresa, una copia de un informe u otra evidencia para
    confirmar que los criterios se han cumplido. Sin embargo, si al auditor de TI se le otorga acceso de
    solo lectura a esta evidencia, el tiempo que necesita para estar con el auditado se reducirá, lo que
    a la larga le ahorrará dinero a la empresa.

    Además, el auditor de TI no necesita limitarse solo al muestreo. Algunos ejemplos se mencionan a


    continuación:

    • Administración de cambios: Si existe una aplicación de gestión de cambios y los auditores de TI


    tienen acceso a ella, no es necesario que se revisen los cambios con el auditado. Se puede muestrear
    o probar todos los cambios directamente en la aplicación o extrayendo los datos desde la aplicación
    para un análisis posterior.

    • Gestión de vulnerabilidades: Si los auditores de TI tienen acceso directo al escáner de


    vulnerabilidades pueden saber si la herramienta está escaneando los activos asociados. Además, al
    revisar los resultados de escaneos previos puede obtener seguridad de que existe un proceso en
    curso, y que las vulnerabilidades están siendo mitigadas continuamente.

    • Auditoría y registro: Si los auditores de TI tienen acceso directo a la herramienta de Gestión de


    Eventos e Información de Seguridad (SIEM), pueden saber si los activos de la aplicación relacionados
    están siendo capturados por la herramienta y, si la auditoría está en un nivel que coincide con los
    criterios requeridos.

    S-ar putea să vă placă și