Semana 02 ASC

¡La universidad para todos!
¡La Universidad para todos!
Curso: Auditoria de Sistemas Contables
Tema: Auditoría de Tecnologías de información

Docente: Ma. Ing. Alejandro Díaz Aguilar
Escuela Profesional Periodo académico: 2018-2

CIENCIAS CONTABLES Y FINANCIERAS Semestre: IX
Unidad: I
ORIENTACIONES
Para una mejor comprensión de la Auditoría de

Tecnologías de información, es necesario que realicen
lo siguiente:
1. Leer el texto de lectura obligatoria.
2. Leer la Ayuda de la semana 2.

CONTENIDOS TEMÁTICO
• Auditoria de Sistemas de Información:

Objetivos, roles y retos del auditor TI.
• Áreas Específicas de Auditoria Tecnológica
• Ejemplos de Programas de trabajo y Pruebas de
auditoria.
• Estándares internacionales principales.
AUDITORIA DE
TECNOLOGÍAS DE INFORMACIÓN (TI)
“Proceso de revisión y evaluación de
todos los aspectos de los sistemas
automáticos de procesamiento de Información,
incluidos procedimientos no automáticos
relacionados con ellos y las interfaces
correspondientes”.
Fuente:
ISACA (Information Systems Audit & Control Association)
AUDITORÍA TI
AUDITORÍA TI
Auditoría Gerencia de
tradicional sistemas
Auditoría de
sistemas
Ciencia del
Ciencias de la comportamiento
Computación
Ingeniero
de sistemas
AUDITORÍA TI
Objetivos de la Auditoría de TI
Organizaciones
Confiabilidad:
Integridad de Uso de recursos
los datos con eficiencia
Preservar la
Mejorar la confidencialidad Mejorar la
salvaguarda de los datos efectividad de
de los activos los Procesos
RETOS DEL AUDITOR
• Conocimiento del negocio.

• Conocimientos de TI.
• Conocimiento sobre como actúan las TI en el
proceso del negocio.
• Conocimiento de Riesgos y Procesos.
• Confianza y respeto de los auditados.
• Conocimiento del impacto de sus
recomendaciones.
• Contraparte válida y asesor en controles y
autocontrol para el auditado.
ROLES Y FUNCIONES DEL

AUDITOR TI
• Realizar el Plan anual de las auditorías a realizar
• Determinar el Mapa de Procesos de negocio y
soporte
• Realizar la evaluación de Riesgos asociados a las
actividades de Tecnologías de Información
• Evaluar los controles de los procesos TI
• Presentar informe de debilidades y
recomendaciones, acordando un cronograma de
solución con los involucrados
• Participar en auditorías integradas.
• Seguimiento de las recomendaciones
AUDITORÍA TI
Areas Específicas de Auditoria

• Seguridad de la Información
• Desarrollo y Mantenimiento
• Aplicaciones de Negocios y Operativos
• Explotación de Tecnología
• Infraestructura de Sistemas
DESARROLLO Y MANTENIMIENTO
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditoría
Alineación
Negocio-TI
Preparación
Post Gestión de de Soluciones
Implantación Proyectos TI
Organización y
Gestión de
Cambios
Proceso del Ciclo de Desarrollo Metodología
• Requerimientos del Usuario. Estándares

Normas
• Análisis y Diagnóstico. Entregables
• Diseño: Funcional y Técnico.
• Desarrollo: Programación.
• Pruebas
• Instalación: Entrega a Explotación.
Administración y Control
• Plan anual de atención
• Planificación de requerimientos
Actividades, Recursos, Esfuerzo, Cronogramas,
Hitos.
• Ejecución: Actualización y Registro.
• Cambios: Al plan, repriorizaciones
• Informe anual resultados
El Auditor puede participar
•Como “miembro” del equipo de
desarrollo para identificar fallas o debilidades en
etapas tempranas.
•En revisiones de postimplementación
•En revisiones de los procesos o aplicaciones.
Mantenimiento
• Correctivos
• Incidencias
• Optimizaciones
AUDITORIA DE APLICACIONES
Revisión de cobertura operativa /o negocio:
• Adecuado servicio a los requerimientos del
Negocio
• Entender el flujo de transacciones y la estructura
básica de control, incluyendo los aspectos de
procesos manuales, automatizados e interfaces
• Controles de acceso y facultades en la operativa,
para el cumplimiento de la segregación de
funciones y autorizaciones de control dual.
• Atención de incidencias
• Comprobar que la operativa se ajusta
a la normativa interna externa.
Revisión de Implementación:
• Nivel de documentación de sistemas y
programas.
• Pruebas, aprobaciones, y documentación de los
cambios a programas y procesos.
• Controlesde Acceso a librerías de
programas, documentación y archivos.
• Analizar Integridad, Calidad y Consistencia
de los datos en la Base de Datos.
• Revisar los Controles Informáticos de Entrada y
Salida de datos.
• Controlesde acceso a la base de
datos y transacciones.
Revisión de Diseño
• Especificaciones funcionales: Requerimientos
de transacciones, cálculos, flujos de control,
etc.
• Diseño Funcional
• Diseño de Interfaces con usuarios (E/S)
• Diseño de Procesos
• Diseño de Bases de Datos
Desarrollo de pruebas
• Diseño de datos de pruebas
• Caja Negra: Pruebas de especificaciones funcionales
• Caja Blanca: Cobertura completa, a nivel de
Instrucciones, Rutas de lógica
• Valores Límite: con datos para probar la ejecución de
límites mayores, menores e iguales a lo indicado en
el programa.
• Pruebas de esfuerzo operativo y técnico.
• Pruebas de conformidad: procedimientos, reglas de
negocio, etc.
• Pruebas sustantivas o de validación: detectar errores
o irregularidades en procesos, actividades o
transacciones
• Pruebas de Intrusión: Recomendaciones
AUDITORÍA DE EXPLOTACIÓN
• Control de entrada de datos.

• Gestión de Cambios:
Planificación y recepción de aplicaciones.
• Centro de control y monitoreo de eventos
• Centro de atención de Usuarios y resolución de
problemas
• Planificacion de procesos
• Control de resultados.
• Capacity Planning: Demanda, Recursos,
Rendimiento
AUDITORÍA DE INFRAESTRUCTURA
DE SISTEMAS
• Comunicaciones y Redes.
• Sistemas Operativos.
• Software base y herramientas.
• Administración de
Bases de Datos.
AUDITORÍA DE COMUNICACIONES
• Diseño de la infraestructura de las redes

• Monitoreo de tráfico y disponibilidad de las redes ->
alertas
• Servicios de transporte y balanceo de tráfico

• Pruebas de los enlaces de contingencia
• Inventario de equipos de comunicaciones y
servidores de infraestructura y aplicativos
AUDITORÍA DE COMUNICACIONES
• Detección, registro y resolución de problemas

• Pruebas de vulnerabilidad de la segmentación de
redes
• Evaluación de certificados de seguridad:
Políticas, controles, autoridad, distribución, etc.
• Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.
AUDITORÍA DE SEGURIDAD
• Gestión de Riesgos
– Metodología usada
– Activos significativos identificados, con
evaluación de riesgos y controles que lo
mitigan
• Plan de Seguridad de Información
• Basado en las mejores prácticas:
• ISO 27001 SGSI
–
• Conocidos y aprobados por dueño del negocio
• –y de acuerdo en los riesgos y controles
• – Publicación, documentación, revisión y
mantenimiento.
• Seguridad Física
– Procedimiento de accesos a instalaciones
– Implementación de instalaciones tecnológicas
– Consideraciones ergonómicas: Diseño de
productos y puestos
• Ambiente de Control
– Verificar nivel de concientización del personal y
responsabilidad de los controles de seguridad
– Cumplimiento de las políticas y de la normativa
relacionada.
– Cumplimiento y valoración de los controles
• Control de Accesos
– Procesos de Negocio y Operativos
– Accesos a Infraestructura Tecnológica: Servidores,
Entornos, etc.
– Métodos y Herramientas: Acceso biométrico
• Evaluar procedimientos de registro y validación.
• Nivel de aceptación usuarios
• Existencia de plan de contingencia
• Infraestructura
– Prevención de fuga de información
– Protección de Datos
• Seguridad Perimetral
– Segmentación: separación en redes lógicas para
aislar a los usuarios e infraestructura de intrusos
– Arquitectura: proveer autenticación,
autorización, auditoría y detección de intrusos
– Pruebas de acceso a redes y/o servidores según
perfiles
– Tests de intrusión
• Continuidad de Negocios
– Existencia de un Plan de Continuidad de Negocios:
• Servicios críticos
• Organización y Procedimientos
– Pruebas de los Planes de Contingencia:
• Sistema de recuperacion
• Infraestructura alternativa
• Atención de servicios
• Retorno a la Normalidad
ESTÁNDARES DE AUDITORÍA
• En el mundo, han evolucionado las siguientes

organizaciones profesionales:
– American Institute of Certified Public
Accountants (AICPA)
– Canadian Institute of Chartered Accountants
(CICA)
– Institute of Internal Auditors (IIA)
– Information Systems Audit and Control
Association (ISACA)
– U.S. General Accounting Office.
ESTÁNDARES DE AUDITORÍA
• Informe COSO - (Committee of Sponsoring Organizations), de la

Comisión de Estudios de Controles Internos -> Para la
Gerencia
• SAC - (Systems Auditability and Control), de la Fundación de
Investigación del IIA -> Para los Auditores Internos.
• SAS 55 y SAS 78 - Consideraciones de la estructura de
Controles Internos en los Informes de los Estados
Financieros, del Instituto Americano de Contadores Públicos
(AICPA) -> Auditores Externos
• COBIT (Control Objectives for Information and related Technology),
de la Fundación de Auditoría y Control de Sistemas de
Información ->Auditores de TI.
PROGRAMAS DE CERTIFICACIÓN
CISA: Certified Information System Auditor.

CISM: Certified Information Security Manager.
ESI: European Software Institute.
CIA: Certified Internal Auditor.

CONCLUSIONES
• Las áreas específicas de la Auditoria de TI son:

• Seguridad de la Información
• Desarrollo y Mantenimiento
• Aplicaciones de Negocios y Operativos
• Explotación de Tecnología
• Infraestructura de Sistemas
• Existen estándares de Auditoría en el mundo.
¡Gracias!

Semana 02 ASC

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Semana 02 ASC

Încărcat de

Drepturi de autor:

Formate disponibile

¡La universidad para todos!

¡La Universidad para todos!

Curso: Auditoria de Sistemas Contables

Tema: Auditoría de Tecnologías de información

Escuela Profesional Periodo académico: 2018-2

Para una mejor comprensión de la Auditoría de

1. Leer el texto de lectura obligatoria.

2. Leer la Ayuda de la semana 2.

• Auditoria de Sistemas de Información:

RETOS DEL AUDITOR

• Conocimiento del negocio.

ROLES Y FUNCIONES DEL

Areas Específicas de Auditoria

Proceso del Ciclo de Desarrollo Metodología

• Requerimientos del Usuario. Estándares

• Control de entrada de datos.

• Software base y herramientas.

• Diseño de la infraestructura de las redes

• Servicios de transporte y balanceo de tráfico

• Detección, registro y resolución de problemas

• En el mundo, han evolucionado las siguientes

• Informe COSO - (Committee of Sponsoring Organizations), de la

CISA: Certified Information System Auditor.

CIA: Certified Internal Auditor.

• Las áreas específicas de la Auditoria de TI son:

S-ar putea să vă placă și