Auditoría InformáticaClase 2

Miguel Ángel Barahona M.

Ingeniero Informático, UTFSM

Magíster en Tecnología y Gestión, UC

Estándares Internacionales

ISACA, Information Systems Audit and Control Association Fundado en 1969. Reconocido como líder mundial en governance,

control y seguridad en Sistemas de Información La misión de ISACA es soportar los objetivos de la

empresa a través de investigación, desarrollo, estándares, competencias y prácticas para un efectivo governance, control, aseguramiento de la información, sistemas y tecnología en la empresa.

ISACA

Sus normas de auditoría y control de SI son seguidas por profesionales de todo el mundo

ISACA además ofrece cuatro certificaciones : Certified Information Systems Auditor (CISA) Certified Information Security Manager, (CISM) Certified in the Governance of Enterprise IT

(CGEIT) Certified in Risk and Information Systems Control

(CRISC)

Procesos de Auditoría en Sistemas de Información

Estándar de Auditoría en SI. Los estándares, guías, y códigos de ética, son la base de la

actividad de auditoría de sistemas. Los estándares son bastante claros, y describen los

requerimientos básicos de la auditoría de sistemas: La responsabilidad y autoridad de las funciones de auditoría

deben ser apropiadamente documentadas en una carta de auditoría o carta de compromiso.

En todas las materias relacionadas con la auditoría, el auditor debe ser independiente del auditado, en actitud y apariencia.

La función de auditoría debe ser completamente independiente del área a ser auditada, con el objeto de efectuar una auditoría en profundidad.

El auditor debe adherir al código profesional de ISACA

El auditor debe ser capaz de aplicar con atención los estándares de auditoría.

El auditor es técnicamente competente, teniendo habilidades y conocimientos necesarios para ejecutar las tareas de auditoría.

El auditor debe mantener las competencias técnicas, a través de una continua preparación educacional.

El auditor necesita un plan del trabajo de auditoría que lo dirija hacia el objetivo de esta, cumpliendo los estándares establecidos.

Durante el curso de la auditoría, el auditor reúne suficiente evidencia para cumplir efectivamente los objetivos de la auditoría. Los hallazgos y conclusiones son soportadas por esta evidencia.

El auditor debe generar un reporte completo con los hallazgos, conclusiones y recomendaciones con acciones que deben ser implementadas tempranamente.

Enfoque Basado en Riesgos

El propósito de un auditor es identificar riesgos y asegurar que los riesgos residuales (que quedan después de aplicar controles) son aceptables de administrar.

Todas las actividades presentan riesgos, en algunas más que en otras. Es el costo de todo negocio.

Las consecuencias de un riesgo son evaluadas, los riesgos medidos, y se seleccionan alternativas.

Un auditor debe considerar tres tipos de riesgos cuando planifica una auditoría: Riesgos Inherentes: La susceptibilidad de un error en un negocio o

proceso, no presente en un control interno. P.e.: Instalar UNIX sin sus parches de seguridad y conectar servidor en red.

Riesgo de Control: Un control puesto en algún lugar no prevendrá, corregirá o detectará un error en sus fases tempranas. Revisión de Log.

Riesgo de Detección: El riesgo de que los procedimientos del auditor no detecten un error. En este caso el auditor podría necesitar información adicional.

Know Your Business

El auditor debe conocer el negocio y sus objetivos. Por ejemplo, debe saber cual es el estado de negocios similares en el mundo, cuales son las tendencias actuales y futuras de los productos o servicios que provee la compañía, cual es la cultura organizacional, cual es la experiencia de los ejecutivos, etc.