Upload
rogelio-hernandez
View
56
Download
0
Tags:
Embed Size (px)
Citation preview
ETAPAS DE LA AUDITORIA TI
CESAR GARCIA M.
Referencias
Las diapositivas (8-21) están basadas en el artículo de
Singleton, W. Tommie. Auditing Applications Part 1. IT Audit Basics. Isaca Journal Volume 3, 2012.
http://www.isaca.org/Journal/Past-Issues/2012/Volume-3/Documents/12v3-Auditing-Applications-Part-1.pdf
Fases de Auditoría Interna
Planeación.
Prueba.
Reportes.
Fuente: Swanson, Dan. Risk Management. ITCinstitute.com
Fase de Planeación
Fuente: Swanson, Dan. Risk Management. ITCinstitute.com
Auditor/Auditado Actividad
Equipo Auditor Desarrolla plan de auditoría y se lo comunica a la administración
Administración/Equipo Auditor
Discuten metas, alcance, propósito y criterios
Fase de Prueba
Fuente: Swanson, Dan. Risk Management. ITCinstitute.com
Auditor/Auditado Actividad
Administración Valida procesos de prueba
Administración/Equipo Auditor
Reuniones para discutir progreso de la auditoría y problemas.
Fase de Reporte
Fuente: Swanson, Dan. Risk Management. ITCinstitute.com
Auditor/Auditado Actividad
Equipo Auditor Emite un reporte borrador
Administración Remite los comentarios
Equipo Auditor Emite un reporte final
Administración Revisa los hallazgos y comienza la planeación de acciones correctivas
Fuente: http://www.deloitte.com/view/en_LU/lu/industries/psf/ psf-service-offering-along-development/external-audit/index.htm
Marco de Trabajo
“Planear la auditoría.
Determinar los objetivos de la auditoría.
Mapear sistemas y flujos de datos.
Identificar controles claves.
Entender la funcionalidad de las aplicaciones.
Ejecutar las pruebas aplicables.
Evitar/considerar complicaciones.
Incluir afirmaciones financieras.
Considerar beneficios de las herramientas.
Completar el reporte.”
Fuente: (Singleton, 2012)
Planeación de la auditoría
“incluye las consideraciones de todos los factores relevantes que enmarcan el propósito de la auditoría”
Fuente: (Singleton, 2012)
Planeación de la auditoría
Consideraciones de propósito.
Consideraciones de riesgo.
Consideraciones de ambiente de control.
Consideraciones de Pre/pos implementación.
Consideración de alcance.
Consideración de competencias.
Fuente: (Singleton, 2012)
Considerar el propósito
¿Qué es lo que impulsa la necesidad de la auditoría?
¿Es un plan de auditoría regular?
¿Es una auditoría ad-hoc?
Fuente: (Singleton, 2012)
Considerar el propósito
“La necesidad está usualmente directamente asociada con el objetivo principal de la auditoría”
Fuente: (Singleton, 2012)
Considerar el riesgo
“El auditor de TI, o el equipo de auditoría, necesita identificar el riesgo asociado con la aplicación y sus datos asociados, fuentes, infraestructura y sistemas.”
Fuente: (Singleton, 2012)
Considerar el riesgo
“Ausencia de funcionalidad.
Errores y/o bugs.
Inhabilidad para propiamente integrar/hacer interfaz con otras aplicaciones o sistemas,
Errores en los datos.”
Fuente: (Singleton, 2012)
Considerar el riesgo
“Una vez que los escenarios de riesgos son propiamente identificados, el auditor de TI necesita evaluar el impacto sobre los objetivos de la auditoría, plan de la auditoría, alcance y procedimientos.”
Fuente: (Singleton, 2012)
Considerar el riesgo
Ausencia de funcionalidad: Examinar los requerimientos de información
original. Pruebas de revisión. Revisar un documento de aceptación del usuario.
Fuente: (Singleton, 2012)
Considerar el ambiente de control
“El plan de auditoría debería tomar en cuenta el ambiente de control que rodea la aplicación dentro del contexto del propósito de la auditoría.”
Fuente: (Singleton, 2012)
Considerar ambiente de control
“Si se prueba funcionalidad:”
Controles desarrollo de aplicaciones.
Controles SDLC.
Controles para aprobar las aplicaciones.
Fuente: (Singleton, 2012)
Considerar Pre/Pos Implementación
“Algunas veces la auditoría implica una pre-implementación de aplicación, pero más probablemente será una situación de post-implementación.”
Fuente: (Singleton, 2012)
Considerar alcance
“Establecer los límites del alcance.”
“Determinar las tecnologías relevantes y controles asociados con la auditoría de aplicaciones.”
Fuente: (Singleton, 2012)
Considerar competencias
“El líder del equipo de auditoría necesitará evaluar las competencias del staf contra las necesidades de la auditoría.”
Fuente: (Singleton, 2012)
Referencias
Las diapositivas (8-21) están basadas del artículo de
Singleton, W. Tommie. Auditing Applications Part 1. IT Audit Basics. Isaca Journal Volume 3, 2012.
http://www.isaca.org/Journal/Past-Issues/2012/Volume-3/Documents/12v3-Auditing-Applications-Part-1.pdf
Referencias
Swanson, Dan. Risk Management. ITCinstitute.com