Auditora de Sistemas

Informticos
Ingeniera de Sistemas
UTP 2015-2

Contenido del curso

(Fuente: Syllabus del curso, actualizado al 10/03/2015)

En la clase anterior
Auditora de Sistemas
Auditora vs. Control Interno
Actividades del Auditor de Sistemas

El Auditor de Sistemas

Perfil del Auditor de Sistemas

Responsabilidades del Auditor de Sistemas
tica del Auditor de Sistemas
Caso: Arthur Andersen

Semana 2

Estndares
Internacionales de
Auditora

 COSO ERM (Enterprise Risk

Management)

CISA, CISM, CGEIT, CRISK

COBIT Foundations
Cybersecurity Training

ITAF (Information Technology Assurance

Framework)
COBIT (Controls Objectives for
Information and Related Technology)

Estndares
de auditora
de Sistemas
Certificacio
nes del
auditor de
Sistemas
Relacin
con otros
tipos de
auditora

Agenda

Visin / Misin / Objetivos

estratgicos
Objetivo
Objetivo
Objetivo
A
B
C
Procesos de negocio
Proceso
A

Proceso
B

Proceso
C

Riesgos

Aplicaciones de negocio
Aplicacin A

Aplicacin B

Controles generales de TI
Gobierno y
gestin de
TI

Desarrollo
de
sistemas

Operacione
s de TI

Seguridad
de
informaci

Auditora
de
Sistemas
Informtic
os

Information Systems Audit and

Control Association (ISACA)

Con ms de 115,000 integrantes en 180 pases, ISACAayuda a

empresas y lderes de TI a construir confianza en y maximizar el
valor de la informacin y de los sistemas de informacin.
Fundada en 1969, ISACA es una fuente confiable de
conocimiento, estndares, comunidad, y desarrollo de
carrera para los profesionales en gobierno, privacidad,
riesgos, seguridad, aseguramiento y auditora de sistemas.
ISACA ofrece el Cybersecurity Nexus, un completo conjunto
de recursos para los profesionales en ciberseguridad, y COBIT,
un marco de referencia de negocios que ayuda a las empresas a
gobernar y gestionar su informacin y su tecnologa.
ISACA adicionalmente promueve el avance y certificacin de
habilidades y conocimientos crticos para el negocio, a
travs de () certificaciones globalmente respetadas.
La asociacin tiene ms de 200 captulos en todo el mundo.

(Fuente: Isaca.org)

Estndar de auditora y
aseguramiento de SI (ITAF)
Estndares
Generales
Principios de
orientacin segn
los cuales operan
los profesionales
de auditora de
Sistemas.
Realizacin de
todas las
actividades, tica,
independencia,
objetividad,
debido cuidado,
conocimiento,
competencia y
habilidad.
Son obligatorias.

Estndares de
Desempeo
Realizacin de la
asignacin:
planificacin y
supervisin,
alcance, riesgo e
importancia,
movilizacin de
recursos, gestin
de supervisin y
asignaciones,
evidencia de
auditora y
aseguramiento, y
la puesta en
prctica de juicio
profesional y
debido cuidado.

Estndares de
Reportes
Tipos de reportes,
medios de
comunicacin e
informacin
comunicada
Se encuentran en
el ITAF
(Information
Technology
Assurance
Framework),
emitido por
ISACA.

Estndar de auditora y
aseguramiento de SI (ITAF)
Estndares
Generales
1001 Estatuto de
la funcin de
auditora
1002
Independencia
organizacional
1003
Independencia
profesional
1004 Expectativa
razonable
1005 Debido
cuidado
profesional
1006
Competencia
1007

Estndares de
Desempeo
1201 Planificacin
de la asignacin
1202 Evaluacin
de riesgo en
planificacin
1203 Desempeo
y supervisin
1204 Materialidad
1205 Evidencia
1206 Uso del
trabajo de otros
expertos
1207
Irregularidades y
actos ilegales

Estndares de
Reportes
1401 Reportes
1402 Actividades
de seguimiento

ITAF: Estndares generales (I)

1001 Estatuto de la funcin de auditora
Debe indicar propsito, responsabilidad, autoridad y
responsabilidad.
Debe estar aprobado.
1002 Independencia organizacional
La auditora es independiente de la actividad que se revise.
Permite la objetividad.
1003 Independencia profesional
Los profesionales deben ser independientes y objetivos.
1004 Expectativa razonable
Realizar la auditora slo si el trabajo puede completarse
conforme a estndares.
Considerar si el alcance es suficiente para emitir opinin.
Expectativa razonable sobre la entrega de informacin por
parte de la direccin.
(Fuente:

ITAF: Estndares generales (II)

1005 Debido cuidado profesional
Observar estndares.
Escepticismo profesional.
1006 Competencia
Habilidades y competencias adecuadas.
Conocimiento del tema.
Capacitacin continua.
1007 Afirmaciones
Evaluar criterios y afirmaciones usadas en la revisin.
Emplear criterios junto con juicio profesional.
1008 Criterios
Objetivos, completos, relevantes, medibles, comprensibles.
Criterios emitidos por organismos autorizados.
(Fuente:

ITAF: Estndares de desempeo(I)

1201 Planificacin de la asignacin
Plan de auditora: objetivos, alcance, cronograma y productos.
Cumplimiento de estndares y leyes aplicables.
Requerimientos de reportes y documentacin.
1202 Evaluacin del riesgo en planificacin
Enfoque para evaluacin de riesgo adecuado y metodologa
para desarrollar el plan de auditora.
Identificar y evaluar riesgos de cada rea a revisar.
Considerar la exposicin relativa de la empresa.
1203 Desempeo y supervisin
Llevar a cabo la revisin conforme con el plan de auditora.
Obtener evidencia suficiente para cumplir los objetivos de la
auditora.
Documentar el proceso de auditora.
1204 Materialidad
Informar sobre ausencia de controles o controles ineficaces.
Informar sobre importancia de las deficiencias de control.
(Fuente:

ITAF: Estndares de desempeo(II)

1205 Evidencia
Obtener evidencias suficientes y apropiadas para llegar a
conclusiones.
Evaluar la suficiencia de la evidencia obtenida para respaldar
conclusiones.
1206 Uso del trabajo de otros expertos
Determinar si el trabajo de otros expertos es aplicable para las
conclusiones.
Aplicar pruebas adicionales en caso de que el trabajo de otros
expertos no brinde evidencia suficiente.
1207 Irregularidades y actos ilegales
Considerar el riesgo de irregularidades y actos ilegales
durante la auditora.
Escepticismo profesional.
Documentar y comunicar irregularidades y actos ilegales.

(Fuente:

ITAF: Estndares de reportes

1401 Reportes
Incluir hallazgos, conclusiones y recomendaciones de la
auditora.
Los hallazgos deben estar respaldados por evidencia suficiente
y apropiada.
1402 Actividades de seguimiento
Monitorear si la direccin ha implementado planes de accin
sobre los hallazgos.

(Fuente:

Caso: Auditora a Nimbus UTP

El Grupo UTP ha decidido que se realice una
auditora sobre la plataforma Nimbus. Para
ello, ha seleccionado a 04 personas que
conformarn el equipo de auditora que realice la
revisin.
Indiquen como mnimo cuatro (04)
actividades que realizarn en la auditora.
Tomen como sugerencia la siguiente lmina.
Discusin: 05mins.

Caso: Auditora Nimbus UTP

Planificaci
n

1201 Planificacin
de la asignacin

1401 Reportes
1402
Actividades de
seguimiento

Cierre

1205
Evidencia
(Estndares sugeridos)

Ejecucin

Monitoreo
y control

1005 Debido
cuidado
profesional
1203 Desempeo
y supervisin
1207
Irregularidades y
actos ilegales

COBIT (Controls
Objectives for
Information and
Related
COBIT 5 proporciona
un marco integral que ayuda a las
Technology)
Organizaciones a lograr su metas y entregar valor
mediante un gobierno y una administracin efectivos de la
TI de la Organizacin.

COBIT 5 ayuda a las Organizaciones a crear un valor ptimo a

partir de la TI, al mantener un equilibrio entre la realizacin de
beneficios y la optimizacin de los niveles de riesgo y utilizacin
de los recursos.

COBIT 5 permite que las tecnologas de la informacin y

relacionadas se gobiernen y administren de una manera holstica
a nivel de toda la Organizacin, incluyendo el alcance completo de
todas las reas de responsabilidad funcionales y de negocios,
considerando
los intereses relacionados con la TI de las partes
(Fuente:
COBIT @ ISACA.org)

Evolucin de COBIT

(Fuente: COBIT @ ISACA.org)

Principios de COBIT

(Fuente: COBIT @ ISACA.org)

(Fuente: COBIT @ ISACA.org)

Certificaciones del Auditor de

Sistemas

El futuro de la auditora de sistemas de

informacin est en manos de sus
profesionales. Son esenciales el
conocimiento y la experiencia probada;
sin embargo, la certificacin es crucial
para satisfacer las demandas del futuro,
el cual tambin necesita educacin
continua.
Mantener una certificacin de ISACA
ayuda a los profesionales a satisfacer las
demandas de hoy y prepararse para el
futuro.
Richard Brisebois, CISA, Office of the
General Auditor of Canada

(Fuente: ISACA.org.pe)

 Certificacin aplicable a auditores de TI y

profesionales de TI que demuestren
conocimiento del marco de trabajo COBIT.
Estndar para profesionales de TI con
experiencia en la identificacin de riesgos, su
anlisis y evaluacin; respuesta al riesgo,
monitoreo de riesgos.

COBIT Foundations
Certified in Risk and
Information
Systems Control (CRISC)
Systems Auditor
(CISA)

Estndar para profesionales en auditora,

control, seguimiento y evaluacin de la
tecnologa de informacin y sistemas de
negocio de una organizacin..

Certified Information
Security Manager
(CISM)

Estndar para administradores

experimentados de seguridad de la
informacin y responsables de gestin de
seguridad de una organizacin.

Certified in the
Governance of
Enterprise IT (CGEIT)

Estndar para profesionales de IT y de negocio

que tienen una importante gestin,
asesoramiento, o el papel de garanta en
relacin con el gobierno de TI empresarial.

Certificaciones del Auditor de

Sistemas
Certified Information

Nuevas certificaciones del

Auditor de Sistemas
Cybersecurity
Training (nuevas
certificaciones
vigentes desde el
2015).

Fundamentals
Practitioner
Specialist
Expert

(Fuente: Cybersecurity Nexus @ ISACA)

Directorio de
la compaa

Auditora
Interna
COSO
ERM

COSO
ERM
COBIT

COBIT
Unidad de TI
Revisa a
Reporta a

Auditora
Externa

COSO
ERM
COBIT

Auditora
Especfica

COSO ERM (Enterprise Risk

Management)
Marco global para la administracin de riesgos y
control interno de las organizaciones.
Emitido por COSO (Comittee of Sponsoring
Organizations of the Treadway Comission) en el
ao 2004.
Gestin de Riesgos Corporativos:
Es un proceso efectuado por el consejo de administracin de
una entidad, su direccin y restante personal, aplicable a la
definicin de estrategias en toda la empresa y diseado para
identificar eventos potenciales que puedan afectar a la
organizacin, gestionar sus riesgos dentro del riesgo
aceptado y proporcionar una seguridad razonable sobre
el logro de los objetivos.
(Fuente:
La administracin del Riesgo Empresarial: una responsabilidad de todos El

COSO ERM: Componentes

Categoras de
objetivos

Componente
s

Unidades de
la
organizacin

(Fuente:
La administracin del Riesgo Empresarial: una responsabilidad de todos El

COSO ERM vs. COBIT

(Fuente: Cybersecurity Student Group)

En conclusin
Aplicar estndares en la planificacin, ejecucin y
reporte de la auditora de Sistemas.
ITAF (Information Technology Assurance
Framework)
COBIT (Controls Objectives for Information and
Related Technology)
Las certificaciones internacionales son importantes
como parte de la competencia y capacitacin
continua del auditor de Sistemas.
COSO ERM es el marco para la administracin de
riesgos y de control interno para las organizaciones.
COBIT se encuentra alineado a COSO ERM.

Primera prctica
calificada
La prctica se realizar de forma grupal,

modalidad open book (con las presentaciones

revisadas en clase).
Los grupos sern determinados el da de la
prctica.
En la semana se enviar un caso que ser
resuelto el da de la prctica.
Temas:
(Semana 1) El Auditor de Sistemas: rol y
responsabilidades
(Semana 2) Estndares internacionales de
Auditora
Documentos ITAF: Nimbus > Unidad 02 >
Estndares ITAF

Prxima clase
Semana 3: Controles de la Tecnologa
de la Informacin
Revisar:
COBIT 5 Introduccin (Nimbus >
Documentos)
COBIT 5 Procesos Catalizadores
(Nimbus > Documentos)

Gracias por su
atencin!
Ing. Johana Cevallos Vera
c14171@grupoutp.edu.pe