Please enable JavaScript.
Coggle requires JavaScript to display documents.
Mod2. Planeación y Ejecución de Auditorias - Coggle Diagram
Mod2. Planeación y Ejecución de Auditorias
Planeación de Auditorias de SI
• Su planificación debe obedecer a un objetivo claro
• Requiere planificar el muestreo para capturar evidencia aplicable (plan de muestreo)
• Probar la evidencia (verificación) y comparar los resultados de las pruebas con los criterios de auditoría (evaluación)
• Generar un informe de resultados (resultados de la auditoría).
La persona responsable de administrar el programa de auditoría designará un (auditor) líder de equipo para cada auditoría específica. • Su trabajo como auditor líder de SI es proporcionar una seguridad razonable de que los objetivos de auditoría se logran
Planificación de Auditoria
Alcance de la auditoría • Son los límites descritos por los procesos a ser revisados, dentro de ubicaciones físicas específicas • Mantenlo simple, describiendo la ubicación, las unidades a medir, las actividades específicas y un proceso particular con un período de tiempo manejable medido en días, semanas o meses. • El objetivo es dividir el flujo de trabajo grande y complejo en una serie de pequeñas auditorías
Criterios de auditoría • Identifique un conjunto de políticas con las que el cliente desea ser medido • Luego especifique los procedimientos o requisitos para comparar con la evidencia recogida
• Plan de QA de Auditoria • Garantizan que todas las decisiones y opiniones estén respaldadas por evidencia y documentación • Garantizan la coherencia en el proceso de auditoría
• Equipo de auditoría • Incluir un auditor líder (senior) que supervisa el proceso. • Utilizar el apoyo de expertos técnicos • Incluir auditores en formación (junior)
• Dependiendo de los objetivos, la auditoría puede ser realizada por personal interno, proveedores o terceros externos:
• Auditorías externas
• Desarrolladas por clientes, proveedores o alguien con interés
en la actividad auditada
• Pueden ser entes regulatorios internos, pero ajenos a un
departamento o área, como la CEI en la EPN
• Pueden ser proveedores que están evaluando los niveles de
servicio (SLAs)
• Auditoría continua
• Son procesos automatizados para auditar las transacciones
casi en tiempo real
• Garantizan el cumplimiento de controles
• Identifican de inmediato cualquier transacción que parezca ser
errónea o fraudulenta
• Se evita a lo sumo la actividad manual, y cubre
• Auditorías internas • Representan una autodeclaración de conformidad • El auditor puede demostrar un nivel moderado de independencia al no tener responsabilidad en la actividad auditada
• Auditorías externas independientes (o auditorías de terceros)
• Este es el nivel más alto de confianza porque los auditores no
están relacionados con la organización auditada
• Las conclusiones de esta auditoría se puede utilizar para
licencias o certificaciones industriales
• Pueden ser realizadas por organizamos de control como el SRI
y la CGE
Auditoría integrada (o auditoría combinada)
• Es un proceso de colaboración que considera la tecnología de
la información, los controles financieros y operativos como
mutuamente dependientes
• Establece un entorno de control interno eficaz y eficiente.
• Evita tener silos y segregación; audita finanzas, la tecnología, y
las operaciones relacionadas al mismo tiempo
• Auditoría conjunta
• Dos o más organizaciones de auditores cooperan para auditar
un solo auditado individual
• Esto puede ocurrir debido a las complejidades del alcance o
los plazos ajustados
• Debe prestarse especial atención a la división formal del
trabajo entre los diferentes equipos auditores, y revisarlo
antes de que comience la auditoría.
Carta de Auditoria
• Debe declarar claramente la responsabilidad de la administración, los objetivos de la auditoria, la delegación de autoridad al equipo de auditoria, y el deber de rendición de cuentas de parte de los auditados
• Responsabilidad • Evidencia el alcance con metas y objetivos
• Autoridad • Otorga el derecho de realizar una auditoría y el derecho de obtener acceso relevante para la auditoría
• Rendición de cuentas • Define acciones mutuamente acordadas entre el comité de auditoría y
Roles
• Comité de Auditoría • Los miembros del comité de auditoría deben tener conocimientos financieros, la capacidad de leer y comprender los estados financieros
• No sustituyen a los ejecutivos; se le delega la autoridad para
revisar y cuestionar las garantías de controles internos
realizados por la dirección ejecutiva.
• Gestiona actividades planificadas de auditoría y los resultados
de auditorías internas y externas.
• Puede contratar expertos externos para una garantizar la
independencia
• El auditor es la persona competente que realiza la auditoría.
• Identificar estándares específicos utilizados para la auditoría
(como NIST 800‐53, controles, objetivos de gestión ISO 27002)
• Usar una estrategia de auditoría basada en el riesgo
• Identificar requisitos especiales de confidencialidad, seguridad
y protección
• Documentar la vinculación entre los procedimientos de
auditoría y los objetivos específicos de auditoría
• Crear una lista de la evidencia necesaria para revisar a fin de
preparar los resultados de la auditoría
• La organización y las personas auditadas se denominan
colectivamente auditado.
• El cliente es la persona u organización con la autoridad para
solicitar la auditoría
• Un cliente puede ser el comité de auditoría, el cliente externo, el
departamento de auditoría interna o grupo regulador
• Si el cliente es interno del auditado, ese cliente asume el rol de
auditado.
• Identificar factores críticos de éxito (CSF) y medidas de
desempeño
Directrices y Procedimientos para Auditoria de SI
5: La Práctica de Auditoria de SI
Reportando y Comunicando Resultados