Auditoría Informática Clase 2

1. Auditoría InformáticaClase 2 Miguel Ángel Barahona M. Ingeniero Informático, UTFSM Magíster en Tecnología y Gestión, UC

2. Estándares Internacionales • ISACA, Information Systems Audit and Control Association • Fundado en 1969. • Reconocido como líder mundial en governance, control y seguridad en Sistemas de Información • La misión de ISACA es soportar los objetivos de la empresa a través de investigación, desarrollo, estándares, competencias y prácticas para un efectivo governance, control, aseguramiento de la información, sistemas y tecnología en la empresa.

3. ISACA • Sus normas de auditoría y control de SI son seguidas por profesionales de todo el mundo • ISACA además ofrece cuatro certificaciones : • Certified Information Systems Auditor (CISA) • Certified Information Security Manager, (CISM) • Certified in the Governance of Enterprise IT (CGEIT) • Certified in Risk and Information Systems Control (CRISC)

4. Procesos de Auditoría en Sistemas de Información • Estándar de Auditoría en SI. • Los estándares, guías, y códigos de ética, son la base de la actividad de auditoría de sistemas. • Los estándares son bastante claros, y describen los requerimientos básicos de la auditoría de sistemas: • La responsabilidad y autoridad de las funciones de auditoría deben ser apropiadamente documentadas en una carta de auditoría o carta de compromiso. • En todas las materias relacionadas con la auditoría, el auditor debe ser independiente del auditado, en actitud y apariencia. • La función de auditoría debe ser completamente independiente del área a ser auditada, con el objeto de efectuar una auditoría en profundidad. • El auditor debe adherir al código profesional de ISACA

5. El auditor debe ser capaz de aplicar con atención los estándares de auditoría. • El auditor es técnicamente competente, teniendo habilidades y conocimientos necesarios para ejecutar las tareas de auditoría. • El auditor debe mantener las competencias técnicas, a través de una continua preparación educacional. • El auditor necesita un plan del trabajo de auditoría que lo dirija hacia el objetivo de esta, cumpliendo los estándares establecidos. • Durante el curso de la auditoría, el auditor reúne suficiente evidencia para cumplir efectivamente los objetivos de la auditoría. Los hallazgos y conclusiones son soportadas por esta evidencia. • El auditor debe generar un reporte completo con los hallazgos, conclusiones y recomendaciones con acciones que deben ser implementadas tempranamente.

7. Enfoque Basado en Riesgos • El propósito de un auditor es identificar riesgos y asegurar que los riesgos residuales (que quedan después de aplicar controles) son aceptables de administrar. • Todas las actividades presentan riesgos, en algunas más que en otras. Es el costo de todo negocio. • Las consecuencias de un riesgo son evaluadas, los riesgos medidos, y se seleccionan alternativas. • Un auditor debe considerar tres tipos de riesgos cuando planifica una auditoría: • Riesgos Inherentes: La susceptibilidad de un error en un negocio o proceso, no presente en un control interno. P.e.: Instalar UNIX sin sus parches de seguridad y conectar servidor en red. • Riesgo de Control: Un control puesto en algún lugar no prevendrá, corregirá o detectará un error en sus fases tempranas. Revisión de Log. • Riesgo de Detección: El riesgo de que los procedimientos del auditor no detecten un error. En este caso el auditor podría necesitar información adicional.

8. Know Your Business • El auditor debe conocer el negocio y sus objetivos. Por ejemplo, debe saber cual es el estado de negocios similares en el mundo, cuales son las tendencias actuales y futuras de los productos o servicios que provee la compañía, cual es la cultura organizacional, cual es la experiencia de los ejecutivos, etc.