ASI2 - Cobit orientado a Procesos

Tuvimos la oportunidad de ver como cobit se orienta a Negocios

Es necesario que lean hasta la página 18 para hacer las preguntas al maestro.

Estuvimos revisando los Criterios de la Información y los Recursos de la Información

Pueden Bajar el material de Cobit del siguiente enlace

http://cs.uns.edu.ar/%7Eece/auditoria/cobiT4.1spanish.pdf

ASI1 - CONCEPTOS FUNDAMENTALES DE AUDITORIA Semana 1

Durante esta semana desarrollamos las siguientes Actividades:

1. Control de Lectura y entendimiento en la bibliografía recomendada en el programa lo siguiente:

o Independencia.  Standards-IT-Spanish-S2

o Materialidad y Riesgo de Auditoria  Standards-IT-Spanish-S12 1.6.6 RIESGO YMATERIALIDAD DE LA AUDITORÍA del material de CISA

o Evidencia.    Standards-IT-Spanish-S14 y  ASI1 - Tipos de evidencia

o Rol del Auditor respecto al fraude  1.6.4 DETECCIÓN DE FRAUDES

Den click en cada titulo subrayado para poderlos bajar.

2. Debemos ver la presentación powerpoint “Riesgos y evidencia de auditoría”, lastimosamente no tuvimos disponibilidad del laboratorio pero la pueden bajar de aquí. Presentación

3. El maestro les dió ejemplos de casos en que se pueden ver comprometidos estos conceptos de Auditoría. 

Actividades que debe Hacer el Alumno por su Cuenta

1.     Buscar en Internet la Pagina de Isaca e identificar donde se encuentran las guías de Auditoría. Se entra en www.isaca.org por el Knowlwdge center luego Standards luego español. Deben saber donde investigar sobre estandares de Auditoría de SI.

2.  Elaborar en un procesador de palabras poniendo su nombre y numero de cuenta en un documento que contenga una lista con por lo menos 10 estándares o Normas Generales para la Auditoría de Sistemas de Información y enviarlo al correo smi.consultores@gmail.com

3.  Ver la presentación en powerpoint en Presentación y enviar preguntas y comentarios de que les parecio al correo smi.consultores@gmail.com   

      La clase es de Lunes a Jueves, ya que mañana no hay clase.

ASI1 - Evidencia de Auditoría

S14 Evidencia de Auditoría

 

Introducción

01 Los estándares de ISACA contienen principios básicos y procedimientos esenciales, identificados con letra negrita, que junto con la documentación relacionada son obligatorios.

 

02 El propósito de este estándar es establecer estándares y proporcionar una guía sobre lo que constituye evidencia de auditoría, y la calidad y cantidad de evidencias de auditoría que deberá obtener el auditor de SI.

 

Estándar

03 El auditor de SI debe obtener evidencias de auditoría suficientes y apropiadas para llegar a conclusiones razonables sobre las que basar los resultados de la auditoría.

04 El auditor de SI debe evaluar la suficiencia de las evidencias de auditoría obtenidas durante la misma.

 

Comentario

 

Evidencia apropiada

05 Evidencia de auditoría:

• Incluye los procedimientos realizados por el auditor
• Incluye los resultados de los procedimientos realizados por el auditor de SI
• Incluye los documentos fuente (en formato electrónico o impresos en papel), registros e información de corroboración utilizados para apoyar la auditoría
• Incluye los hallazgos y resultados del trabajo de auditoría
• Demuestra que el trabajo fue realizado y cumple con las leyes, normativas y políticas aplicables

06 Al obtener una evidencia de auditoría de una prueba de controles, el auditor de SI debe considerar la completitud de la evidencia de auditoría para apoyar el nivel de riesgo del control evaluado.

07 Es necesario identificar, obtener las referencias cruzadas y catalogar de forma adecuada la evidencia de auditoría.

08 Deben tenerse en cuenta propiedades tales como la fuente, naturaleza (por ejemplo, escrito, oral, visual, electrónica) y autenticidad (por ejemplo, firmas digitales y manuales, sellos) de la evidencia de auditoría al evaluar su nivel de fiabilidad.

 

Evidencia fiable

09 En términos generales, la fiabilidad de la evidencia de auditoría es mayor cuando:

• Aparece en forma escrita, en lugar de presentarse como expresiones orales
• Se obtiene de fuentes independientes
• Es obtenida por el auditor de SI en lugar de obtenerlo de la entidad que se está auditando
• Es certificada por una entidad independiente
• Es mantenida por una entidad independiente

10 El auditor de SI debe considerar la forma más económica de recopilar la evidencia necesaria para satisfacer los objetivos y riesgos de la auditoría. Sin embargo, la dificultad o coste no es una razón válida para omitir un proceso necesario.

11 Los procedimientos usados para recopilar evidencias de auditoría dependen de la temática auditada (es decir, su naturaleza, plazos de la auditoría, juicio profesional). El auditor de SI debe seleccionar el procedimiento más apropiado para cada objetivo de auditoría.

12 El auditor de SI puede obtener una evidencia de auditoría por:

• Inspección
• Observación
• Consulta y confirmación
• Repetición de la ejecución
• Repetición del cálculo
• Computación
• Procedimientos analíticos
• Otros métodos generalmente aceptados

13 El auditor de SI debe considerar la fuente y la naturaleza de cualquier información obtenida para evaluar su fiabilidad y ulteriores requisitos de verificación.

 

Evidencia suficiente

14 La evidencia puede considerarse suficiente si soporta todas las preguntas materiales referentes al objetivo y al alcance de la auditoría.

15 La evidencia de auditoría debe ser objetiva y suficiente para permitir que un tercero independiente repita la ejecución de las pruebas y obtenga los mismos resultados. La evidencia debe ser proporcional a la materialidad del elemento y a los riesgos involucrados.

16 La suficiencia es una medida de la cantidad de evidencias de auditoría, mientras que lo apropiado es la medida de la calidad de la evidencia de auditoría, estando ambos conceptos relacionados entre sí. En este contexto, cuando se obtiene información de la organización que es utilizada por el auditor de SI para realizar los procedimientos de auditoría, el auditor de SI debe también poner énfasis en la precisión y completitud de la información. Página 3 Estándar de Auditoría evidencia de auditoría

17 En aquellas situaciones en las que el auditor de SI cree que no se puede obtener evidencia suficiente de auditoría, el auditor de SI deberá reportar este hecho de una manera coherente durante la comunicación de los resultados de auditoría.

 

Protección y retención

18 La evidencia de auditoría debe protegerse de accesos y modificaciones no autorizados.

19 La evidencia de auditoría debe retenerse después de completarse el trabajo de auditoría durante el tiempo que resulte necesario para cumplir con todas las leyes, normas y políticas aplicables.

 

Referencia

20 Consulte la siguiente guía para obtener más información sobre la evidencia de auditoría:

• Estándar de Auditoría de SI S6 Ejecución del trabajo de auditoría
• Directriz de Auditoría de SI G2 Requisitos de evidencia de auditoría
• Directriz de Auditoría de SI G8 Documentación de auditoría
• Objetivos de control de COBIT ME2 Monitorizar y evaluar el control interno y ME3 Garantizar el cumplimiento normativo.

Fecha de Vigencia

21 Este estándar entrará en vigor para todas las auditorías de sistemas de información que comiencen a partir del 1 de julio de 2006.

 

Resumen de la Clase de Hoy

 

Evidencia

• La evidencia es cualquier información usada por el auditor de SI para determinar si la entidad o los datos que están siendo auditados cumplen con los criterios u objetivos de auditoria establecidos.
• Los determinantes para evaluar la confiabilidad de la evidencia de auditoría incluyen:

1. Independencia del proveedor de la evidencia
2. Credenciales de la persona que suministra la información o evidencia
3. Objetividad de la evidencia (arqueo vs discusiones con determinado personal)
4. Tiempo de disponibilidad de la evidencia: (EDI puede no ser rescatables después de un tiempo).

• La Federación Internacional de Contadores (IFAC) se refiere a estas dos
  características como competencia (Calidad) y suficiencia (Cantidad).
•  Es competente cuando es tanto  válida como relevante.
•  Con base en el juicio de auditoría se determina cuándo se logra la suficiencia, de la misma manera que se determina la competencia de la evidencia.
• La recolección de evidencia es un paso clave en el proceso de auditoria. El auditor de SI debe estar consciente de las diversas formas de evidencia de auditoría y de cómo puede ser recopilada y revisada. 

Técnicas para recabar evidencias

• Revisión de las estructuras organizacionales de los Sistemas de
  Información
• Revisión de las políticas y procedimientos de SI
• Revisión de los estándares de Sistemas de Información
• Revisión de la documentación de los sistemas de información  

1. Documentos de inicio del desarrollo de sistemas (por ejemplo, estudio de factibilidad)
2. Requerimientos funcionales y especificaciones de diseño
3. Planes e informes de pruebas
4. Programa y documentos de operaciones
5. Registros (logs) e historial de cambio a programas
6. Manuales del usuario
7. Manuales de operación
8. Documentos relacionados con la seguridad (por ejemplo, planes de
   seguridad, evaluación del riesgo)
9. Informes de aseguramiento de calidad

• Entrevistas al Personal Apropiado 
• Observación de Procesos y del Desempeño de los Empleados

          • Funciones reales
          • Procesos / procedimientos reales
          • Conciencíación sobre seguridad
          • Líneas de reporte

 

 

 

 

 

 

 

 

 

ASI2 - Cobit 4.1 Y sus relación con el negocio

Estamos Revisando Cobit  bajo esta Figura Anterior y  estableciendo porque una de las caracteristicas de cobit es que es orientado a Negocio.  Se intereelacionan las Metas de negocio y las Metas de TI. 

Es necesario que lean hasta la página 8 para hacer las preguntas al maestro.

Pueden Bajar el material de Cobit del siguiente enlace

http://auditoriadesistemasunah.blogspot.com/2012/02/que-es-cobit.html