UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE EXTENSIÓN LATACUNGA

Ingeniería en
Finanzas y Auditoría.
ESPE-L

AUDITORIA
INFORMATICA
ESTUDIANTE: ERICKA PAULINA PEÑALOZA PEÑALOZA
NRC: 4438
DOCENTE: ING. LUIS ALFONSO LEMA CERDA MBA.

ABRIL 2018 – AGOSTO 2018

Tema: Desarrolle un mapa conceptual del libro ACL ebook ir, de acuerdo a la
descripción de cada uno de los capítulos que leyó previamente y cuyo recurso está
disponible en la segunda unidad

9 PASOS PARA AUDITORÍA DE T.I. PREPARACIÓN

1 IDENTIFICAR Y EVALUAR LOS RIESGOS DE TI

DESAFÍOS EN ESTA ETAPA

Tener confianza en su gama de riesgos y

los requisitos reglamentarios son
suficientemente amplio

Normalizar y evaluar los riesgos

identificados en. diferentes áreas utilizando
métodos conflictivos y tecnologías .

Mantenerse actualizado con la colección

de TI. Normativa y requisitos de
cumplimiento. .

Obtener información sobre nuevos riesgos

potenciales sin tecnología de análisis .
 REQUISITOS TECNOLÓGICOS

Clasifique y reporte los riesgos por múltiples criterios .

Comparar riesgos estratégicos relativos a otros riesgos .

Enlace a objetivos estratégicos y las entidades. impactan .

Enlace a normativa relevante y requisitos de conformidad .

Enlace a TI, riesgo, o normativa y marcos de cumplimiento.

Registro de descripciones de riesgo, categorías, valoraciones de

evaluación, cuantificación, y probabilidad .

2 IDENTIFICAR CONTROLES

Los riesgos que se identificó en el Durante este proceso, se debe

paso uno ahora deben combinarse
con Controles que evitan o reducen
las posibilidades de que ocurra el
riesgo. No todos los riesgos tendrán
necesariamente un control
correspondiente. Tienen necesidad de
aceptar el riesgo de que ocurra un
evento negativo, generalmente
cuando se espera que el costo de un
control efectivo exceda el potencial
pérdida.
considerar el riesgo corporativo,
como lo define la alta dirección.
Algunos ejemplos de control
incluyen:
»Cortafuegos para impedir el acceso
a sistemas externos.
»Tablas de acceso y autorización
para restringir las capacidades del
usuario.
»Metodologías para reducir la
probabilidad de fallo en un nuevo
sistema. proyectos de desarrollo.
 3 MAPA DE CONTROLES A UN CONTROL MAESTRO BIBLIOTECA
MARCO

Mantener la
confiabilidad
A lo largo de las difícil.
estructuras de
Respondiendo control.
rápidamente a
Mantener la los cambios y
visibilidad en el reflejándolos.
Desafíos en esta control de
etapa corriente.
estructuras

»Permitir la fácil
gestión de
»Suministro de cambios que las
plantillas y cascadas
marcos Controlar
»Proporcionar actualizaciones a
vistas en tiempo reutilizables.
través de áreas
Requisitos real de todo el vinculadas.
tecnológicos control de TI
paisaje.
4 PLANES, ALCANCE Y PRUEBAS DE ESTRÉS DE
LOS MICRO RIESGOS CON CONTROLES

Retos en esta etapa:

• Cuantificar la garantía de riesgo de que TI proporciona la
organización.
• Comprender el riesgo que supone para una organización
un control falla
• Las inconsistencias en los datos y los grandes esfuerzos
para consolidar y Informe sobre riesgo global y cuadro
de control.

Requisitos tecnológicos.
• Evaluar y sopesar la efectividad de los controles de TI
que están diseñados para mitigar el riesgo a nivel micro.
• Cuantificar la garantía de riesgo por control, objetivo de
control y Proyecto informatico.
• Recopile, combine y normalice datos de múltiples
fuentes.
5. EVALUAR LA EFECTIVIDAD DE LOS CONTROLES EXISTENTES

Desafíos en esta etapa:

Determinar si los controles funcionan realmente o no.

Mirando y descubriendo si tus controles están siendo

ignorado o eludido.

Realizar un seguimiento de quién es responsable de qué

controles y asegurándose de que no tiren la pelota.

Prueba para una

amplia gama de
Requisitos
tipos de
tecnológicos.
interrupciones
de control.

Visualice datos
agregados en Automatizar y
muchas pruebas analizar
para iluminar encuestas y
los valores cuestionarios.
atípicos
 6 CAPTURAR, RASTREAR Y REPORTAR DEFICIENCIAS.

Cuando se identifican Por ejemplo, si los

deficiencias de control, controles sobre el acceso
es Importante responder a sensibles Los datos no
rápidamente, arreglar y parecen ser
mejorar. El proceso de completamente efectivos,
control. En muchos los datos regulares Se
casos, datos recurrentes. pueden realizar análisis
análisis puede ser para identificar instancias
utilizado para fortalecer de riesgo. acceso. Al
los controles o para Crea identificar esto desde el
una capa adicional de principio, se puede tratar
control. con antes de que se
convierta en un problema
importante.

7 MONITOR Y AUTOMATIZADO, PRUEBA DE CONTROLES

»El enfoque tradicional del Las pruebas manuales, de

control de vigilancia. la punto en el tiempo no
efectividad involucra proporcionan seguridad o
métodos manuales como idea de si los controles tienen
Desafíos en esta etapa
Comprobación de Trabajó efectivamente en
documentación y todas las actividades. a lo
procedimiento de control. largo de un período de tiempo
"Recorridos". determinado.

Probar transacciones Automatizar los

regularmente (financieras, procedimientos de acceso y
Requisitos tecnológicos operativas y específico de TI) análisis de datos. con
contra grandes conjuntos de requisitos mínimos de
datos recursos.
 8 MARCAR EXCEPCIONES, REVISAR, INVESTIGAR Y
REMEDIAR

La gestión de problemas
puede ser abrumadora,
especialmente cuando
Desafíos en esta etapa Abordar la gama
extremadamente amplia de
regulaciones de TI y
requisitos de conformidad.
Grandes volúmenes de
falsos positivos pueden
llevar a pasar por alto
indicadores donde hay un
problema de control real
Grandes volúmenes de
excepciones generadas en
múltiples sistemas Puede
ser un recurso intensivo y
difícil de gestionar.

Ajuste los
procedimientos
Informe el
de prueba para Establecer y
Informar el alcance del
que las modificar
estado de las riesgo existente
Requisitos actividades sin fácilmente los
actividades de en base a los
tecnológicos riesgo o de procedimientos
gestión de resultados de
bajo riesgo no de flujo de
excepciones. investigando
sean Reportado trabajo.
excepciones
como
excepciones.
 9 MEJORA CONTINUA DEL CONTROL Y PROCESOS DE
MONITOREO.

Desafíos en Utilizando Requisitos Cree informes

esta etapa métodos tecnológicos que
Puede ser manuales o Apoyar todas proporcionen
difícil manejar una gama de las etapas en la información
todas las partes sistemas evaluación de sobre el estado
móviles y caseros, a riesgo / control general de La
quedarse menudo y proceso de preparación de
Centrado en basado en seguimiento. la auditoría en
los riesgos más hojas de todo el TI.
significativos y cálculo,
Controles consume
importantes mucho tiempo
y no
particularment
e eficaz
Requisitos
tecnológicos
Pasos de Bonificacion tendencias de riesgos de TI predictivo

La auditoría ha logrado la disposición, ahora es el momento de llevarlo al

siguiente nivel. Ir más allá de simplemente asegurándose de que los sistemas de
control funcionan correctamente y comenzar a informar sobre los resultados de
todo el proceso. El uso de cuadros de mando y mapas de calor, puede proporcionar
evidencia visual y cuantificable de los procedimientos de análisis y pruebas
realizadas, junto con los resultados.

Estos informes de alto nivel muestran tendencias en el tiempo para las

cuestiones de riesgo / control, clasificados por criterios como región, la función
empresarial, o gerente. Además, usted será capaz de detectar áreas que son más
propensos a desarrollar problemas en y requieren una acción más inmediata antes
de que ocurra un evento negativo.

Paso de bonificación: Integrar los riesgos de TI procesos de gestión en la

gestión global del riesgo empresarial

Por lo tanto, a veces, el objetivo principal de lograr auditoría de TI disposición es

para que pueda manejar mejor las responsabilidades de control y cumplimiento de los
departamentos. En otros casos, tiene sentido mirar a los procesos de TI para la gestión de
riesgos, control y cumplimiento en el contexto de las actividades más amplias y de gestión
de riesgos empresariales. Al adoptar un enfoque más amplio, la alta dirección empresarial
u organizacional es capaz de mirar a los riesgos de TI junto con los de otras áreas
funcionales clave y categorías de riesgo.

Otro de los beneficios de adoptar un enfoque más ampliamente integrado es que

es más fácil mostrar cómo los riesgos y los controles están relacionados entre sí. Por
ejemplo, los riesgos de TI rara vez existe en forma aislada, sino que a menudo se debe
considerar junto con los riesgos y controles en los sistemas financieros y operativos
específicos.

Bibliografía

Verver J. 9 Pasos para auditoría de T.I disponible en: http://www.acl.com/pdfs/ebook-it-

audit-readiness.pdf