Auditoria de TI

OBJETIVOS BSICOS REGULATORIOS

Componentes regulatorios
Evidencia de integridad operacional
Evidencia de controles internos para proteger los activos
Activos
Un activo es definido como cualquier cosa que representa un valor para la empresa, incluyendo
marcas, patentes, rcipes secretos o secretos industriales, archivos de datos, personal
competente y clientes.
Amenazas
Evento negativo que puede causar una prdida si este ocurre.
La va que permite que una amenaza ocurra es referenciada como una vulnerabilidad.

El trabajo de un auditor de TI es verificar que activos, amenazas y vulnerabilidades son

apropiadamente identificados y administrados para reducir el riesgo.
Resultado de la Auditoria
El auditor se gana la vida escuchando a la gerencia acerca de sus preocupaciones y/o reclamos.
El prximo paso es buscar evidencias significativas y demostrar que la evidencia aprueba o
desaprueba el reclamo.
Como resultado final, se elabora un informe de hallazgos en el cual el auditor presenta sus
observaciones y recomendaciones.

Reclamo Plan de Obtener Evaluar Informe de

Gerencial Auditoria Evidencia evidencias Hallazgos
Polticas, Normas, Guas y
Procedimientos
Las organizaciones normalmente tienen cuatro tipos de documentos:
Polticas: Es un mandato ejecutivo que identifica un particular riesgo y lo evita o previene. Las
polticas son documentos de alto nivel firmados por una persona de autoridad con poder para
forzar la cooperacin.
Normas: estos son documentos de nivel medio que contienen los puntos de control de las
medidas que aseguran las implementaciones uniformes en soporte a una poltica. Despus que
la gerencia identifica Que proteger usando una poltica, el prximo paso es especificar una
norma que contiene una lista de puntos de medicin para obtener una conformidad.
Los revisores gerenciales, responsables del proceso auditado, evaluadores y auditores son
utilizados para comparar un tema con la norma con la intencin de certificar el nivel mnimo de
conformidad que existe.
Polticas, Normas, Guas y
Procedimientos
Las norma identifican puntos de control especficos necesarios para la conformidad
Las normas no contienen el flujo de trabajo para la conformidad.
El trabajo de la gestin es el uso de los puntos individuales de cada norma para crear
procedimientos apropiados en un flujo de trabajo completo con el fin de obtener el
cumplimiento dentro de la organizacin.
Las normas pueden ser agrupados en cuatro categoras bsicas:
norma Regulatoria
norma Industrial
norma Organizacional
norma Personal
Tipos de normas
norma regulatoria: Es un control regulatorio cuando es mandato de una ley gubernamental o
agencia de gobierno para proteger la economa, sociedad, o medio ambiente.
norma de la industria: El Progreso rpido durante el desarrollo de una nueva tecnologa
siempre superar las normas oficiales. Las especificaciones desarrolladas por los inventores se
convierten de facto en normas hasta su amplia adopcin a ratificado norma.
norma organizacional: la gerencia ejecutiva en muchas organizaciones desarrollan sus propias
normas para ayudar a alcanzar sus metas.
norma personal: Una persona tiene su norma personal que gobierna cada da de su vida. Estas
normas no oficiales pueden cambiar con la edad, educacin y experiencia de vida.
Guas o Directrices
Se destinan a proporcionar asesoramiento perteneciente a como los objetivos de la organizacin
pueden ser alcanzados en ausencia de una norma.
Las guas o directrices son discrecionales, porque las direcciones suministradas son usualmente
incompletas.
Los usuarios adoptan o descartan porciones de la informacin para adaptarse al uso previsto
Procedimientos
Son rcipes que proveen un flujo de trabajo de tareas especficas necesarias para alcanzar la
mnima conformidad de una norma. Los detalles son escritos en un formato paso a paso desde
el inicio hasta el fin. La informacin importante a recordar acerca de los procedimientos incluyen
los siguientes puntos:
Mejores prcticas, representa informacin sugerida para ayudar a los usuarios a desarrollar sus propios
procedimientos.
El propsito de un procedimiento es mantener el ms alto control posible de un producto o resultado
Cumplimiento con los procedimientos establecidos es obligatorio para asegurar consistencia y exactitud
Propsito de la Auditoria
Una auditoria es simplemente una revisin de historias pasadas. El auditor de TI espera seguir el
proceso definido de auditoria, establece criterios de auditoria, obtiene evidencias significativas,
realiza una opinin independiente acerca de los controles internos.
La auditoria involucra aplicar varias tcnicas para recolectar evidencia significativa y entonces
realiza una comparacin entre la evidencia de la auditoria y la norma de referencia.
Si las afirmaciones de la gerencia y el informe del auditor estn de acuerdo, se puede decir que
el resultado es veraz, de lo contrario, sera seal de una preocupacin que justifica una mayor
atencin (Control y seguimiento o revisin).
Un buen auditor genera resultados verificables.
Comparacin entre Auditoria y
Evaluacin
La auditoria en trminos legales es definida como una inspeccin sistemtica de registros que
involucra anlisis, pruebas y confirmacin de evidencias. El auditor genera un reporte que que
representa un alto nivel de verdad. La auditoria realizada por un auditor independiente
representa un alto grado de aseguramiento ya que este es proporcional al nivel de
independencia del auditor.

La evaluacin es menos formal y frecuentemente ms cooperativo con las personas objetos bajo
el escrutinio.