la comunicación como la evidencia más significativa a la hora de tomar decisiones… profesor:...
TRANSCRIPT
![Page 1: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/1.jpg)
La comunicación como la evidencia más significativa a la hora de tomar decisiones…
Profesor:Franz Troche Araujo Magister en TelecomunicacionesEspecialista en Redes y Telemática
Asignatura:Asignatura:
![Page 2: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/2.jpg)
Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.
www.AuditoriaInformatica.ecaths.comwww.AuditoriaInformatica.ecaths.com
![Page 3: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/3.jpg)
• ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU.
• PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing.
• PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma.
• SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi.
UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R.
Compilado de MSc.Lorena Moreno Jiménez
Sitios web: www.isaca.org, www.asia.org
![Page 4: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/4.jpg)
METODOLOGIA TRADICIONAL: CUESTIONARIO
El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar
La evaluación consiste en identificar la existencia de
unos controles establecidos o estandarizados
![Page 5: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/5.jpg)
El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser
cuantificados y valorados
de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema
sobre la exactitud, integridad y procesamiento de la información
METODOLOGIA basada en la EVALUACIÓN de RIESGOS
![Page 6: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/6.jpg)
ELEMENTOS PRINCIPALES
OBJETIVOS de CONTROL
EVALUACIÓN de RIESGOS
TECNICAS de CONTROL
PRUEBAS INDEPENDIENTES
CONCLUSIONES SUSTENTADAS
![Page 7: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/7.jpg)
OBJETIVO de CONTROL
El objetivo de todo control es la
REDUCCIÓN del RIESGO
![Page 8: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/8.jpg)
(Políticas y Procedimientos)
Por cada objetivo de control/riesgo potencial
se deben identificar las técnicas de control existentes que
deben minimizar el riesgo,logrando cumplir así, el objetivo de
control
TECNICAS de CONTROL
![Page 9: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/9.jpg)
ENTORNO GENERAL de CONTROL
CONTROLES en determinadas APLICACIONES
Procesos de negocio automatizados
![Page 10: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/10.jpg)
CONTROLES de APLICACIÓN
ENTRADA PROCESO
SALIDA
![Page 11: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/11.jpg)
CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS
![Page 12: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/12.jpg)
PRUEBAS
Permiten obtener evidencia yverificar la consistencia de los controles
existentes ytambién medir el riesgo por deficiencia
de estos o por su ausencia
![Page 13: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/13.jpg)
PRUEBAS
de CUMPLIMIENTO
SUSTANTIVAS
![Page 14: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/14.jpg)
TÉCNICAS GENERALES1.ENTREVISTAS
2.REVISIONES de DOCUMENTOS
3.EVALUACION de RIESGOS y CONTROLES
4.MUESTREO ESTADISTICO
5.VERIFICACIONES de CALCULOS
6.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS
7.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO
![Page 15: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/15.jpg)
Son productos de software que permiten al auditor
OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas
que diseñen
TÉCNICAS ESPECÍFICAS
![Page 16: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/16.jpg)
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
1.Software de auditoría o de revisión de productos determinados o plataformas
Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y
su relación con respecto a la seguridad y protección del software y de la información
![Page 17: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/17.jpg)
2.Software de auditoría que permiten extraer información para su revisión, comparación, etc.
Estos productos utilizados habitualmente por los auditores operativos o financieros,
permiten extraer datos concretos o en base a muestras estadísticas
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
![Page 18: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/18.jpg)
UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL
de la INSTALACIÓN AUDITADA
Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc.
Productos específicos de rendimiento, control, calidad instalados en la plataforma
a auditar: lenguajes de interrogación, software de librerías, depuradores de
software, etc.
![Page 19: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/19.jpg)
EVIDENCIAS, RESULTADOS y CONCLUSIONES
Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría
EVIDENCIAS:PERTINENTES y SUFICIENTES
FEHACIENTES
VERIFICACIÓN de resultados
INTERRELACIÓN con otros resultados
![Page 20: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/20.jpg)
Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada
POR EJEMPLO:
Puede haber limitaciones de recursos, en la realización de pruebas, en la
disponibilidad de la evidencia.........Puede haber controles alternativos que
el auditor no haya detectado..............
![Page 21: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/21.jpg)
Deben incluir
DESCRIPCION de la situaciónRIESGO existente,DEFICIENCIA a solucionarsi corresponde, SUGERENCIA
de solución
CUANTIFICACIÓN del riesgo
CONEXIÓN con objetivo y otras deficiencias
![Page 22: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/22.jpg)
PAPELES de TRABAJO de la Auditoría de SI
![Page 23: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/23.jpg)
Se deben realizar de ACUERDO aNORMAS de AUDITORÍA, y deben reflejar
METODOLOGÍA utilizadaCOBERTURA del OBJETIVO de
auditoríaPRUEBAS realizadas y
CRITERIOS utilizados
RESULTADOS de las pruebas
![Page 24: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/24.jpg)
LIMITACIONES en las tareas realizadas
DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y
FALTA de CONSISTENCIA o claridad en las conclusiones
![Page 25: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/25.jpg)
Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos
Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES yCONCLUSIONES
Es recomendable obtener junto con la presentación del borrador, una contestación o
confirmación del área auditada /cliente /organización
INFORME
![Page 26: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/26.jpg)
Reglas en la preparación de Informes
• el vocabulario debe ser preciso,objetivo, cuidadoso, respetuoso,...
• NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ......
y • frases con contenido y breves......
![Page 27: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/27.jpg)
¿Cuál de las siguientes opciones brinda mejor control de acceso a los datos de nómina que se están procesando en un servidor local?
1. Bitácora (log) de todos los accesos a la información personal
2. Contraseña separada para las transacciones sensitivas
3. Que el software restrinja las reglas de acceso al personal autorizado
4. Acceso al sistema, restringido a horas hábiles
![Page 28: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/28.jpg)
El control más efectivo para un antivirus es:
1. Escanear los archivos adjuntos de correo electrónico en el servidor de correo
2. Restaurar sistemas a partir de copias limpias
3. Deshabilitar las unidades de diskettes
4. Un escaneo en línea con definiciones actualizadas de virus
![Page 29: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/29.jpg)
¿Cuál de las siguientes es una función de control de acceso al sistema operativo?
1. Registrar las actividades del usuario
2. Registrar las actividades de acceso a la comunicación de datos
3. Verificar la autorización de usuario a nivel de campo
4. Cambiar los archivos de datos
![Page 30: La comunicación como la evidencia más significativa a la hora de tomar decisiones… Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista](https://reader034.vdocuments.site/reader034/viewer/2022051314/55352e0c5503463b118b463d/html5/thumbnails/30.jpg)
Una organización está proponiendo instalar una facilidad de clave única (single sign-on) que de acceso a todos los sistemas. La organización debe ser consciente de que:
1. sería posible un acceso máximo no autorizado si se revelara una contraseña
2. los derechos de acceso a usuario estarían restringidos por los parámetros adicionales de seguridad
3. aumentaría la carga de trabajo del administrador de seguridad
4. aumentarían los derechos de acceso del usuario