EJECUCION DE LA AUDITORIA

Enviado por Fabian Lopez • 30 de Abril de 2019 • Trabajo • 1.934 Palabras (8 Páginas) • 181 Visitas

Página 1 de 8

Nota lo mas importante de este documento para la tarea es lo del reporting

4.2.1. Recolección de información previa

Esta subfase permitirá al equipo auditor preparar la ejecución de las pruebas

identificadas en el plan de auditoría. Las actividades que se desarrollarán incluyen:

• Recopilar toda la información relevante para obtener un correcto entendimiento

del entorno a auditar:

– Los requisitos del negocio y los riesgos asociados.

– Leyes y regulaciones.

• Identificación de cargos/roles/funciones para detectar las entrevistas necesarias

y el personal que deberá asistir:

– La estructura organizacional.

– Los roles y responsabilidades.

• Identificación y estudio de la documentación existente del auditado que

sea relevante para la auditoría:

– Políticas y procedimientos.

– Descripción de los entornos de tratamiento de la información y estudio

de las vulnerabilidades conocidas que les sean aplicables.

– Descripción de las medidas de control establecidas.

4.2.2. Ejecución de la pruebas de auditoría

Una vez recopilada toda la información necesaria, el equipo auditor desarrollará de manera efectiva el conjunto de pruebas documentadas en el plan de auditoría. Tal y como se ha comentado, para la realización de una auditoríam de seguridad dependiendo de su alcance, enfoque y tipo, las pruebas que se deben practicar serán:

• Revisióndedocumentación, como por ejemplo las políticas que se han de uditar para comprobar su idoneidad dado el entorno del auditado y las mejores prácticas reconocidas por la industria. Asimismo, se revisará otro tipo de documentación relevante para el proyecto como podrían ser inventarios, documentos de diseño, procedimientos operativos, etc.

• Realizacióndeentrevistas para comprobar si el personal conoce las políticas y las aplica. Pueden ser necesarias diversas entrevistas dentro de un mismo nivel funcional con el objetivo de detectar incongruencia, olvidos o intentos de esconder el modo habitual de proceder.

Desarrollo de la entrevista

Las entrevistas se desarrollarán habitualmente en instalaciones propias del auditado para interrumpir lo menos posible las operaciones normales de la organización y deberán realizarse siempre al personal más representativo y mejor preparado para cubrir los aspectos que se quieren analizar. El desarrollo de las entrevistas se tiene que realizar en un tono no amenazador para el entrevistado y, aunque se trate de una auditoría, se tiene que transmitir la idea de que constituye una oportunidad para mejorar algún aspecto de la seguridad y/o la eficiencia de los procedimientos.

• Ejecucióndepruebastécnicas para comprobar el modo como se encuentran

implantados los controles técnicos de acuerdo tanto a las políticas como a las buenas prácticas de la industria. Las áreas más habituales que se examinarán en este tipo de pruebas serán:

– Funcionamiento de los sistemas y las comunicaciones (con especial

importancia para el control y uso de accesos remotos).

– Configuración de los sistemas (servidores, puestos de trabajo o elementos

de la infraestructura de comunicaciones).

– Revisión de registros de actividad de sistemas.

Durante la ejecución de estas pruebas es posible que el equipo auditor detecte vulnerabilidades técnicas que, por su especial criticidad, se deberán transmitir con agilidad al auditado.

• Realizacióndevisitas para examinar aspectos de seguridad física y/o comprobar

in situ el modo en que operan los sistemas de información.

Es importante que a medida que se desarrolla el plan de auditoría, el equipo auditor vigile si, sobre la base de la nueva información que se va adquiriendo, no existen cambios sustanciales que impliquen o bien una modificación del alcance o bien la ejecución de pruebas diferentes a las inicialmente planteadas. En un primer momento, estos puntos deben ser discutidos por el equipo internamente y posteriormente concretados con el auditado, puesto que pueden implicar la necesidad de dotar de más recursos a la auditoría.

4.2.3. Análisis de la información

En realidad, el proceso de análisis se inicia desde el mismo momento en que

comienza la ejecución de la auditoría y únicamente finaliza con la aceptación por parte del auditado de la última revisión del informe de auditoría. Sin embargo,

cuando el desarrollo de las pruebas se encuentra en un estado avanzado, el equipo auditor deberá compaginarlas con el análisis de la información recopilada. Este análisis realizado en paralelo con la ejecución de pruebas permite ir refinando las sucesivas pruebas, tanto las puramente técnicas como aquellas otras que requieran nuevas entrevistas, visitas o documentación adicional del auditado.

Durante la fase de análisis, uno de los aspectos que el auditor deberá ir evaluando

es la importancia relativa o el riesgo de no conformidad del problema que detecte. En este sentido deberá emplear técnicas de análisis de riesgo consistentes en aplicar la conocida ecuación del riesgo:

Factores de la ecuación de riesgo

El riesgo es proporcional a tres factores:

• Al valor del activo de información involucrado.

• A la probabilidad de que una amenaza pueda aprovechar una vulnerabilidad

o problema que hemos detectado durante la auditoría.

• Al impacto que pueda llegar a provocar la explotación de la vulnerabilidad.Para poder valorar adecuadamente las evidencias encontradas en la auditoría y poder relativizarlas, será necesario realizar este ejercicio. Hay que destacar que, para la valoración de hallazgos de auditoría referentes a vulnerabilidades en sistemas de información, existe un método ampliamente utilizado, el common vulnerability scoring system (CVSS)

A la hora de analizar la información recopilada, podemos, de un modo general,

separarla en dos grandes áreas:

1)Revisióndepolíticas.Tal y como hemos expuesto en numerosas ocasiones

(no nos cansaremos de repetirlo) la piedra angular de un programa efectivo

de seguridad de la información son sus políticas de seguridad, tanto las generalistas

como las más específicas diseñadas con un alcance reducido orientado

a una temática o un entorno de sistemas de información determinado, bien

redactadas, comunicadas y cumplidas. Estas políticas sirven de origen para todo

el resto de documentación: directivas, estándares, procedimientos, guías,

...

Descargar como (para miembros actualizados) txt (14 Kb) pdf (270 Kb) docx (61 Kb)

Leer 7 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Normas Relativas De La Auditoria A La Ejecución Del Trabajo
320. Normas Relativas a la Ejecución del Trabajo 28. Las normas de Auditoría relativas a la ejecución del trabajo tienen como objetivo la determinación de

25 Páginas • 2745 Visualizaciones
Normas relativas a la ejecución de la Auditoria Gubernamental
NAGU 3 Normas relativas a la ejecución de la Auditoria Gubernamental Comentario: Segùn la Resolución de Contraloria Nª 162-95-CG se aprueban las Normas de Auditoria

3 Páginas • 1166 Visualizaciones
Ejecucion De Auditoria
CAPITULO V “PROPUESTA PARA REALIZAR UN EXAMEN ESPECIAL AL AREA DE TESORERIA, QUE FORTALEZCA LA UNIDAD DE AUDITORIA INTERNA DE LA ALCALDIA MUNICIPAL DE CIUDAD

66 Páginas • 492 Visualizaciones
Ejecucion D Ela Auditoria Administrativa
Los Procedimientos: La Auditoria Administrativa exige la realización de un procedimiento técnico y sistemático que se debe seguir con la finalidad de realizar el análisis

2 Páginas • 451 Visualizaciones
Planificación Y Ejecución De Auditorías Tributarias
Página 1 de 29 1. INTRODUCCIÓN El Gobierno de Guatemala, por medio del Ministerio de Finanzas Públicas, inició a principios de 1997, un conjunto de

20 Páginas • 369 Visualizaciones
La elaboración de una metodología de trabajo para la planificación, ejecución y documentación de las Auditorías Internas de sistemas de gestión de Calidad ISO 9001/2008, Medio Ambiente ISO 14001/2004
1 OBJETIVOS Y ALCANCE Establecer una metodología de trabajo para la planificación, ejecución y documenta¬ción de las Auditorías Internas de los sistemas de gestión de

7 Páginas • 887 Visualizaciones
Ejecución De La Auditoria
INTRODUCCIÓN Con el objetivo de entender mejor el tema de auditoria, saber cómo son evaluadas la gestión de las entidades, buscamos conocer los sistemas y

8 Páginas • 1159 Visualizaciones
Ejecucion De Auditoria
3.3 EJECUCION DE AUDITORIA El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado.

12 Páginas • 537 Visualizaciones
Ejecución De Una Auditoría De Sistemas De Información
Objetivo: • Contestar las preguntas de la actividad y dar ejemplos. • Elaborar un reporte. Procedimiento: 1. Revisar los temas correspondientes al modulo. 2. Analizar

5 Páginas • 350 Visualizaciones
Establecer los parámetros para la ejecución de las auditorias internas
1 OBJETO Establecer los parámetros para la ejecución de las auditorias internas, las cuales permiten investigar, verificar y generar compromisos en la implementación eficaz del

11 Páginas • 293 Visualizaciones