7/25/2019 Evaluacin Gestin TI - 1

1/13

Evaluacin de la

Gestin de TI

Ing. Ernesto Karlo Celi Arvalo

7/25/2019 Evaluacin Gestin TI - 1

2/13

Pruebas de cumplimiento

Son aquellas pruebas diseadas para recolectar evidenciacon el propsito de probar el cumplimiento de unaorganizacin con procedimientos de control

Determinan si los controles estn siendo aplicados demanera que cumplen con las polticas y los procedimientosde gestin.

El objetivo amplio de cualquier prueba de cumplimiento es

proveer a los auditores de SI una certeza razonable de queun control en particular est operando como se planificpreliminarmente.

7/25/2019 Evaluacin Gestin TI - 1

3/13

Pruebas de cumplimiento

Es importante que el auditor de SI entienda el objetivoespecfico del control que se est probando.

Las pruebas de cumplimiento pueden usarse para probar la

existencia y efectividad de un proceso definido, el cualpuede incluir una pista de evidencia documental y/oautomatizada

7/25/2019 Evaluacin Gestin TI - 1

4/13

Ejemplos de pruebas de cumplimiento

Verificar :

derechos de acceso de usuarios,

procedimientos de control de cambio de programas,

procedimientos de documentacin,

documentacin de programas,

excepciones de seguimiento,

revisin de registros (logs), licencia de software,

Etc.

7/25/2019 Evaluacin Gestin TI - 1

5/13

Pruebas sustantivas

Verifican el grado de confiabilidad del SI y su soportetecnolgico

Verifican la exactitud, integridad y validez de la

informacin

Se suelen obtener mediante observacin, clculos,muestreos, entrevistas, tcnicas de examen analtico,revisiones y conciliaciones

7/25/2019 Evaluacin Gestin TI - 1

6/13

Tipos de Pruebas sustantivas

Pruebas para identificar errores en el procesamiento o defalta de seguridad o confidencialidad.

Prueba para asegurar la calidad de los datos.

Pruebas para identificar la inconsistencia de datos.

Prueba para comparar con los datos fsicos.

Confirmacin de datos con fuentes externas

Pruebas para confirmar la adecuada comunicacin.

Prueba para determinar falta de seguridad. Pruebas para determinar problemas de legalidad

7/25/2019 Evaluacin Gestin TI - 1

7/13

Evidencias de las Pruebas sustantivas

Las pruebas sustanciales se orientan a obtener evidencia de lasiguiente manera:

Evidencia fsica: permite identificar la existencia fsica deactivos, cuantificar las unidades en poder de la empresa, y

en ciertos casos especificar la calidad de los activos.

Evidencia documental: consistente en verificar documentos(procedimientos, reglamentos operativos, planes, etc.)

Evidencia por medio de registros: resume todo el proceso

Evidencia por medio de comparaciones y ratios: Es unmedio de localizar cambios significativos que debern serexplicados al auditor

7/25/2019 Evaluacin Gestin TI - 1

8/13

Evidencias de las Pruebas sustantivas

Las pruebas sustantivas se orientan a obtener evidencia de lasiguiente manera:

Evidencia por medio de clculos: realizacin de clculos ypruebas globales para verificar la precisin aritmtica de

saldos, registros y documentos

Evidencia verbal: por medio de preguntas a empleados yejecutivos

El control interno como evidencia: es un medio de obtener

evidencia sustantiva y al mismo tiempo de determinar elalcance e intensidad con el que se deben aplicar los otrostipos de evidencia indicados

7/25/2019 Evaluacin Gestin TI - 1

9/13

7/25/2019 Evaluacin Gestin TI - 1

10/13

Auditoria de base de datos

Prueba de Cumplimiento:

Listar los privilegios y perfiles existentes en el SGBD.

Si estas pruebas detectan inconsistencias en los controles, o bien, si los controlesno existen, se pasa a disear otro tipo de pruebas (pruebas sustantivas) que

permitan dimensionar el impacto de estas deficiencias.

Prueba sustantiva:

Comprobar si la informacin ha sido corrompida comparndola con otrafuente, o revisando los documentos de entrada de datos y las transacciones que

se han ejecutado.

7/25/2019 Evaluacin Gestin TI - 1

11/13

Auditoria de redes de datos y comunicaciones

Prueba de Cumplimiento:

Verificar la existencia de mecanismos para medir el grado desatisfaccin de los usuarios,

Verificar la existencia, bondad y cumplimiento de Polticas, Normas yProcedimientos de apoyo a las telecomunicaciones en la empresaauditada

Ubicacin de los centros de procesos y de los servidores locales y engeneral cualquier elemento a proteger.

Llevar a cabo una revisin de los procedimientos de aviso contra

incendio, cambios de clima, problemas elctricos y procedimientos dealarma, as como las respuestas esperadas en los distintos escenariospara los diferentes niveles de emergencias ambientales

7/25/2019 Evaluacin Gestin TI - 1

12/13

Auditoria de redes de datos y comunicaciones

Prueba Sustantivas:

Proteccin de los soportes magnticos en cuanto a acceso,almacenamiento y posible transporte.

Adecuacin de la red a lo solicitado por el usuario.

7/25/2019 Evaluacin Gestin TI - 1

13/13

Auditoria del desarrollo de sistemas

Prueba de Cumplimiento:

Verificar la existencia de mecanismos para medir el grado desatisfaccin de los usuarios,

Verificar la existencia, bondad y cumplimiento de Polticas, Normas yProcedimientos de apoyo a las telecomunicaciones en la empresaauditada

Ubicacin de los centros de procesos y de los servidores locales y engeneral cualquier elemento a proteger.

Llevar a cabo una revisin de los procedimientos de aviso contra

incendio, cambios de clima, problemas elctricos y procedimientos dealarma, as como las respuestas esperadas en los distintos escenariospara los diferentes niveles de emergencias ambientales