UNIVERSIDAD PERUANA LOS ANDES

FACULTAD DE INGENIERÍA

Escuela Profesional de Ingeniería de Sistemas y Computación

Asignatura:
AUDITORÍA DE SISTEMAS DE INFORMACION
Catedrático:

ING. WILLIAM JULIUS CARDOZO YAURI

Estudiante:

CÁRDENAS PACUA, Daniel

Huancayo - Perú

2021
S1 EL ESTATUTO DE AUDITORÍA
Comentario:

Para una función de auditoría interna de sistemas de información, se debe preparar un

estatuto de auditoría para las actividades permanentes. El estatuto de auditoría debe
someterse a una revisión anual, o con mayor frecuencia si varían o cambian las
responsabilidades. El auditor interno de SI puede utilizar una carta de compromiso para
aclarar o confirmar su participación en tareas específicas de auditoría o de no auditoría.
Para el caso de una auditoría externa de SI, normalmente debe prepararse una carta de
compromiso para cada tarea de auditoría o de no auditoría.

El estatuto de auditoría o la carta de compromiso deben ser lo suficientemente

detallados como para comunicar el propósito, la responsabilidad y las limitaciones de la
función o de la auditoría asignada.
El estatuto de auditoría o la carta de compromiso deben revisarse periódicamente para
garantizar que el propósito y la responsabilidad hayan sido documentados.

La siguiente documentación debe consultarse para obtener información adicional sobre

la preparación de un estatuto de auditoría o una carta de compromiso.


S2 INDEPENDENCIA

Independencia profesional
En todos los aspectos relacionados con la auditoría, el auditor de SI debe ser
independiente del auditado, tanto en actitud como en apariencia.

Independencia organizacional
La función de auditoría de SI debe ser independiente del área o actividad que se está
revisando para permitir una conclusión objetiva de la tarea que se audita.

S3 ÉTICA Y ESTÁNDARES PROFESIONALES

El auditor de SI debe cumplir con el Código de Ética Profesional de ISACA al realizar

tareas de auditoría.
El auditor de SI debe ejercer el debido cuidado profesional, lo cual incluye cumplir con
los estándares profesionales de auditoría aplicables al realizar tareas de auditoría.
S4 COMPETENCIA PROFESIONAL
El auditor de SI debe ser profesionalmente competente y tener las destrezas y los
conocimientos para realizar la tarea de auditoría.

El auditor de SI debe mantener competencia profesional por medio de una apropiada

educación y capacitación profesional continua.

S5 PLANEACIÓN
Comentario:

Para una función de auditoría interna, debe desarrollarse/actualizarse un plan, al menos

una vez al año, para las actividades permanentes. El plan debe servir como marco de
referencia para las actividades de auditoría y servir para abordar las responsabilidades
establecidas por el estatuto de auditoría. El nuevo/actualizado plan debe ser aprobado
por el comité de auditoría, en caso de que éste haya sido establecido.
Para el caso de una auditoría externa de SI, normalmente debe prepararse un plan para
cada una de las tareas, sean o no de auditoría. El plan debe documentar los objetivos de
la auditoría.

El auditor de SI debe obtener un entendimiento de la actividad que está siendo auditada.

El grado del conocimiento requerido debe ser determinado por la naturaleza de la
organización, su entorno y riesgos, y por los objetivos de la auditoría.

El auditor de SI debe realizar una evaluación de riesgos para brindar una garantía
razonable de que todos los elementos materiales serán cubiertos adecuadamente
durante la auditoría. En este momento, es posible establecer las estrategias de auditoría,
los niveles de materialidad y los recursos necesarios.

El programa y/o plan de auditoría puede requerir ajustes durante el desarrollo de la

auditoría para abordar las situaciones que surjan (nuevos riesgos, suposiciones
incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoría.

Debe consultarse la siguiente documentación para obtener más información sobre la

preparación de un plan de auditoría.

S6 EJECUCIÓN DE LA AUDITORÍA
Comentario:
Se deben establecer los roles y responsabilidades del equipo de auditoría de SI al
iniciarse la auditoría, y como mínimo deben definirse los roles de decisión, ejecución y
revisión.

Las labores realizadas durante la ejecución del trabajo deben organizarse y

documentarse siguiendo procedimientos documentados predefinidos. La documentación
debe incluir aspectos tales como los objetivos y alcance del trabajo, el programa de
auditoría, los pasos de auditoría realizados, la evidencia recogida, los hallazgos,
conclusiones y recomendaciones.

La documentación de auditoría debe ser suficiente para permitir que una tercera entidad
independiente vuelva a realizar todas las tareas realizadas durante la auditoría para
llegar a las mismas conclusiones.

S7 REPORTE

Comentario:
El formato y contenido del informe generalmente varían según el tipo de servicio o
contrato. Un auditor de SI puede realizar cualquiera de las siguientes acciones:
Auditoría (de manera directa o como testigo)
Revisión (de manera directa o como testigo)
Procedimientos acordados
Cuando se requiera que el auditor de SI proporcione una opinión sobre el entorno de
control y exista evidencia de auditoría sobre una debilidad material o significativa, el
auditor de SI no deberá concluir
que los controles internos son eficaces. El informe del auditor de SI debe describir la
debilidad material o significativa y el efecto en el logro de los objetivos de los criterios de
control.

El auditor de SI debe comentar el contenido del informe en borrador con la gerencia del
área bajo revisión antes de la finalización y divulgación, e incluir los comentarios de la
gerencia en el informe final cuando corresponda.

Cuando el auditor de SI encuentre deficiencias significativas en el entorno de control, el

auditor de SI debe informar sobre estas deficiencias al comité de auditoría o a la
autoridad responsable y comentar en el informe que se han comunicado dichas
deficiencias significativas.

S8 ACTIVIDADES DE SEGUIMIENTO

Comentario:
Si las acciones propuestas por la gerencia para implementar las recomendaciones
notificadas se proporcionaron al auditor de SI,
o se comentaron con éste, dichas acciones deberán registrarse en el informe final como
la respuesta de la gerencia .
La naturaleza, los plazos y la extensión de las actividades de seguimiento deben tener
en cuenta la importancia de los hallazgos reportados y el impacto, en caso de no
haberse tomado las acciones correctivas. Los plazos de las actividades de seguimiento
de
una auditoría de SI en relación con el informe original deben basarse en el juicio
profesional y depender de una serie de consideraciones tales como la naturaleza o
magnitud de los riesgos y costos asociados a la entidad.
La función de auditoría interna de SI debe establecer un proceso de seguimiento para
monitorear y asegurar que las acciones de
la gerencia efectivamente han sido implementadas o que la gerencia superior ha
aceptado el riesgo de no haber tomado la acción
pertinente. La responsabilidad por estas actividades de seguimiento puede definirse en
el estatuto de auditoría .
Dependiendo del alcance y de los términos del contrato, los auditores externos de SI
pueden recurrir a la función de auditoría interna de SI para realizar el seguimiento de sus
recomendaciones aceptadas.
Cuando la gerencia proporcione información sobre las acciones tomadas para
implementar las recomendaciones y el auditor de SI tenga dudas con respecto a la
información suministrada, se deberán llevar a cabo las pruebas apropiadas u otros
procedimientos
para determinar la posición o estado reales antes de concluir las actividades de
seguimiento.
Puede presentarse un informe, sobre el estado de las actividades de seguimiento, que
incluya las recomendaciones aceptadas no
implementadas, ante el comité de auditoría en caso de que éste se haya establecido, o,
como alternativa, al nivel apropiado de la gerencia de la entidad.
Como parte de las actividades de seguimiento, el auditor de SI deberá evaluar si los
hallazgos no implementados siguen siendo importantes.

S9 IRREGULARIDADES Y ACCIONES ILEGALES

Comentario:
El auditor de SI debe consultar la Directriz de Auditoría de SI G19, Irregularidades y
Acciones Ilegales, para obtener la definición de
que constituye una irregularidad y una acción ilegal.
El auditor de SI debe obtener una garantía razonable de que no existen declaraciones
materialmente incorrectas debido a irregularidades y acciones ilegales. Un auditor de SI
no puede tener garantía absoluta con base en factores tales como el buen juicio,
el alcance de las pruebas y las limitaciones inherentes de los controles internos. La
evidencia de auditoría de que disponga el auditor
de SI durante una auditoría debe ser de naturaleza persuasiva y no concluyente.
El riesgo de no detectar una declaración materialmente incorrecta que surge de una
acción ilegal es mayor que el riesgo de no
detectar una declaración materialmente incorrecta que surge de una irregularidad o
error, porque las acciones ilegales pueden
involucrar esquemas complejos diseñados para ocultar eventos o declaraciones
intencionalmente incorrectas ante el auditor de SI.
La experiencia previa del auditor de SI y su conocimiento de la
organización deben ayudarle al auditor de SI durante la auditoría. Al hacer
investigaciones y realizar procedimientos de auditoría, no se espera que el auditor de SI
descarte por completo su experiencia previa, pero se espera que mantenga un nivel de
escepticismo profesional. El auditor de SI no debe estar satisfecho con evidencia de
auditoría que sea menos que persuasiva basándose en la creencia de que la gerencia y
los responsables del gobierno corporativo son honestos e íntegros. El auditor de SI y el
equipo involucrado deben discutir la susceptibilidad de la organización a irregularidades
y acciones ilegales como parte del proceso de planeación y durante la auditoría.

S 10 GOBERNABILIDAD DE TI

Los estándares de ISACA contienen principios básicos y procedimientos esenciales,

identificados en letras en negrita, que son
obligatorios junto con la documentación relacionada.
El propósito de este estándar de ISACA es establecer y proporcionar asesoría en las
áreas de gobernabilidad de TI que el auditor de
SI debe tener en cuenta durante el proceso de auditoría.

El auditor de SI debe revisar y evaluar si la función de SI está alineada con la misión,

visión, valores, objetivos y estrategias de la organización.
El auditor de SI debe revisar si la función de SI tiene una declaración clara en cuanto al
desempeño esperado por la empresa (eficacia y eficiencia) y evaluar su cumplimiento.
El auditor de SI debe revisar y evaluar la eficacia de los recursos de SI y el desempeño
de los procesos administrativos.
El auditor de SI debe revisar y evaluar el cumplimiento de los requisitos legales,
ambientales y de calidad de la información, así como de los requisitos fiduciarios y de
seguridad.
El auditor de SI debe utilizar un enfoque basado en riesgos para evaluar la función de SI.
El auditor de SI debe revisar y evaluar el ambiente de control de la organización.
El auditor de SI debe revisar y evaluar los riesgos que pueden afectar de manera
adversa el entorno de SI.
Guía adicional
El auditor de SI debe consultar la Directriz de Auditoría de SI G18, Gobernabilidad de TI.
El auditor de SI debe revisar y evaluar los riesgos del entorno de trabajo de SI que
apoyan los procesos del negocio. La actividad
de auditoría de SI debe asistir a la organización identificando y evaluando las
exposiciones significativas al riesgo y contribuir al mejoramiento de la administración de
riegos y los sistemas de control.
La Gobernabilidad de TI puede ser revisada por sí misma o considerarse en cada
revisión de la función de SI.

S11 USO DE LA EVALUACIÓN DE RIESGOS EN LA PLANEACIÓN DE AUDITORÍA

Comentario:
La evaluación de riesgos es una técnica usada para examinar unidades auditables
dentro del universo de auditoría de SI y para seleccionar áreas a revisar que tengan la
mayor exposición a riesgos, e incluirlas en el plan anual de SI.
Una unidad auditable se define como un segmento discreto de la organización, junto con
sus sistemas.
La determinación del universo de auditoría de SI debe basarse en el conocimiento del
plan estratégico de TI de la organización, en sus operaciones y en discusiones con la
gerencia a cargo.
Deben efectuarse ejercicios de evaluación de riesgos para facilitar el desarrollo del plan
de auditoría de SI, los cuales deben documentarse al menos anualmente. Los planes
estratégicos de la organización, los objetivos y el marco de administración de
riesgos de la empresa deben considerarse como parte del ejercicio de evaluación de
riesgos.
El uso de la evaluación de riesgos en la selección de proyectos de auditoría permite al
auditor de SI cuantificar y justificar los recursos
de auditoría de SI necesarios para completar el plan de auditoría de SI o una revisión en
particular. Asimismo, el auditor de SI puede priorizar las revisiones programadas
basándose en la percepción de riesgos y contribuir a la documentación de marcos de
administración de riesgos.
Un auditor de SI debe realizar una evaluación preliminar de los riesgos relevantes al
área bajo revisión. Los objetivos del contrato
de auditoría de SI para cada revisión específica deben reflejar los resultados de dicha
evaluación de riesgos.
Después de terminar la revisión, el auditor de SI debe asegurarse de que se actualice la
estructura de administración/gestión de
riesgos empresariales de la organización o su registro de riesgos, en caso de haberse
desarrollado alguno, a fin de reflejar los hallazgos y recomendaciones de la revisión así
como la actividad subsiguiente.
El auditor de SI debe consultar la directriz de auditoría de SI G13 Uso de la evaluación
de riesgos en la planeación de auditoría, y
el procedimiento de auditoría de SI P1 Medición de la evaluación de riesgos de SI.

S12 Materialidad de la auditoría

Los estándares de ISACA contienen principios básicos y procedimientos esenciales,

identificados con letra negrita, que junto con
la documentación relacionada son obligatorios.
El propósito de este estándar de auditoría de SI es establecer y proporcionar una guía
con respecto al concepto de materialidad de la auditoría y su relación con el riesgo de
auditoría.
El auditor de SI debe considerar la materialidad de la auditoría y su relación con el riesgo
de auditoría a la vez que determina la naturaleza, los plazos y el alcance de los
procedimientos de auditoría.
Mientras planifica la auditoría, el auditor de SI debe considerar las posibles debilidades o
la ausencia de controles, y
si tales debilidades o ausencias de controles pueden ocasionar una deficiencia
importante o una debilidad material
en el sistema de información.
El auditor de SI debe considerar el efecto acumulativo de las deficiencias o debilidades
menores de control y la
ausencia de controles que pueden traducirse en una deficiencia significativa o debilidad
material en el sistema de información.
El informe del auditor de SI debe divulgar los controles ineficaces o la ausencia de
controles, y el significado de estas deficiencias, así como la posibilidad de que estas
debilidades ocasionen una deficiencia importante o debilidad material.
Guía adicional
El riesgo de auditoría es el riesgo de que el auditor de SI llegue a una conclusión
incorrecta basándose en los hallazgos de
auditoría. El auditor de SI también debe tener conciencia de los tres componentes del
riesgo de auditoría, a saber: el riesgo
inherente, el riesgo del control y el riesgo de detección. Consulte G13, Uso de la
evaluación de riesgos en la planificación de auditoría, para obtener una explicación más
detallada de los riesgos.
Mientras planifica y realiza la auditoría, el auditor de SI debe intentar reducir el riesgo de
auditoría a un nivel aceptablemente bajo y cumplir con los objetivos de la auditoría. Esto
se logra mediante la evaluación apropiada de SI y de los controles relacionados.
La debilidad en el control se considera “material” si la ausencia del mismo ocasiona que
no exista una garantía razonable de
que se cumplirá con el objetivo de control.
Una debilidad clasificada como material implica lo siguiente:
Los controles no están establecidos y/o los controles no son utilizados y/o los controles
son inadecuados.
Puede producir un escalamiento.
Una debilidad material es una deficiencia importante o una combinación de deficiencias
importantes que originan, con una probabilidad más que remota, que un evento
indeseado no sea prevenido o detectado.
Existe una relación inversa entre materialidad y el nivel de riesgo de auditoría aceptable
para el auditor de SI; es decir,
cuanto mayor sea el nivel de materialidad, menor será la capacidad de aceptación del
riesgo de auditoría, y viceversa. Esto
permite al auditor de SI determinar la naturaleza, los plazos y el alcance de los
procedimientos de auditoría. Por ejemplo, al planificar un procedimiento específico de
auditoría, el auditor de SI determina que la materialidad es menor, aumentando por
lo tanto el riesgo de auditoría. El auditor de SI querrá entonces compensarlo ya sea
extendiendo la prueba de los controles (reducir la evaluación del riesgo del control) o
extendiendo los procedimientos de pruebas sustantivas (reducir la evaluación del riesgo
de detección).
S13 USO DEL TRABAJO DE OTROS EXPERTOS

Los estándares de ISACA contienen principios básicos y procedimientos esenciales,

identificados con letra negrita, que junto
con la documentación relacionada son obligatorios.
El propósito de este Estándar de Auditoría de SI es establecer y proporcionar
asesoramiento al auditor de SI que utilice el
trabajo de otros expertos durante una auditoría.
El auditor de SI debe, donde resulte apropiado, considerar el uso del trabajo de otros
expertos para realizar la
auditoría.
El auditor de SI debe evaluar y estar satisfecho con las credenciales profesionales,
competencias, experiencia relevante, recursos, independencia y procesos de control de
calidad de otros expertos, antes de su contratación.
El auditor de SI debe evaluar, revisar y calificar el trabajo de otros expertos como parte
de la auditoría y concluir
el grado de utilidad y la fiabilidad del trabajo del experto.
El auditor de SI debe determinar y concluir si el trabajo de otros expertos resulta
adecuado y suficiente para
permitir que el auditor de SI saque sus conclusiones con respecto a los objetivos
actuales de la auditoría. Dicha conclusión debe documentarse claramente.
El auditor de SI debe aplicar procedimientos de prueba adicionales para lograr una
evidencia de auditoría
suficiente y apropiada en circunstancias en las que el trabajo de otros expertos no la
proporciona.
El auditor de SI debe proporcionar una opinión de auditoría apropiada e incluir los límites
del alcance cuando no
se obtenga la evidencia requerida mediante procedimientos de prueba adicionales.
Guía adicional
El auditor de SI debe considerar la incorporación de otros expertos durante la auditoría
cuando existan limitaciones que pudieran perjudicar el trabajo de auditoría a realizar o
cuando se anticipe una ganancia en la calidad de la misma. Algunos ejemplos incluyen
los conocimientos requeridos debido a la naturaleza técnica de las tareas que deben
realizarse, escasos recursos de auditoría y restricciones de tiempo.
Un “experto” podría ser un auditor de SI procedente de una empresa contable externa,
un consultor gerencial, un experto
de TI o un experto en el área de la auditoría que ha sido nombrado por la alta gerencia o
por el equipo de auditoría de SI.

S14 EVIDENCIA DE AUDITORÍA

Comentario:
Evidencia de auditoría:
Incluye los procedimientos realizados por el auditor
Incluye los resultados de los procedimientos realizados por el
auditor de SI
Incluye los documentos fuente (en formato electrónico o impresos
en papel), registros e información de corroboración utilizados para apoyar la auditoría
Incluye los hallazgos y resultados del trabajo de auditoría
Demuestra que el trabajo fue realizado y cumple con las leyes,
normativas y políticas aplicables
Al obtener una evidencia de auditoría de una prueba de controles, el auditor de SI debe
considerar la completitud de la evidencia
de auditoría para apoyar el nivel de riesgo del control evaluado. Es necesario identificar,
obtener las referencias cruzadas y catalogar de forma adecuada la evidencia de
auditoría.
Deben tenerse en cuenta propiedades tales como la fuente, naturaleza (por ejemplo,
escrito, oral, visual, electrónica) y autenticidad (por ejemplo, firmas digitales y manuales,
sellos) de la evidencia de auditoría al evaluar su nivel de fiabilidad.
Evidencia fiable
En términos generales, la fiabilidad de la evidencia de auditoría es mayor cuando:
Aparece en forma escrita, en lugar de presentarse como
expresiones orales
Se obtiene de fuentes independientes
Es obtenida por el auditor de SI en lugar de obtenerlo de la entidad que se está
auditando
Es certificada por una entidad independiente
Es mantenida por una entidad independiente
El auditor de SI debe considerar la forma más económica de recopilar la evidencia
necesaria para satisfacer los objetivos y riesgos de la auditoría. Sin embargo, la
dificultad o coste no es una razón válida para omitir un proceso necesario.
Los procedimientos usados para recopilar evidencias de auditoría dependen de la
temática auditada (es decir, su naturaleza, plazos de la auditoría, juicio profesional). El
auditor de SI debe seleccionar el procedimiento más apropiado para cada objetivo de
auditoría.
El auditor de SI puede obtener una evidencia de auditoría por:
Inspección
Observación
Consulta y confirmación
Repetición de la ejecución
Repetición del cálculo
Computación
Procedimientos analíticos
Otros métodos generalmente aceptados
El auditor de SI debe considerar la fuente y la naturaleza de cualquier información
obtenida para evaluar su fiabilidad y ulteriores requisitos de verificación.
Evidencia suficiente
La evidencia puede considerarse suficiente si soporta todas las preguntas materiales
referentes al objetivo y al alcance de la auditoría.
La evidencia de auditoría debe ser objetiva y suficiente para permitir que un tercero
independiente repita la ejecución de las pruebas y obtenga los mismos resultados. La
evidencia debe ser proporcional a la materialidad del elemento y a los riesgos
involucrados.
La suficiencia es una medida de la cantidad de evidencias de auditoría, mientras que lo
apropiado es la medida de la calidad de la evidencia de auditoría, estando ambos
conceptos relacionados entre sí. En este contexto, cuando se obtiene información de la
organización que es utilizada por el auditor de SI para realizar los procedimientos de
auditoría, el auditor de SI debe también
poner énfasis en la precisión y completitud de la información.
En aquellas situaciones en las que el auditor de SI cree que no se puede obtener
evidencia suficiente de auditoría, el auditor de
SI deberá reportar este hecho de una manera coherente durante la comunicación de los
resultados de auditoría.
Protección y retención
La evidencia de auditoría debe protegerse de accesos y modificaciones no autorizados.
La evidencia de auditoría debe retenerse después de completarse el trabajo de auditoría
durante el tiempo que resulte necesario
para cumplir con todas las leyes, normas y políticas aplicables.

S15 CONTROLES DE TI

Los estándares de ISACA contienen principios básicos y obligatorios, así como

procedimientos
esenciales, identificados con letra negrita, junto con la documentación relacionada.
El propósito de este estándar de ISACA es el de establecer normas y proporcionar guías
relativas a los
controles de TI.
El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del
entorno
de control interno de la organización.
El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al
diseño, la
implementación, la operación y la mejora de controles de TI.
La gerencia es responsable del entorno de control interno de una organización, incluidos
los controles
de TI. Un entorno de control interno proporciona la disciplina, el marco de referencia y la
estructura
para lograr el objetivo principal del sistema de control interno. COBIT define el control
como ‘las políticas, procedimientos, prácticas y estructuras organizativas
diseñadas para proporcionar una garantía razonable de que se lograrán los objetivos del
negocio, y
que los eventos indeseados serán prevenidos o detectados y corregidos’. Además,
COBIT define un
objetivo de control como ‘una declaración del resultado deseado o propósito que debe
lograrse al
implementar procedimientos de control en un proceso en particular’. Los controles de TI
están compuestos por controles generales de TI, que incluyen controles
transversales, controles detallados y controles de aplicación, referidos a controles sobre
la adquisición,
implementación, entrega y soporte a los sistemas y servicios de TI. Los controles
generales de TI son controles que minimizan el riesgo en el funcionamiento general de
los sistemas e infraestructura de TI de la organización, y un extenso conjunto de
soluciones
automatizadas (aplicaciones).
Los controles de aplicación son un conjunto de controles incrustados dentro de las
aplicaciones.
Los controles de TI transversales son controles generales de TI que están diseñados
para
administrar/gestionar y monitorizar el entorno de TI y, por tanto, afectan a todas las
actividades
relacionadas con TI. Son un subconjunto de controles generales TI enfocados en la
administración/gestión y monitorización de TI.
Los controles detallados de TI están compuestos por controles de aplicación, más
aquellos controles
generales de TI no incluidos en controles transversales de TI.
El auditor de SI debe utilizar una técnica o enfoque apropiados de evaluación de riesgos
al desarrollar
el plan general de auditoría de SI, y al determinar prioridades para una asignación eficaz
de los
recursos de auditoría de SI, y para proporcionar una garantía con respecto al estado de
los procesos
de control de TI. Los procesos de control son las políticas, procedimientos y actividades
que forman
parte de un entorno de control, diseñados para asegurar que los riesgos se mantienen
dentro de los
niveles de tolerancia establecidos por el proceso de administración/gestión de riesgos.

S16 COMERCIO ELECTRÓNICO

Comentario:
El comercio electrónico se define como aquellos procesos, a través de los cuales, las
organizaciones
realizan negocios por medios electrónicos con sus clientes, proveedores y otros socios
comerciales
externos, utilizando Internet como una tecnología habilitadora. Por lo tanto, incluye
modelos de
comercio electrónico de negocio a negocio (B2B), y de negocio a consumidor (B2C).
El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de riesgos
para
desarrollar el plan general de auditoría de SI debe cubrir los entornos de comercio
electrónico.
El auditor de SI debe considerar la utilización de técnicas de análisis de datos, incluida la
utilización
de una garantía continua, que permita a los auditores de SI monitorizar la fiabilidad del
sistema de
forma continua, y recoger evidencias selectivas de auditoría por medio del
ordenador/computadora,
al revisar las actividades de comercio electrónico.
El nivel de habilidad y conocimiento requerido, para comprender las implicaciones de
control y
administración/gestión de riesgos del comercio electrónico, varía con la complejidad de
las
actividades de comercio electrónico de la organización.
El auditor de SI debe comprender la naturaleza y la criticidad del proceso del negocio
soportado
por la aplicación de comercio electrónico antes de comenzar la auditoría, de modo que
los
resultados puedan evaluarse en el contexto apropiado.
Debe consultarse la guía siguiente para obtener mayor información con respecto al
comercio electrónico:
Guía G21 Revisión de sistemas de planificación de recursos empresariales (Enterprise
Resource Planning, ERP)
Guía G22 Revisión de comercio electrónico del negocio al consumidor (B2C)
Guía G24 Banca en Internet
Guía G25 Revisión de redes privadas virtuales (Virtual Private Networks, VPN)
Guía G33 Consideraciones generales respecto al uso de Internet
Procedimiento P6 Cortafuegos (firewalls)
Marco de referencia COBIT y objetivos de control.