Auditoría y Control

en Sistemas de
Información
CPC Guillermo Pedro Zegarra Cerna
MBA, Magister en Dirección Estratégica de Empresas
CRISC|CPDSE|CRMA|CHIAP|CICA|ISO 22301|ISO 3100 LRM,
Cobit 5 F
[email protected]
https://www.linkedin.com/in/guillermozegarracerna/

2022-01 Semana 01
Presentación personal
Presentación del curso
Sobre el curso

Curso : Control y Auditoría en Sistemas de Información

Código : SI371
Ciclo : 2022-01
Créditos : 3
Semanas : 16
Horas : 3 horas semanales
Horas totales : 48 horas
 Logro del curso

Este curso proporcionará conceptos sobre la auditoría de TI,

cuál es la función de un auditor especializado en tecnologías de
la información (TI), qué controles son los relevantes a revisar y
cuáles son los riesgos asociados.
Adicionalmente, permitirá
conocer los marcos de referencia
más utilizados en las
organizaciones para realizar una
auditoría de TI, así como entender
la importancia de la auditoría de
TI, como valor agregado al
negocio.
 Competencias ABET

ABET – EAC – Student Outcome (h): Analiza hechos del mundo

contemporáneo identificando el impacto en el desempeño
profesional del Ingeniero de Sistemas de Información.

ABET – EAC – Student Outcome (i): Reconoce las necesidades de

aprendizaje de por vida y continuo desarrollo profesional.

ABET – EAC – Student Outcome (j): Demuestra conocimiento de la

profesión, nuevos métodos de colaboración y comunicación.

ABET – EAC – Student Outcome (k): Comprende y brinda soporte

para el uso, entrega y gestión de sistemas de información dentro
de un entorno de sistemas de información.
Competencias generales UPC

Comunicación oral y escrita, así como las

técnicas, relacionadas con el entendimiento
de los procesos de tecnologías de
información y las de capacidad de análisis y
síntesis para la identificación y
documentación del trabajo de campo y de
los resultados de una Auditoría.
Unidades de aprendizaje

1. Conceptos de control y auditoría en sistemas de información.

2. Auditoría a procesos clave del gobierno de TI.
3. Auditoría a la adquisición, desarrollo, implementación y
mantenimiento de sistemas de sistemas de información.
4. Auditoría a las operaciones, mantenimiento y soporte de las
tecnologías de información.
5. Auditoría a controles de aplicación en los sistemas de
información.
6. Auditoría a la continuidad del negocio y recuperación ante
desastres.
Unidades de aprendizaje

Unidad CONCEPTOS DE CONTROL Y

1 2 3 4 5 6 AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Logro
Entender y comprender los conceptos de riesgos, control, auditoría y el proceso operativo
de una auditoría de TI.

Temario
• Conceptos generales de control interno y de riesgo
• Definición de una auditoría y tipos de auditoría
• El proceso de auditoría
• La función de auditoría
• Documentación asociada a la auditoría (plan de trabajo, informe de resultados)
• Normas y estándares de auditoría de tecnologías de la información

Hora(s) / Semana(s)
6 H / 1, 2
Unidades de aprendizaje

Unidad
AUDITORÍA A PROCESOS CLAVE DEL GOBIERNO DE TI
1 2 3 4 5 6

Logro
Comprender qué controles clave están relacionados a los de una auditoría al gobierno de
TI.

Temario
• Definición de Gobierno de las Tecnologías de Información
• Administración del riesgo en los gobiernos de TI
• Prácticas de auditoría a los gobiernos de TI
• La importancia de la segregación de funciones en la estructura organizacional de TI
• Auditoría del proceso de contratación del personal de TI
• Auditoría de la prestación de servicios de TI

Hora(s) / Semana(s)
6 H / 3, 4
Unidades de aprendizaje

Unidad AUDITORÍA A LA ADQUISICIÓN, DESARROLLO, IMPLEMENTACIÓN Y

1 2 3 4 5 6 MANTENIMIENTO DE SISTEMAS DE SISTEMAS DE INFORMACIÓN

Logro
Comprender cómo realizar una auditoría a la adquisición, desarrollo, implementación y
mantenimiento de sistemas de sistemas de información.

Temario
• Entendimiento de los procesos y controles clave en el ciclo de vida del desarrollo de los
sistemas de información
• Políticas y procedimientos clave
• Acuerdos de nivel de servicio
• Proceso de auditoría al proceso de administración de cambios tanto a la infraestructura
de TI como a la de los sistemas de información
• Caso práctico de las unidades aprendidas
• Repaso antes del examen parcial / Examen parcial

Hora(s) / Semana(s)
9 H / 5, 6, 7
Unidades de aprendizaje

Unidad AUDITORÍA A LAS OPERACIONES, MANTENIMIENTO Y

1 2 3 4 5 6 SOPORTE DE LAS TECNOLOGÍAS DE INFORMACIÓN

Logro
Comprender cómo realizar una auditoría a las operaciones, mantenimiento y soporte de las
tecnologías de información.

Temario
• Gestión de la seguridad de la información • Administración del hardware de
(gestión de accesos) sistemas de información
• Operaciones de los sistemas de • Software de administración de base de
información y tipos de operación datos
• Niveles de servicio • Sistemas operativos
• Tareas programadas • Infraestructura de redes de
• Manejo de incidentes y problemas computadoras
• Mesa de ayuda y soporte • Proceso de auditoría a las operaciones,
mantenimiento y soporte de las
Hora(s) / Semana(s) tecnologías de información
6 H / 9, 10
Unidades de aprendizaje

Unidad AUDITORÍA A CONTROLES DE APLICACIÓN

1 2 3 4 5 6 EN LOS SISTEMAS DE INFORMACIÓN

Logro
Comprender cómo realizar una auditoría en donde se involucren controles de aplicación de
los sistemas de información.

Temario
• Entendimiento de los tipos de controles de aplicación que pueden tener los sistemas de
información y los procesos de negocio
• Proceso de auditoría a los controles de aplicación

Hora(s) / Semana(s)
3H / 11
Unidades de aprendizaje

Unidad AUDITORÍA A LA CONTINUIDAD DEL NEGOCIO, CIBERSEGURIDAD Y

1 2 3 4 5 6 CLOUD

Logro
Comprender cómo realizar una auditoría a la continuidad del negocio y recuperación ante
desastres.

Temario
• Definición de continuidad del negocio y del plan de recuperación ante desastres
• Análisis de impacto al negocio (BIA)
• Evaluación de riesgos de continuidad del negocio (RIA)
• Estrategias de recuperación
• Proceso de auditoría a la continuidad del negocio y recuperación ante desastres
• Auditoría a la ciberseguridad
• Auditoría a los sistemas en nube
• Caso práctico de las unidades aprendidas – Trabajo grupal
Hora(s) / Semana(s)
12 H / 12, 13, 14, 15
Sistema de Evaluación

Tipo de Nota Peso % Semana

PC1 – Práctica Calificada 1 10% 4
EP – EVALUACIÓN PARCIAL 20% 8
PC2 – Práctica Calificada 2 10% 12
PA – PARTICIPACIÓN 20% Todas
PG – TRABAJO FINAL 20% 7 y 15
EF - EVALUACIÓN FINAL 20% 16
 Cronograma General – SIA1

S Fecha Evaluación Actividad / Tema

1 21 marzo
1. Conceptos de control y auditoría en sistemas de información
2 28 marzo
Participación

3 04 abril
2. Auditoría a procesos clave del gobierno de TI
4 11 abril Control Lectura
5 18 abril
3. Auditoría a la adquisición, desarrollo, implementación y
6 25 abril
mantenimiento de sistemas de sistemas de información
7 02 mayo Avance Tr. Final
8 09 al 14 mayo EXAMEN PARCIAL
9 16 mayo
4. Auditoría a las operaciones, mantenimiento y soporte de las
10 23 mayo tecnologías de información
Participación

11 30 mayo
12 06 junio Control Lectura 5. Auditoría a controles de aplicación en los sistemas de información
13 13 junio
14 20 junio 6. Auditoría a la continuidad del negocio y recuperación ante desastres
15 27 junio Trabajo Final
16 04 al 09 de julio EXAMEN FINAL
Conceptos de Control y
Auditoría en
Sistemas de
Información

Semana 01
Unidades de aprendizaje

Unidad CONCEPTOS DE CONTROL Y

1 2 3 4 5 6 AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Logro
Entender y comprender los conceptos de riesgos, control, auditoría y el proceso operativo
de una auditoría de TI.

Temario
• Conceptos generales de control interno y de riesgo
• Definición de una auditoría y tipos de auditoría
• El proceso de auditoría
• La función de auditoría
• Documentación asociada a la auditoría (plan de trabajo, informe de resultados)
• Normas y estándares de auditoría de tecnologías de la información

Hora(s) / Semana(s)
6 H / 1, 2
Conceptos generales de
control interno,
riesgos y auditoría
Incidentes de Seguridad de la
Información
Más
incidentes…
 Control Interno– Conceptos generalesContr

COSO: The Committee of Sponsoring Organizations of the Treadway Commission is a

joint initiative to combat corporate fraud. It was established in the United States by five
private sector organizations, dedicated to guide executive management and governance
entities on relevant aspects of organizational governance, business ethics, internal
control, enterprise risk management, fraud, and financial reporting. COSO has
established a common internal control model against which companies and
organizations may assess their control systems. COSO is supported by five supporting
organizations:
• Institute of Management Accountants (IMA),
• American Accounting Association (AAA),
• American Institute of Certified Public Accountants (AICPA),
• Institute of Internal Auditors (IIA),
• Financial Executives International (FEI).
Control Interno– Conceptos generales
 Gobierno y Gestión del riesgo

Directorio
GOBIERNO CORPORATIVO

Medición de la

Estrategia
Estrategia
Gerencia General

Gerencias de línea

Planear
Construir
GERENCIAR CREACIÓN DE VALOR
Ejecutar
Monitorear

Mitigación Optimización Obtención de

de riesgos de los recursos beneficios
Gestión de riesgos de TI

Gestión del Riesgo ISO 31000

Riesgo Operativo

Riesgo de Seguridad de la
Información ISO 27001 / ISO
27005
Ciberriesgo ISO
27032 Riesgo de Continuidad
del Negocio ISO 22301

Riesgo Tecnológico

Gestión de Tecnología
Gestión del riesgo – Conceptos generales

Riesgo
El Riesgo es la exposición a una posible pérdida o daño.
• El nivel de riesgo se calcula multiplicando la probabilidad de ocurrencia por
el impacto del riesgo identificado en algún entorno.
• El riesgo no se elimina.

Amenaza
Cualquier actividad, agente u entidad que represente un posible
peligro.

Vulnerabilidad
Una Vulnerabilidad es una debilidad en un entorno que podría ser
explotada por una amenaza.
Reporte de riesgos global – WEF 2022
Reporte de riesgos global – WEF 2022
(..continuación)
Reporte de riesgos global – WEF 2022
(..continuación)

Fuente: Informe de Riesgos Globales –

17 edición. WEF/Marsh/Zurich Insurance/
SK Group
Gestión del riesgo – Conceptos generales –
Probabilidad / Impacto
PROBABILIDAD IMPACTO
Escala Criticidad Descripción Escala Criticidad Descripción

• Incidencias en el nivel de servicio de criticidad C5

1 Muy Baja > 10 años 1 Muy Bajo • Indisponibilidad de al menos un servicio por un periodo inferior a 12 horas
• Cualquier otro evento de carácter tecnológico poco significativo (la organización podría convivir con el riesgo).

• Incidencias en el nivel de servicio de criticidad C4

2 Baja Entre 5 a 10 años 2 Bajo • Indisponibilidad de al menos un servicio por un período superior a 12 horas
• Cualquier otro evento de carácter tecnológico de importancia moderada.

• Incidencias en el nivel de servicio de criticidad C3

• Indisponibilidad de al menos un servicio que soporta un proceso crítico de negocio por un período inferior a 4 horas
3 Moderada Entre 1 a 5 años 3 Moderado
• Pérdida de integridad recuperable en datos de clientes
• Cualquier otro evento de carácter tecnológico significativo para la organización.

• Incidencias en el nivel deservicio de criticidad C2-C3+

• Indisponibilidad de la mayoría de servicios que soportan procesos críticos de negocio por un período inferior a 4 horas o
indisponibilidad de al menos un servicio por un período superior a 4 horas
4 Alta Anualmente 4 Alto • Incidentes de seguridad que hayan derivado en una pérdida de información de uso interno o en los que se hayan visto comprometidas
credenciales de usuarios de manera puntual (incluyendo ciberataques).
• Pérdida de integridad recuperable en datos de sistemas estructurales / operacionales
• Cualquier otro evento de carácter tecnológico relevante para la organización que deba ser escalado a la Dirección.
• Incidencias en el nivel de servicio de criticidad C0-C1
• Indisponibilidad de todos o de la mayoría de servicios que soportan procesos críticos de negocio por un período superior a 4 horas
• Incidentes de seguridad que hayan derivado en una pérdida de información confidencial o en los que se hayan visto comprometidas
5 Crítica Más de una en un año 5 Crítico
credenciales de usuarios de manera masiva (incluyendo ciberataques).
• Pérdida de integridad no recuperable en datos de sistemas estructurales / operacionales o de clientes
• Cualquier otro evento de carácter tecnológico grave que pudiera comprometer la existencia de la organización.
Gestión de riesgos–
Conceptos generales

EXPOSICIÓN AL RIESGO

5 Baja Moderada Alta Crítica Crítica

4 Muy baja Baja Moderada Alta Crítica

Probabilidad

3 Muy baja Baja Moderada Alta Alta

2 Muy baja Baja Moderada Moderada Moderada

1 Muy baja Muy baja Baja Moderada Moderada

1 2 3 4 5
Impacto
 Gestión de riesgos – matriz de riesgos

Inherente
Probabi Exp. al
# Riesgo Activo Amenaza Vulnerabilidad lidad
Impacto
Riesgo
Pérdida de ventaja • Actas de Divulgación de • Falta de control técnico de salida de
competitiva por Directorio documentos información a determinados sitios.
divulgación de • Planeamiento de confidenciales, al ser • Falta de efectividad en la concienciación
1 información Campañas de enviados desde la del personal. Crítica Crítico Crítica
estratégica de Marketing red interna a sitios de • Insuficiente detección de divulgación de
negocio y/o legal. internet de acceso información de XYZ en las redes públicas.
público.

Residual
Fecha de
Probabili Exp. al Respon
Controles Existentes Impacto Planes de Mitigación Estado Implementa
dad Riesgo sable
ción
• Concienciación general 1. Revisar el servicio de Ciberinteligencia 1. CIO 1. …
• Concienciación del área. para mejorar efectividad. 2. CTO 2. 9-ago-19
• Bloqueo de ciertas 2. Se bloqueará la categoría e-readers 3. CISO 3. 24 ago 19
categorías en Internet. 3. Se actualizará el inventario de activos del 4. CTO En 4. …
Moderada Crítico Alta
• Restricciones de acceso. área legal de XYZ. Proceso
4. Evaluar implementación de DLP.
 Gestión de riesgos – matriz de riesgos

Inherente
Probabil Exp. al
# Riesgo Activo Amenaza Vulnerabilidad idad
Impacto
Riesgo
Pérdida de • Información para Infección • Falta de detección técnica de ransomware
operatividad por operación del Ransomware en PCs desconocido.
indisponibilidad de negocio en PCs. de usuarios críticos • El parchado de las PCs alcanza solo a un
información debido a del negocio. 80% con actualizaciónes de 1 mes.
2 Crítica Moderado Alta
ataque ransomware. • Falta de efectividad en la concienciación
del personal.
• Inefectivo sistema de respaldo de la
información en PCs.

Residual
Fecha de
Probabi Exp. al Respon
Controles Existentes Impacto Planes de Mitigación Estado Implementa
lidad Riesgo sable
ción
• Antivirus actualizado 1. Evaluar implementación de antimalware 1. CTO 1. 31-oct-19
diariamente en 100% de avanzado. 2. CTO 2. 12-sep-19
PCs. 2. Mejorar programa de parchado hasta
• Concienciación general. alcanzar 98% a una semana de 3. 3. 6 nov 19
En
• Programa de parchado de Baja Moderado Moderada actualización. Gerente 4. 10-oct-19
Proceso
PCs. 3. Incluir validación de cambio de conducta RRHH
dentro de concienciación. 4. CIO
4. Implementar respaldos en información
necesaria en PCs.
 Auditoría Interna - El modelo de las
Tres Líneas
El Instituto de Auditores Internos (IIA, en inglés) es
la voz global de la profesión de auditoría interna,
reconocida autoridad y primordial educador en el mundo
entero.

Temas de interés: Auditoría interna, gestión de riesgos,

gobierno, control interno, auditoría de tecnologías de la
información, educación y seguridad.

Los auditores internos utilizan el mismo lenguaje profesional en

todas partes del mundo.

La designación Certified Internal Auditor® (CIA®) del IIA es la única

certificación reconocida mundialmente para los profesionales de auditoría
interna
 Auditoría Interna - Módelo de las
Tres Líneas

Auditoría Interna: (i) Mantiene la responsabilidad primordial ante el órgano de gobierno y la

independencia de las responsabilidades de la dirección, (ii) Asegura y asesora de forma
independiente y objetiva a la dirección y al Directorio sobre la adecuación y eficacia del gobierno y
gestión de riesgos para apoyar la consecución de los objetivos de la organización, promover y
facilitar la mejora continua, (iii) Informan al Directorio.
 Módelo de las Tres Líneas

Gobierno: las políticas, los procesos y las estructuras utilizadas para dirigir y controlar las actividades de
la organización, alcanzar los objetivos y proteger los intereses de los accionistas en concordancia con las
normas éticas.
Gobierno corporativo: el proceso de gobierno que incluye los siguientes objetivos:
• Promover principios éticos y valores adecuados dentro de la organización.
• Asegurar un desempeño, gestión y responsabilidad organizacionales eficaces
• Comunicar la información relativa a riesgos y control a las áreas apropiadas de la organización.
• Coordinar las actividades del consejo, de los auditores externos e internos y de la dirección; además
de la comunicación de información entre ellos.

Independencia organizacional: una relación de jerarquía, tanto de tipo funcional como administrativo,
dentro de la organización que le permite al director ejecutivo de auditoría y a la actividad de auditoría
interna llevar a cabo sus obligaciones sin influencias indebidas.

Aseguramiento: examen objetivo de la evidencia a fin de brindar una evaluación independiente del
gobierno, la gestión de riesgos o el control interno.
Gestión de riesgos: la identificación, evaluación y asignación de prioridades respecto a riesgos seguida
de la aplicación coordinada y moderada de recursos para minimizar, supervisar y controlar la
probabilidad o el impacto de eventos desafortunados.
Control Interno – Normativa local

Directiva N° 006-2019-CG/INTEG
“Implementación del Sistema de Control
Interno en las entidades del Estado”,
aprobada por R.C. N° 146-2019-CG,
publicada el 17.MAY.2019.

Resolución SBS Nº 272-2017 del 23 de enero de 2017, aprueba el Reglamento de

Gobierno Corporativo y de la Gestión Integral de Riesgos, que establece que las
empresas supervisadas deben contar con una gestión integral de riesgos
adecuada a su tamaño y a la complejidad de sus operaciones y servicios.
Resolución SBS Nº 11699-2008 del 30 de noviembre de 2008, aprueba el
Reglamento de Auditoría Interna.
 Ley Sarbanes Oxley – Julio 2002

 Acta de Reforma de la Contabilidad Pública de Empresas y de Protección al

Inversionista
 Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al
inversor.
 Busca fortalecer el establecimiento del control interno en las empresas,
focalizado en los procesos relacionados a la emisión de los estados
financieros.
 De nuestro interés, especial atención a la sección 404.

Profesionales especializados (riesgos emergentes TI)

PCAOB SEC Evaluar si han existido incidentes de ciberseguridad
con potencial impacto en los estados financieros.
Como parte de la evaluación de riesgos – Awareness
En la política no debe faltar:
- Ciberhigiene y preparación / notificación de
incidentes al gobierno / en determinadas
circunstancias la información al público.
Auditoría Interna - Definición

Es una actividad independiente y objetiva que presta servicios de aseguramiento y

de consultoría y tiene como objetivo la generación de valor y mejora de las
operaciones de la organización.
Con enfoque en mejorar la eficacia en el proceso de:
 Administración de riesgos
 Control
 Gobierno
Videos relacionados

VIDEOS / INFORMACIÓN

Enron, los tipos que estafaron a América (Trailer)

https://www.youtube.com/watch?v=MHip4P5-MEo

Se hicieron pasar por ejecutivos y robaron 1.800 millones de dólares

http://www.infobae.com/2016/03/30/1800476-se-hicieron-pasar-ejecutivos-y-
robaron-1800-millones-dolares

Detenida la cúpula de Vitaldent por presunto delito fiscal

https://www.youtube.com/watch?v=uZSdtaCePAA
Videos relacionados

Concepto de Auditoría de Sistemas de Información

Universidad Politécnica de Valencia – España
https://www.youtube.com/watch?v=IgN3hrS5rJ4