curso: auditoría de sistemas: 02 plan de trabajo
TRANSCRIPT
1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de SistemasIngeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Sesiones 07 a 09
2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Recordamos?
3
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
4
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
5
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf
Atributos clave: 10 pasos para maximizar la función de Auditoría Interna
6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplo de alineamiento estratégico de TI
Ejecución estratégica
Potencial tecnológico
Potencial competitivo
Nivel de servicios
TI se adapta, la implementa
TI apoya estrategias, arquitecto de tecnología
TI define estrategias, explota/potencia capacidades emergentes de TI -tendenciasTI como generadora de valor, liderazgo del negocio
Fuente: http://www.12manage.com/methods_venkatraman_strategic_alignment_es.html
7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Diagrama de influencia extendido
Fuente: N. Vargas* y L. Plazaola, ISSN 1818-6742, Niicaragua
8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Relación de la tecnología con los procesos de negocio
Fuente: http://www.auditool.org/blog/auditoria
-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-
aseguramiento-del-negociohttp://www.madrimasd.org/revista/revi
sta23/tribuna/tribuna1.asphttp://revista.seguridad.unam.mx/printp
df/356http://boletin.dseinfonavit.org.mx/035/
documentos/ManualNormativodeRiesgoTecnologico.pdf
usabilidad
La tecnología se vuelve
parte de la operación y
su funcionamiento no
puede aislarse de los
demás elementos del
proceso; asimismo,
todos los integrantes en
conjunto tienen un solo
objetivo, además de
poseer la misma
importancia para el
logro de los resultados.
La decisión de incorporar
tecnología en los procesos
del negocio, trae consigo la
decisión de administrar el
correspondiente:riesgo tecnológico
Pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso [mal uso] o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de Información por el empleo de herramientas y aplicaciones tecnológicas, que se incrementa continuamente, y que no cuentan con una gestión adecuada en seguridad.
9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgo tecnológico
ISACA lo define como:
“El riesgo de negocio asociado al uso, propiedad, operación,participación, influencia y adopción de las tecnologías de la información(TI) en la organización”.
Fuente: http://nahunfrett.blogspot.com/2014/08/cobertura-del-riesgo-tecnologico-hacia.htmlhttps://seguridadysalud.wordpress.com/2011/08/03/%C2%BFriesgo-tecnologico/
http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-i
El riesgo tecnológico puede verse desde tres aspectos, primero a nivel de la infraestructura tecnológica (hardware o nivel físico), en segundo lugar a nivel lógico (riesgos asociados a software, sistemas de información e información) y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.
10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Todo tiene una
explicación
11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones de seguridad de la información
Aspectos legales Regulaciones Interoperabilidad Integración Compatibilidad Confianza Privacidad Riesgos Personalización Licenciamiento Continuidad Soporte Documentación Vigencia Sostenibilidad Concurrencia QA/QC Estándares Mejora continua Activos Gestión de configuraciones Trazas Normas de gestión Adaptabilidad Utilidad Autentificación . . .
Respaldos Persistencia Disponibilidad Confidencialidad Integridad Protección Localización Comunicaciones Mantenimiento Capacitación Actualizaciones Procesos Cumplimiento Sustentabilidad Capacidad Normas técnicas Sistemas de gestión Elementos de configuración (CI) Base de Datos de la gestión de
configuraciones (CMDB) CMMI SDLC Eficiencia Eficacia Usabilidad Contenido No repudio . . .
¿tendencias?¿legacy?otra ¿solución web?¿fusiones?¿riesgos?¿TCO?¿SLA?¿movilidad?¿mercado?¿competencia?¿benchmark?¿organización?¿globalización?¿situación actual?¿Planificación?¿control de medios?¿avances tecnológicos?¿decisiones de inversión?¿beneficios?¿alcances?¿cronogramas?¿expectativas?¿insatisfacción?¿efectividad?¿gestión?¿oportunidad?¿aislamiento?¿metodología?¿forensic?¿escalabilidad?¿flexibilidad?¿fiabilidad?¿estrategias empresariales?¿alineamiento?
...
¿El programador deberá tener acceso a los servidores de producción?¿El operador podrá tener acceso a los programas fuente?
12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Confidencialidad
Integridad
Disponibilidad
Procesada
Almacenada
Transmitida
Políticas y procedimientos
Tecnología
Conciencia, educación, y entrenamiento
Modelo de Seguridad de la Información
La seguridad de la información se basa en estos pilares (metas)
Puede tomar estos estados
Se adoptan medidas para su seguridad (salvaguardas)
La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.
13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad de la información: pilaresNormativo – Legal
(leyes, contratos, reglamentos, códigos de conducta, etc.)
Tecnología(hardware, software, seguridad física, normas técnicas, mejores prácticas)
Organización(capacitación, auditorías, aplicación práctica, políticas, etc.)
Data consistenteVálida
PersistenteSin manipulaciones
Sin alteraciones
AutorizaciónAutenticación
PrivacidadAcceso controlado
Continuidad del negocio y operaciones
Canales adecuadossiguiendo los procesos
correctos
14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Controles de la Seguridad de la información
Adquisición, desarrollo y mantenimiento de
sistemas de los información
Seguridad en la operativa
Aspectos de seguridad de la información en la
Gestión de la continuidad del
negocio
Seguridad lógica Seguridad organizativa
Seguridad ligada a los recursos
humanos
Gestión de incidentes en la seguridad de la
información
Gestión de activos
Organización de la seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y ambiental
Control de accesos
Cumplimiento
Seguridad legal
NTP ISO/IEC 17799:200711 dominios de control39 objetivos de control133 controles
ISO/IEC 27002:201314 dominios de control35 objetivos de control114 controles
Seguridad en las telecomunicaciones
Relación con proveedores
Cifrado
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Gracias por su atención
¿Preguntas?
Riesgos Legales
• Pérdida de gobernabilidad.
• Usurpación de datos.
• Titularidad de los derechos.
• Deslocalización de la información.
• Dependencia en el proveedor.
• Negativa del proveedor a ser auditado.
Riesgos Técnicos
• Comunicaciones inseguras.
• Abuso de privilegios.
• Compromiso de la interfaz de gestión.
• Compartición de recursos.
• Denegación de servicio.
• Incompatibilidad para migración.
• Sabotaje• Desconocimiento
Controles y guías de buenas prácticas de seguridad para
la Nube
• Ley de contrataciones.• Proveedores sin experiencia.• Personal técnico no especializado.• Normativas internas.
• Integración débil.• Inter operabilidad incompleta.
ISO: International Organization for StandardizationNIST: National Institute of Standards and TechnologyCOBIT:Control Objectives for Information and Related TechnologyCSA: Cloud Security Alliance
ISO
NIST
COBIT CSA
16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-aseguramiento-del-negocio
17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-aseguramiento-del-negocio
18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Niveles de gobernanza
Fuente: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20080416%20Standard%20ISO38500.pdfhttps://www.iaia.org.ar/revistas/elauditorinterno/08/articulo2.html
http://revista.seguridad.unam.mx/numero-15/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-ii-gobierno-de-ti-y-riesgos
http://revista.seguridad.unam.mx/printpdf/366
19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Marcos de control
20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Niveles de gobernanza
COBIT
Es el resultado de una investigación con expertos de variospaises, desarrollada por la “Information, Systems Audit andControl Association “ISACA”.
Esta asociación se ha constituido en el organismonormalizador y orientador en el control y la auditoría de lossistemas de Información y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado pororganizaciones en el ámbito mundial.
Modelo para evaluar y/o auditar la
gestión y control de los de
Sistemas de Información y
Tecnología relacionada (IT):
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Ing. Víctor Manuel Montaño Ardila
Modelo COBIT
Origen
LEGISLADORES / REGULADORES USUARIOS PRESTADORES
DE SERVICIOS
• MARCO UNICOREFERENCIAPRACTICASSEGURIDADY CONTROL
ALT
A G
EREN
CIA
•INVERSION CONTROL TI•BALANCE RIESGO/CONTROL• BASE BENCHMARKING
USU
AR
IOS D
E TI
• ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS
• CONFUSIÓN ESTANDARES
AUDITORES
• DESGASTE OPINION V.S.
ALTA GCIA.• CONSULTORES EN
CONTROL/SEG.TI
CONCEPTOS BÁSICOS
Ing. Víctor Manuel Montaño Ardila
CONCEPTOS BÁSICOS
Proveer un marco único reconocido a nivel mundial delas “mejores prácticas” de control y seguridad de TI
Consolidar y armonizar estándares originados endiferentes países desarrollados.
Concientizar a la comunidad sobre importancia delcontrol y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con laestructura de control de la TI, como factor crítico deéxito
Aplica a todo tipo de organizaciones independiente desus plataformas de TI
Ratifica la importancia de la información, como uno delos recursos más valiosos de toda organización exitosa
Ing. Víctor Manuel Montaño Ardila
CONCEPTOS BÁSICOS
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón
COBIT
Representatividad
ISACA - 95 paises 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
Ing. Víctor Manuel Montaño Ardila
CONCEPTOS BÁSICOS
Para satisfacer los objetivos del negocio lainformación debe cumplir con criterios que COBITextrae de los más reconocidos modelos:
Requerimientos de calidad(ISO 9000-3)
•Calidad
•Costo
•Entrega
Ing. Víctor Manuel Montaño Ardila
Requerimientos fiduciarios(informe COSO)
Eficacia y eficienciaConfiabilidad de la información Cumplimiento con leyes y
reglamentaciones
Requerimientos de seguridad(libro rojo, naranja,ISO 17799 y otros)
Disponibilidad
Integridad
Confidencialidad
CONCEPTOS BÁSICOS
Ing. Víctor Manuel Montaño Ardila
REGLA DE ORO DEL COBIT
A fin, de proveer la informaciónque la organización requiere paralograr sus objetivos, los recursosde TI deben ser administrados porun conjunto de procesos,agrupados de forma adecuada ynormalmente aceptada.
Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT?
La Tecnología se ve como uncosto, no hay una terminologíacomún con el negocio, y serecorta el presupuesto en laseguridad, ya que la falta dedifusión de normas y buenasprácticas que ayuden agenerar conciencia de losriesgos mantiene la quimeradel :
“ A mi no me va pasar..”
Ing. Víctor Manuel Montaño Ardila
29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Atributos de calidad
Los atributos de calidad requeridos de la información, ya sea relevadao recibida, obtenida dentro de –o sujeta a- los parámetros deseguridad, procedimientos internos o ámbitos de actuación y/o deresponsabilidad de las distintas unidades de la organizacióninvolucradas en el proyecto son, pero no están limitados a, lossiguientes:
Contenido completo, contextual y claro, con detalle pertinente ysuficiente para desarrollar de forma apropiada la evaluación contractualrequerida, y con el nivel pertinente.
Redacción correcta, precisa, clara, objetiva, concisa, constructiva.
30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evaluación vs. Auditoría
Toda evaluación lleva implícita una opinión o juicio de valor, a partir de unconjunto de informaciones sobre la evolución o los resultados de experienciaso de la operación, con el fin de tomar una decisión lo más objetiva posible; portanto, es una aproximación cualitativa, un proceso reflexivo, sistemático, devaloración sobre juicio de expertos.
Una auditoria puede tomar los resultados de la evaluación y realizar unescrutinio externo y objetivo de ellos en busca de determinar un grado decumplimiento de los procesos o normativa general que la misma instituciónhaya establecido –evaluar la eficacia y eficiencia, analizando el contextoorganizativo y ambiental en el que se desenvuelve.
Una evaluación debe incorporarse como una práctica cotidiana que realizan losinvolucrados y afecta a la institución en su conjunto, para mejorar y potenciarcontinuamente su desarrollo y el de sus integrantes; por tanto, se considerauna labor de consultoría.
31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
La madurez se puede entender o visualizar como la razón por la que eléxito ocurre, o como la vía para prevenir comúnmente los problemas.
Los modelos nos permiten representar realidades complejas(área/entorno/organización) en forma más sencilla, a través de laselección de un conjunto de características que la definen, cuyaevaluación nos permite obtener una visión de su situación actual,predecir su comportamiento y proporcionar una guía de pasos a seguirpara alcanzar una situación deseada (futura).
Luego, un modelo de madurez es un conjunto estructurado deelementos (mejores prácticas, herramientas de medición, criterios deanálisis, entre otros), que permite identificar las capacidadesinstaladas en la organización con relación al aspecto evaluado,compararlas con estándares, identificar vacíos o debilidades yestablecer procesos de mejora continua.
32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
Así, un modelo de madurez, entre otras ventajas:
Permite a la institución ubicarse a sí misma de manera relativamente fácilen una determinada escala del modelo.
Facilita la evaluación por medio de benchmarking y la identificación de lasmejoras necesarias.
Expresa un perfil donde las condiciones relevantes a diferentes niveles demadurez se han conseguido.
Expresa cuánta interiorización han logrado los interesados (entre otros, laalta dirección, gerentes, jefes, personal) en los conceptos y aspectos quese han evaluado.
Permite identificar dónde se encuentran los problemas y cómo fijarprioridades para las mejoras, para alcanzar un determinado nivel demadurez en un periodo razonable de tiempo.
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Gracias por su atención
¿Preguntas?
NIVEL DE MADUREZCARACTERÍSTICAS
PRINCIPALESQUÉ LO CARACTERIZA QUÉ OBTENGO
Innovación
Benchmarking
Los procesos representan
mejores prácticas
Se utilizan herramientas de
automatización en forma
consistente
Existe un importante foco en la
mejora de la calidad y
efectividad
Innovaciones planeadas
Gestión de
configuraciones
Análisis causal y
resolución
Optimización de
procesos
Proactividad real
Cumplimiento de
metas
Procesos
predecibles que
son mejorados de
forma continua
Automatización efectiva
Existen mecanismos para la
mejora de los procesos
El cumplimiento de los
procedimientos se mide y
monitorea
Procesos estables
Resultados predecibles
Gestión del conocimiento
Gestión cuantitativa de
proyectos
Medición de procesos
Control de procesos
Cuantificación de
resultados
Explotación de
beneficios de la
estandarización
Procesos
establecidos que
se ejecutan
dentro de límites
definidos
Procesos estandarizados,
documentados y comunicados
mediante entrenamiento
No existe un procedimiento de
aseguramiento de la calidad
de los procesos
Juez y parte
Crecimiento de la
productividad
Economía de escala
Gestión integrada de
proyectos
Gestión de riesgos
Definición de procesos
Implementación de
procesos
Mediciones
eficientes y
efectivas
Entrenamiento
apropiado y
pertinente
Procesos
gestionados
implementados
usando procesos
definidos
34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procedimientos
similares para la misma
tarea realizadas por
diferentes personas
No existen
entrenamientos o
comunicaciones
formales de estándares
Alto grado de
dependencia en
personas
Reducción del
retrabajo
Se satisfacen
compromisos
Planificación del
proyecto
Gestión del
rendimiento
Estabilizació
n del trabajo
Compromiso
de control
Procesos
ejecutados
implementad
os de forma
gestionada
Reactivo
Desorganizado
Enfoque ad-hoc aplicado
de manera individual o
caso por caso
“sólo haz que
funcione”
Ser
considerado
“bombero”
Nivel 0
No se reconocen
procesos
No se reconoce que
existe una necesidad que
debe ser contemplada
No hay problemas
por resolver
Las cosas
“funcionan”
NIVEL DE MADUREZCARACTERÍSTICAS
PRINCIPALESQUÉ LO CARACTERIZA QUÉ OBTENGO
35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sistema –objeto complejo: unión de cosas de manera organizada
Conjunto ordenado de normas y procedimientos que regulan el funcionamiento de un grupo o colectividad.
Conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia.
Un sistema puede ser físico o concreto (una computadora, un televisor, un humano) o puede ser abstracto o conceptual (un software).
Fuente: DICCIONARIO DE INFORMÁTICA Y TECNOLOGÍA
Núcleo de un átomoSistema/Aparato digestivoSistema (modelo) políticoSistema métrico decimal…
…
…
36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de sistemas –de información
Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas/[procedimientos]), selectivo(muestras) de las políticas, normas, prácticas, funciones, procesos,procedimientos e informes [documentados] relacionados con lossistemas de información computarizados, con el fin de emitir unaopinión profesional ([independiente, objetiva e] imparcial) conrespecto a:
Eficiencia en el uso de los recursos informáticos.
Validez de la información.
Efectividad de los controles establecidos.
Fuente: https://maledume.wordpress.com/concepto-y-etapas-de-auditoria-de-sistemas/http://www.gerencie.com/auditoria-de-sistemas.html
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.htmlhttp://anaranjo.galeon.com/conceptos.htm
El área informática monta los procesos informáticos seguros. El control interno informático monta los controles (función normativa y
del cumplimiento del marco jurídico). La auditoria informática evalúa el grado de control.
importante
37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Aspectos básicos de la Auditoría de Sistemas de Información
Es un examen y validación de los controles y procedimientos usados por el Área de Sistemas (Informática) a fin de verificar que los objetivos de continuidad del servicio, confidencialidad y seguridad de la información así como la integridad y coherencia de la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e interna de la Empresa. (Universidad Regional Autónoma de los Andes)
Juega un papel fundamental en el control adecuado, uso y aplicación de todos los recursos de la organización, especialmente los que garanticen el manejo seguro y eficiente de la información. (Universidad Distrital Francisco José De Caldas)
Permite determinar si los controles implementados son eficientes y suficientes, identificar las causas de los problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas de información confiables y disponibles. (auditoria.com.mx)
Auditoría informática es aquella actividad auditora que trata de evaluar la adecuada utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada que se produce en una determinada empresa o institución, así como la organización de los servicios que la elaboran y procesan. (Hevia, 1989)
38
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué? ¿Dónde? ¿Cómo? …
¿Desviaciones? ¿cuáles son sus causas?
Revisemos
http://blog.iedge.eu/tecnologia-sistemas-informacion/tecnologia-tecnologia-sistemas-informacion/
http://blog.iedge.eu/tecnologia-sistemas-informacion/seguridad-informatica-2/juan-manuel-escudero-iniciacion-la-auditoria-informatica/#more-1485
http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-siti/jose-barato-introduccion-al-governance/#more-8424
http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm
http://anaranjo.galeon.com/objetiv_audi.htm
39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Investigación
35 Preguntas de TI que todo Director de Auditoría Interna debe realizar
Objetivos, funciones, riesgos, mejores prácticas, estándares,herramientas, controles, estrategias, planificación, recursos, gobierno …
15 Preguntas Sobre Controles Tecnología Información (TI)
Los controles –apoyados por el 6W-2H
Tecnología de Información y Fraude
Gobierno, auditoría continua, gestión, intrusiones
TI y la entrega de valor en la empresa
40
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Si se requiere, entre otros
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (entre otros, pero no limitados a: software, hardware, redes, bases de datos, comunicaciones).
Seguridad y confidencialidad de la información.
Considerar aspectos legales de los sistemas de la información
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
41
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Es necesario dimensionar
El tamaño del organismo a auditar
Las características del área a
auditar
Los sistemas, organización y equipo
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
Determinar el nivel de servicio requerido
Requerido para
Requerirá gestión
42
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_30_norma_iso_19011.html
43
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_28__procedimientos_de_auditora.html
44
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Entonces se requiere un plan que contemple, como mínimo
Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.dochttp://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm
http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q
TBOH2LDUZRTQ
Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestosy cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.
Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.
Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),sistema de evaluación.
Establecer el plan de gestión de comunicaciones.
Gestión de la calidad.
Seguimiento de acciones correctoras.
Realización del diagnóstico, análisis y evaluación de desviaciones.
Gestión de riesgos.
Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividadesy controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis alrealizar la auditoría y promover comentarios y la promoción de los auditados.
Preparar por escrito el programa de auditoría –el plan de gestión.
Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.
¡Un plan de gestión de proyecto!
¡6W-2H!
45
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias entre la evidencia documental en papel con aquella en formato electrónico?
Evidencia en papel versus evidencia electrónica (Canadian Institute of Chartered Accountants -CICA, 2003)
46
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias entre la evidencia de auditoría tradicional y el soporte electrónico?
Atributos evidencia versus criterios de confiabilidad de la información (CICA, 2003)
47
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
Competencias específicas de los auditores internos de la población definida para obtener, en términos razonables, evidencia electrónica confiable y de calidad
Competencias requeridas para obtener evidencia electrónica de auditoría
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]