3. Estudio preliminar
Revisión y evaluación de control y
seguridad
Examen detallado de aéreas criticas
Comunicación de resultados
4. Definir grupo de
trabajo, programa de
auditoria, visitas para
conocer detalles,
elaborar cuestionario
para obtención de
información, solicitud
de plan de
actividades, entre
otros.
5. Revisión de diagramas y flujos de
procesos.
Revisión de las aplicaciones de las
áreas críticas
Backups
Documentación
Archivos y otras actividades
6. Con las fases anteriores
el auditor descubre las
áreas críticas y sobre
ellas establecerá
motivos, objetivos,
alcance, recursos,
metodología de trabajo,
duración, plan de
trabajo y análisis del
problema.
7. Se elaborará del borrador del
informe a ser discutido con los
ejecutivos de la empresa hasta
llegar al definitivo.
Debe contener:
Motivos de la auditoria
Objetivos
Alcance
Estructuras Orgánicas –
Funcional del área informática
Configuración del Hardware y
software instalado
8.
9. Está basado en
la filosofía de
que los recursos
TI necesitan ser
administrados
por un conjunto
de procesos
naturalmente
agrupados para
proveer la
Es un modelo de evaluación
y monitoreo que enfatiza en
el control de negocios y la
seguridad IT y que abarca
controles específicos de IT
desde una perspectiva de
negocios
Propone un marco de acción
donde se evalúan los
criterios de información
Se auditan los recursos que
comprenden la tecnología
de información
11. Esta metodología es la
aproximación más
globalmente aceptada
para la gestión de
servicios de Tecnologías
de Información en todo el
mundo, ya que es una
recopilación de las
mejores prácticas tanto
del sector público como
del sector privado.
Propone:
El establecimiento de
estándares que nos ayuden en
el control, operación y
administración de los recursos
(ya sean propios o de los
clientes).
Para cada actividad que se
realice se debe de hacer la
documentación pertinente, ya
que esta puede ser de gran
utilidad para otros miembros del
área
12. Es un Estándar Internacional de
Sistemas de Gestión de Seguridad de la
Información (SGSI o ISMS) que permite
a una organización evaluar su riesgo e
implementar controles apropiados para
preservar la confidencialidad, la
integridad y la disponibilidad del valor
de la información
13. Es una norma internacional que se
aplica a los sistemas de gestión de
calidad (SGC) y que se centra en todos
los elementos de administración de
calidad con los que una empresa debe
contar para tener un sistema efectivo
que le permita administrar y mejorar la
calidad de sus productos o servicios
14. Propósito o fin que persigue la
auditoría, o la pregunta que se desea
contestar por medio de la auditoría.
15. Buscar una mejor relación Costo - beneficio de los
sistemas automáticos o computarizados diseñados.
Incrementar la satisfacción de los usuarios de los
sistemas computarizados.
Asegurar una mayor integridad, confidencialidad de la
información mediante la recomendación de
seguridades y controles.
16. Conocer la situación actual del área informática y
las actividades y esfuerzos necesarios par lograr los
objetivos propuestos.
Seguridad de personal, datos, hardware, software
e instalaciones.
Apoyo de función informática a las metas y
objetivos de la organización.
17. Seguridad, Utilidad, confianza, Privacidad, y
Disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de
Tecnología de información.
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los
sistemas de información
18. •Recomendar la existencia de pautas sobre la renovación
y/o adquisición tanto de software como de hardware,
para que no obedezcan estas decisiones a circunstancias
temporales.
•Velar por la existencia de un plan maestro que guíe la
implementación de todos los sistemas de información,
que incluya la prueba integral del sistema, adecuación,
aceptación por parte del usuario, entrenamiento,
entrega formal del sistema a los usuarios,
documentación back-ups etc.
19. •velar para que se prueben periódicamente los planes de
seguridad, localizando los problemas y presentando
alternativas de solución.
•Revisar que el plan de contingencias contemple aspectos
relacionados con hardware, software documentación,
talento humano y soporte logístico.
20. Es el marco o
límite de la
auditoría y las
materias, temas,
segmentos o
actividades que
son objeto de la
misma.
21.
22. Origen de la auditoria
resultado de la revisión estratégica
objetivos de la auditoria
alcance de la auditoria.
recurso de personal
áreas a ser examinadas
23. objetivos y alcance de la auditoria
criterios de auditoria a utilizar
fuentes de obtención de evidencia de auditoria
equipo de trabajo
Información administrativa
informes a emitir y fechas de entrega
estructura del informe a emitir
presupuesto de tiempo
cronograma de actividades
24. El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o
áreas específicas. En el primer caso, la elaboración es más
compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o
parcial. El volumen determina no solamente el número de
auditores necesarios, sino las especialidades necesarias
del personal.
25.
26. CARACTERISTICAS
1. Sencillo y comprensivo.
2. Ser elaborado tomado en cuenta los
procedimientos que se utilizarán de
acuerdo al tipo de empresa a examinar
3. El programa debe estar encaminado a
alcanzar el objetivo principal
4. Debe desecharse los procedimientos
excesivos o de repetición.
27. 5. El programa debe permitir al Auditor
examinar, analizar, investigar, obtener,
evidencias para luego poder dictaminar y
recomendar.
6. Las sociedades Auditoras
aconstumbran tener formatos pre
establecidos.
7. El programa debe ser cofeccionado
en forma actualizada y con amplio sentido
critico
29. Recopilación de datos.
Identificación de lista de personas a entrevistar.
Identificación y selección del enfoque del trabajo
Identificación y obtención de políticas, normas y
directivas.
Desarrollo de herramientas y metodología para probar y
verificar los controles existentes.
Procedimientos para evaluar los resultados de las pruebas
y revisiones.
Procedimientos de comunicación con la gerencia.
Procedimientos de seguimiento.
30. PLAN DE AUDITORIA PROGRAMA DE AUDITORIA
descripción de las actividades y de los
detalles acordados de una auditoría
conjunto de una o más auditorías
planificadas para un periodo de tiempo
determinado y dirigidas hacia un
propósito específico
qué vas hacer en una auditoria en
particular? (agenda flexible, horarios
aproximados, critérios de la auditoria,
etc.).
¿"¿qué vas auditar - alcance: procesos,
áreas, claúsulas aplicables,
etc...?"; ¿cuándo vas auditar?; "¿cuánto
durará la auditoria?" y "¿por qué/con
qué objetivo vas auditar?"; ¿quiénes
serán los auditores?