A
description
Transcript of A
Integrantes
PAOLA CALA MARTINEZJENNIFER ORTIZ OLAGOLEYSDY RUEDA ALMEIDA
MONICA FUENTES HERNANDEZNATALIA FONTECHA DUARTE
Estudio preliminar
Revisión y evaluación de control y seguridad
Examen detallado de aéreas criticas
Comunicación de resultados
Definir grupo de trabajo, programa
de auditoria, visitas para
conocer detalles, elaborar
cuestionario para obtención de información,
solicitud de plan de actividades, entre
otros.
Revisión de diagramas y flujos de procesos.Revisión de las aplicaciones de las áreas críticasBackupsDocumentaciónArchivos y otras actividades
Con las fases anteriores el auditor descubre las áreas
críticas y sobre ellas establecerá motivos, objetivos, alcance,
recursos, metodología de
trabajo, duración, plan de trabajo y
análisis del problema.
Se elaborará del borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al definitivo.
Debe contener:
Motivos de la auditoriaObjetivosAlcanceEstructuras Orgánicas –Funcional del área informáticaConfiguración del Hardware y software instalado
Está basado en la filosofía de que los
recursos TI necesitan ser administrados por
un conjunto de procesos naturalmente
agrupados para proveer la información
pertinente y confiable que requiere una
organización para lograr
sus objetivos.
Es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios
Propone un marco de acción donde se evalúan los criterios de información
Se auditan los recursos que comprenden la tecnología de información
•Planificación y organización
•Adquisición e implantación
•Soporte y Servicios
• Monitoreo
Esta metodología es la aproximación más
globalmente aceptada para la
gestión de servicios de Tecnologías de
Información en todo el mundo, ya que es una recopilación de
las mejores prácticas tanto del sector público como del sector privado.
Propone:
El establecimiento de estándares que nos ayuden en el control, operación y
administración de los recursos (ya sean propios o
de los clientes).
Para cada actividad que se realice se debe de hacer la documentación pertinente, ya que esta puede ser de gran utilidad para otros
miembros del área
Es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información (SGSI o ISMS) que permite a una organización evaluar su riesgo e implementar
controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del
valor de la información
Es una norma internacional que se aplica a los sistemas de gestión de calidad (SGC) y que se centra
en todos los elementos de administración de calidad con los
que una empresa debe contar para tener un sistema efectivo que le permita administrar y
mejorar la calidad de sus productos o servicios
Propósito o fin que persigue la auditoría, o
la pregunta que se desea contestar por
medio de la auditoría.
Buscar una mejor relación Costo - beneficio de los sistemas automáticos o computarizados diseñados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos
necesarios par lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, Utilidad, confianza, Privacidad, y Disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de Tecnología de información.
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los sistemas de información
•Recomendar la existencia de pautas sobre la renovación y/o adquisición tanto de software como de hardware, para que no obedezcan estas decisiones a circunstancias temporales.
•Velar por la existencia de un plan maestro que guíe la implementación de todos los sistemas de información, que incluya la prueba integral del sistema, adecuación, aceptación por parte del usuario, entrenamiento, entrega formal del sistema a los usuarios, documentación back-ups etc.
•velar para que se prueben periódicamente los planes de seguridad, localizando los problemas y presentando alternativas de solución.
•Revisar que el plan de contingencias contemple aspectos relacionados con hardware, software documentación, talento humano y soporte logístico.
Es el marco o límite de la
auditoría y las materias,
temas, segmentos o
actividades que son objeto de la
misma.
Origen de la auditoriaresultado de la revisión estratégica objetivos de la auditoria alcance de la auditoria.recurso de personal áreas a ser examinadas
objetivos y alcance de la auditoria criterios de auditoria a utilizar fuentes de obtención de evidencia de auditoria equipo de trabajoInformación administrativainformes a emitir y fechas de entrega estructura del informe a emitir presupuesto de tiempo cronograma de actividades
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.
CARACTERISTICAS
1. Sencillo y comprensivo.
2. Ser elaborado tomado en cuenta los procedimientos que se utilizarán de
acuerdo al tipo de empresa a examinar
3. El programa debe estar encaminado a alcanzar el objetivo principal
4. Debe desecharse los procedimientos excesivos o de repetición.
5. El programa debe permitir al Auditor examinar, analizar, investigar, obtener, evidencias para luego poder dictaminar y recomendar.
6. Las sociedades Auditoras aconstumbran tener formatos pre establecidos.
7. El programa debe ser cofeccionado en forma actualizada y con amplio sentido critico
Los programas de Auditoría generales
Los programas de Auditoría detallados
Recopilación de datos. Identificación de lista de personas a entrevistar. Identificación y selección del enfoque del trabajo Identificación y obtención de políticas, normas y directivas. Desarrollo de herramientas y metodología para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicación con la gerencia. Procedimientos de seguimiento.
PLAN DE AUDITORIA PROGRAMA DE AUDITORIA
descripción de las actividades y de los detalles acordados de una auditoría
conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico
qué vas hacer en una auditoria en particular? (agenda flexible, horarios aproximados, critérios de la auditoria, etc.).
¿"¿qué vas auditar - alcance: procesos, áreas, claúsulas aplicables, etc...?"; ¿cuándo vas auditar?; "¿cuánto durará la auditoria?" y "¿por qué/con qué objetivo vas auditar?"; ¿quiénes serán los auditores?