El Auditor de Sistemas de Información 1 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información
El Auditor de Sistemas de Información 3 Copyright 2008 Tecnotrend SC
1 Temas a Cubrir
El Auditor de Sistemas de InformaciónPolíticas, estándares, lineamientos y procedimientosAuditor VS AuditadoEl Auditor es un puesto ejecutivoEntendiendo la Estructura Organizacional de la CorporaciónAdministrando Proyectos
El Auditor de Sistemas de Información 4 Copyright 2008 Tecnotrend SC
1.1 El Auditor de Sistemas de Información
Entendiendo la Demanda de Auditorías de los Sistemas de InformaciónActivoAmenazaVulnerabilidadEl Auditor debe verificar que los activos, amenazas, y vulnerabilidades estan identificadas y administradas apropiadamente para reducir el riesgo
El Auditor de Sistemas de Información 5 Copyright 2008 Tecnotrend SC
1.2 Políticas, estándares, lineamientos y procedimientos
Código de Ética profesional ISACAPrevención de Conflictos ÉticosPropósito de una AuditoríaTipos Básicos de AuditoríaResponsabilidad del AuditorAuditorías VS Valoraciones
El Auditor de Sistemas de Información 6 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 7 Copyright 2008 Tecnotrend SC
1.2.1 Código de Ética profesional ISACA
Soportar la implementación de políticas, estándares y lineamientosRealizar sus actividades con objetividad y cuidado profesionalServir los intereses de los interesados de manera honesta y legalMantener la privacidad y confidencialidad de la informaciónEntregar resultados precisos sobre todos los hechos relevantes
El Auditor de Sistemas de Información 8 Copyright 2008 Tecnotrend SC
1.2.2 Prevención de Conflictos Éticos
Violaciones de Derechos de AutorLos culpables obtienen amnistíaSigue tus propias reglas. No fallesRecuerda a todos los encarceladosNO violes la leyReporta las violaciones rápido (el primero obtiene amnistía)
El Auditor de Sistemas de Información 9 Copyright 2008 Tecnotrend SC
1.2.3 Propósito de una Auditoría
Una auditoría es sólo una revisión de la historia pasadaSe espera que el auditor siga un proceso definido para la auditoría, establezca un criterio para la auditoría, recopile evidencia significativa, y presente una opinión independiente sobre los controles internos.
El Auditor de Sistemas de Información 10 Copyright 2008 Tecnotrend SC
1.2.4 Tipos Básicos de Auditoría
Auditorías Internas y ValoracionesAuditorías InternasAuditorías Independientes
El Auditor de Sistemas de Información 11 Copyright 2008 Tecnotrend SC
1.2.4 Tipos Básicos de Auditoría (cont.)
Auditorías de ProductosAuditorías FinancierasAuditorías OperativasAuditorías IntegradasAuditorías de Cumplimiento (de normas)Auditorías AdministrativasAcreditación o certificación de Sistemas de Información
El Auditor de Sistemas de Información 12 Copyright 2008 Tecnotrend SC
1.2.5 Responsabilidad del Auditor
Debe cumplir una relación fiduciariaUna Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interésEl Auditor NO debe anteponer nunca los intereses del auditado a la verdad
El Auditor de Sistemas de Información 13 Copyright 2008 Tecnotrend SC
1.2.6 Auditorías VS Valoraciones
Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad)Valoraciones (Assessment): Menos formal que la Auditoría. Su principal función es para que el personal pueda trabajar para mejorar.
El Auditor de Sistemas de Información 14 Copyright 2008 Tecnotrend SC
1.3 Auditor VS Auditado
Aplicación de una prueba de IndependenciaEstándares de AuditoríasEstándar de Auditoría de Sistemas de Información ISACARegulaciones Específicas que definen Mejores Prácticas
El Auditor de Sistemas de Información 15 Copyright 2008 Tecnotrend SC
1.3.1 Aplicación de una prueba de Independencia
¿Audita algo que Usted desarrolló?¿Está libre de influencias del auditado que puedan afectar su juicio?¿Tiene alguna relación de negocios o financiera con el auditado?¿Su posición en la empresa es bajo las órdenes del área auditada?¿Recibe regalos o favores especiales?
El Auditor de Sistemas de Información 16 Copyright 2008 Tecnotrend SC
1.3.2 Estándares de Auditorías
American Institute of Certified Public Accountants (AICPA)Financial Accounting Standards Board (FASB)Generally Accepted Accounting Principles (GAAP).Committee of Sponsoring Organizations of the Treadway Commission (COSO),Public Company Accounting Oversight Board (PCAOB)Organization for Economic Cooperation and Development (OECD)U.S. National Institute of Standards and Technology (NIST)U.S. Federal Information Security Management Act (FISMA)IS Audit and Control Association (ISACA)Basel Accord Standard II (Basel II)
El Auditor de Sistemas de Información 17 Copyright 2008 Tecnotrend SC
TAREA # 1Investigar brevemente los Organismos de Estándares anteriores
El Auditor de Sistemas de Información 18 Copyright 2008 Tecnotrend SC
1.3.3 Estándares de Auditoría de Sistemas de Información ISACA
S1 Audit CharterS2 IndependenceS3 Professional Ethics and Standards of ConductS4 Professional CompetenceS5 Planning S6 Performance of Audit Work S7 Audit Reporting S8 Follow-up Activities S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Analysis in Audit Planning S12 Audit Materiality S13 Using the Work of Other People S14 Proper Audit Evidence S15 Effective IT Controls S16 Electronic Commerce Controls
El Auditor de Sistemas de Información 19 Copyright 2008 Tecnotrend SC
1.3.4 Regulaciones Específicas que definen Mejores Prácticas
El Auditor de Sistemas de Información 20 Copyright 2008 Tecnotrend SC
1.4 El Auditor es un puesto ejecutivo
La importancia de la confidencialidad del AuditorConservar la Documentación de la AuditoríaProveer buena comunicación e integraciónResponsabilidades de LiderazgoPlanear y fijar prioridadesTratar con conflictos y fallasEl valor de Auditores Internos y ExternosEntender la regla de la EvidenciaIdentificar a quién se necesita entrevistar
El Auditor de Sistemas de Información 21 Copyright 2008 Tecnotrend SC
1.4.1 La importancia de la confidencialidad del Auditor
La información sensible no debe salir de las oficinasEl Auditor debe pedir consejo legal sobre las leyes de confidencialidadLos “papeles de trabajo” deben estar protegidos con control de acceso y respaldosConsiderar seguridad en laptopsSe crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente
El Auditor de Sistemas de Información 22 Copyright 2008 Tecnotrend SC
1.4.2 Conservar la Documentación de la Auditoría
En muchos casos se debe retener la documentación por 7 añosDurante la planeación de la auditoría se debe saber si el período es mayor o menorSi el cliente pierde la documentación es su problema
El Auditor de Sistemas de Información 23 Copyright 2008 Tecnotrend SC
1.4.3 Proveer buena comunicación e integración
Establecer respeto mutuoNo culpar a un individuoApegarse a los hechos
El Auditor de Sistemas de Información 24 Copyright 2008 Tecnotrend SC
1.4.4 Responsabilidades de Liderazgo
Su tipo de liderazgo debe identificar cuando sus direcciones son mandatorias o sujetas a comentariosEl líder debe desarrollar objetivos específicos para el éxito y compartir esos planes
El Auditor de Sistemas de Información 25 Copyright 2008 Tecnotrend SC
1.4.5 Planear y fijar prioridades
Una buena auditoría es el resultado de una planeación apropiadaResponsabilidades del Auditor durante la fase de Planeación:
Entender el negocio del cliente Respetar los ciclos del negocio (Anuales,
semestrales, trimestrales) Establecer prioridades Seleccionar una estrategia con base en el riesgo y la
información conocida Encontrar a la gente para tu equipo de auditoría Coordinar la logística de recursos y lugar de trabajo
El Auditor de Sistemas de Información 26 Copyright 2008 Tecnotrend SC
Responsabilidades del Auditor durante la fase de Planeación: Solicitar documentación Programar el tiempo y disponibilidad
de la gente Coordinar viajes y alojamiento Planear retrasos
El Auditor de Sistemas de Información 27 Copyright 2008 Tecnotrend SC
1.4.6 Tratar con conflictos y fallas
Cierto nivel de conflicto es inevitable y las fallas son siempre posibles
El Auditor de Sistemas de Información 28 Copyright 2008 Tecnotrend SC
1.4.7 El valor de Auditores Internos y Externos
A los Auditores Externos se les paga para ser revisores de una organizaciónLos Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa
El Auditor de Sistemas de Información 29 Copyright 2008 Tecnotrend SC
1.4.8 Entender la regla de la Evidencia
Sin evidencia una reclamación no se puede verificar. La evidencia soporta la reclamaciónNo se puede formular una opinión cuando falta evidencia en cantidad, relevancia y confiabilidad aceptables
El Auditor de Sistemas de Información 30 Copyright 2008 Tecnotrend SC
1.4.9 Identificar a quién se necesita entrevistar
Es importante reconocer a quién entrevistar y durante cuánto tiempoPrestar atención al costo del tiempo de los demás
El Auditor de Sistemas de Información 31 Copyright 2008 Tecnotrend SC
1.5 Entendiendo la Estructura Organizacional de la Corporación
Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización
El Auditor de Sistemas de Información 32 Copyright 2008 Tecnotrend SC
1.5.1 Identificando Roles en la Estructura Organizacional de una Corporación
El Auditor de Sistemas de Información 33 Copyright 2008 Tecnotrend SC
1.5.2 Identificando Roles en la Estructura Organizacional de una Firma de Consultoría
El Auditor de Sistemas de Información 34 Copyright 2008 Tecnotrend SC
1.6 Administrando Proyectos
¿Qué es un Proyecto?¿Qué es la Gestión de Proyectos?Requisitos de un Project ManagerAutoridad del Project ManagerReferencia rápida de la Gestión de Proyectos
El Auditor de Sistemas de Información 35 Copyright 2008 Tecnotrend SC
1.6.1 ¿Qué es un Proyecto?
Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. Temporal Productos, servicios o resultados
únicos Elaboración gradual
El Auditor de Sistemas de Información 36 Copyright 2008 Tecnotrend SC
1.6.2 ¿Qué es la Gestión ed Proyectos?
La Gestión de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas para realizar las actividades necesarias para los requerimiento del proyecto
El Auditor de Sistemas de Información 37 Copyright 2008 Tecnotrend SC
1.6.3 Requisitos de un Project Manager
Conocimientos y habilidades de gestión de proyectosConocimientos y habilidades de Administración generalHabilidades interpersonalesConocimientos y habilidades en el área de aplicación
El Auditor de Sistemas de Información 38 Copyright 2008 Tecnotrend SC
1.6.4 Autoridad del Project Manager
El Auditor de Sistemas de Información 39 Copyright 2008 Tecnotrend SC
1.6.5 Referencia rápida de la Gestión de Proyectos
Gestión de la Integración del ProyectoGestión del Alcance del ProyectoGestión del Tiempo del ProyectoGestión de Costes del ProyectoGestión de la Calidad del ProyectoGestión de los Recursos Humanos del ProyectoGestión de las Comunicaciones del ProyectoGestión del Riesgo del ProyectoGestión de las Adquisiciones del Proyecto
El Auditor de Sistemas de Información 40 Copyright 2008 Tecnotrend SC
1.6.5.1 Gestión de La Integración del Proyecto
Incluye los procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar los distintos procesos y actividades de dirección de proyectos
El Auditor de Sistemas de Información 41 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 42 Copyright 2008 Tecnotrend SC
1.6.5.2 Gestión del Alcance del Proyecto
Incluye los procesos necesarios para asegurarse que el proyecto incluya todo el trabajo requerido, y sólo el trabajo requerido, para completar el proyecto satisfactoriamente
El Auditor de Sistemas de Información 43 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 44 Copyright 2008 Tecnotrend SC
1.6.5.3 Gestión del Tiempo del Proyecto
Incluye los procesos necesarios para lograr la conclusión del proyecto a tiempo
El Auditor de Sistemas de Información 45 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 46 Copyright 2008 Tecnotrend SC
1.6.5.4 Gestión de Costes del Proyecto
Incluye los procesos involucrados en la planificación, estimación, preparación del presupuesto y control de costes de forma que el proyecto se pueda completar dentro del presupuesto aprobado
El Auditor de Sistemas de Información 47 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 48 Copyright 2008 Tecnotrend SC
1.6.5.5 Gestión de la Calidad del Proyecto
Incluyen todas las actividades de la organización ejecutante que determinan las políticas, los objetivos y las responsabilidades relativos a la calidad de modo que el proyecto satisfaga las necesidades por las cuales se emprendió
El Auditor de Sistemas de Información 49 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 50 Copyright 2008 Tecnotrend SC
1.6.5.6 Gestión de los Recursos Humanos del Proyecto
Incluye los procesos que organizan y dirigen el equipo del proyecto. El equipo del proyecto está compuesto por las personas a quienes se les han asignado roles y responsabilidades para concluir el proyecto
El Auditor de Sistemas de Información 51 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 52 Copyright 2008 Tecnotrend SC
1.6.5.7 Gestión de las Comunicaciones del Proyecto
Incluye los procesos necesarios para asegurar la generación, recogida, distribución, almacenamiento, recuperación y destino final de la información del proyecto en tiempo y forma
El Auditor de Sistemas de Información 53 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 54 Copyright 2008 Tecnotrend SC
1.6.5.8 Gestión del Riesgo del Proyecto
Incluye los procesos relacionados con la planificación de la gestión de riesgos, la identificación y el análisis de riesgos, las respuestas a los riesgos, y el seguimiento y control de riesgos de un proyecto
El Auditor de Sistemas de Información 55 Copyright 2008 Tecnotrend SC
El Auditor de Sistemas de Información 56 Copyright 2008 Tecnotrend SC
1.6.5.9 Gestión de las Adquisiciones del Proyecto
Incluye los procesos para comprar o adquirir los productos, servicios o resultados necesarios fuera del equipo del proyecto para realizar el trabajo
El Auditor de Sistemas de Información 57 Copyright 2008 Tecnotrend SC