4. Definir grupo de trabajo, programa de auditoria, visitas para conocer detalles, elaborar cuestionario para obtención de información, solicitud de plan de actividades, entre otros.
5.
6. Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas establecerá motivos, objetivos, alcance, recursos, metodología de trabajo, duración, plan de trabajo y análisis del problema.
7.
8.
9. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos . Es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios Propone un marco de acción donde se evalúan los criterios de información Se auditan los recursos que comprenden la tecnología de información
10.
11. Esta metodología es la aproximación más globalmente aceptada para la gestión de servicios de Tecnologías de Información en todo el mundo, ya que es una recopilación de las mejores prácticas tanto del sector público como del sector privado. Propone: El establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos (ya sean propios o de los clientes). Para cada actividad que se realice se debe de hacer la documentación pertinente, ya que esta puede ser de gran utilidad para otros miembros del área
12. Es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información (SGSI o ISMS) que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información
13. Es una norma internacional que se aplica a los sistemas de gestión de calidad (SGC) y que se centra en todos los elementos de administración de calidad con los que una empresa debe contar para tener un sistema efectivo que le permita administrar y mejorar la calidad de sus productos o servicios
14. Propósito o fin que persigue la auditoría, o la pregunta que se desea contestar por medio de la auditorí a.
15.
16.
17.
18.
19.
20. Es el marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma.
21.
22.
23.
24. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa. b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.
25.
26. CARACTERISTICAS 1. Sencillo y comprensivo. 2. Ser elaborado tomado en cuenta los procedimientos que se utilizarán de acuerdo al tipo de empresa a examinar 3. El programa debe estar encaminado a alcanzar el objetivo principal 4. Debe desecharse los procedimientos excesivos o de repetición.
27.
28.
29. Recopilación de datos. Identificación de lista de personas a entrevistar. Identificación y selección del enfoque del trabajo Identificación y obtención de políticas, normas y directivas. Desarrollo de herramientas y metodología para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicación con la gerencia. Procedimientos de seguimiento .
30. PLAN DE AUDITORIA PROGRAMA DE AUDITORIA descripción de las actividades y de los detalles acordados de una auditoría conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico qué vas hacer en una auditoria en particular? (agenda flexible, horarios aproximados, critérios de la auditoria, etc.). ¿"¿qué vas auditar - alcance: procesos, áreas, claúsulas aplicables, etc...?"; ¿cuándo vas auditar?; "¿cuánto durará la auditoria?" y "¿por qué/con qué objetivo vas auditar?"; ¿quiénes serán los auditores?