Auditoría de Sistemas - Jack Daniel Cáceres Meza

1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de Sistemas
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 07 a 09

2
¿Recordamos?

3
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf

4

5
Atributos clave: 10 pasos para maximizar la función de
Auditoría Interna

6
Ejemplo de alineamiento estratégico de TI
Ejecución estratégica
Potencial tecnológico
Potencial competitivo
Nivel de servicios
TI se adapta, la implementa
TI apoya estrategias, arquitecto de tecnología
TI define estrategias, explota/potencia capacidades
emergentes de TI -tendencias
TI como generadora de valor, liderazgo del negocio
Fuente: http://www.12manage.com/methods_venkatraman_strategic_alignment_es.html

7
Diagrama de influencia extendido
Fuente: N. Vargas* y L. Plazaola, ISSN 1818-6742, Niicaragua

8
Relación de la
tecnología con los
procesos de
negocio
Fuente:
http://www.auditool.org/blog/auditoria
-de-ti/827-riesgo-tecnologico-su-
medicion-como-prioridad-para-el-
aseguramiento-del-negocio
http://www.madrimasd.org/revista/revi
sta23/tribuna/tribuna1.asp
http://revista.seguridad.unam.mx/printp
df/356
http://boletin.dseinfonavit.org.mx/035/
documentos/ManualNormativodeRiesgo
Tecnologico.pdf
usabilidad
La tecnología se vuelve
parte de la operación y
su funcionamiento no
puede aislarse de los
demás elementos del
proceso; asimismo,
todos los integrantes en
conjunto tienen un solo
objetivo, además de
poseer la misma
importancia para el
logro de los resultados.
La decisión de incorporar
tecnología en los procesos
del negocio, trae consigo la
decisión de administrar el
correspondiente:
riesgo tecnológico
Pérdida potencial por daños,
interrupción, alteración o fallas
derivadas del uso [mal uso] o
dependencia en el hardware,
software, sistemas, aplicaciones,
redes y cualquier otro canal de
distribución de Información por el
empleo de herramientas y
aplicaciones tecnológicas, que se
incrementa continuamente, y que
no cuentan con una gestión
adecuada en seguridad.

9
Riesgo tecnológico
 ISACA lo define como:
 “El riesgo de negocio asociado al uso, propiedad, operación,
participación, influencia y adopción de las tecnologías de la información
(TI) en la organización”.
Fuente: http://nahunfrett.blogspot.com/2014/08/cobertura-del-riesgo-tecnologico-hacia.html
https://seguridadysalud.wordpress.com/2011/08/03/%C2%BFriesgo-tecnologico/
http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-i
El riesgo tecnológico puede verse desde tres aspectos, primero a
nivel de la infraestructura tecnológica (hardware o nivel físico), en
segundo lugar a nivel lógico (riesgos asociados a software, sistemas
de información e información) y por último los riesgos derivados
del mal uso de los anteriores factores, que corresponde al factor
humano como un tercer nivel.

10
Todo tiene
una
explicación

11
Consideraciones de
seguridad de la información
 Aspectos legales
 Regulaciones
 Interoperabilidad
 Integración
 Compatibilidad
 Confianza
 Privacidad
 Riesgos
 Personalización
 Licenciamiento
 Continuidad
 Soporte
 Documentación
 Vigencia
 Sostenibilidad
 Concurrencia
 QA/QC
 Estándares
 Mejora continua
 Activos
 Gestión de configuraciones
 Trazas
 Normas de gestión
 Adaptabilidad
 Utilidad
 Autentificación
 . . .
 Respaldos
 Persistencia
 Disponibilidad
 Confidencialidad
 Integridad
 Protección
 Localización
 Comunicaciones
 Mantenimiento
 Capacitación
 Actualizaciones
 Procesos
 Cumplimiento
 Sustentabilidad
 Capacidad
 Normas técnicas
 Sistemas de gestión
 Elementos de configuración (CI)
 Base de Datos de la gestión de
configuraciones (CMDB)
 CMMI
 SDLC
 Eficiencia
 Eficacia
 Usabilidad
 Contenido
 No repudio
 . . .
¿tendencias?
¿legacy?
otra ¿solución web?
¿fusiones?
¿riesgos?
¿TCO?
¿SLA?
¿movilidad?
¿mercado?
¿competencia?
¿benchmark?
¿organización?
¿globalización?
¿situación actual?
¿Planificación?
¿control de medios?
¿avances tecnológicos?
¿decisiones de inversión?
¿beneficios?
¿alcances?
¿cronogramas?
¿expectativas?
¿insatisfacción?
¿efectividad?
¿gestión?
¿oportunidad?
¿aislamiento?
¿metodología?
¿forensic?
¿escalabilidad?
¿flexibilidad?
¿fiabilidad?
¿estrategias empresariales?
¿alineamiento?
...
¿El programador
deberá tener acceso
a los servidores de
producción?
¿El operador podrá
tener acceso a los
programas fuente?

12
Confidencialidad
Integridad
Disponibilidad
Procesada
Almacenada
Transmitida
Políticas y
procedimientos
Tecnología
Conciencia, educación,
y entrenamiento
Modelo de Seguridad de la
Información
La seguridad de la información se basa
en estos pilares (metas)
Puede tomar estos estados
Se adoptan medidas para su
seguridad (salvaguardas)
La información es un recurso que,
como el resto de los activos, tiene
valor para una organización y por
consiguiente debe ser debidamente
protegida.

13
Seguridad de la información: pilares
Normativo – Legal
(leyes, contratos, reglamentos, códigos de conducta, etc.)
Tecnología
(hardware, software, seguridad física, normas técnicas, mejores prácticas)
Organización
(capacitación, auditorías, aplicación práctica, políticas, etc.)
Data consistente
Válida
Persistente
Sin manipulaciones
Sin alteraciones
Autorización
Autenticación
Privacidad
Acceso controlado
Continuidad del negocio
y operaciones
Canales adecuados
siguiendo los procesos
correctos

14
Controles de la
Seguridad de
la información
Adquisición, desarrollo
y mantenimiento de
sistemas de los
información
Seguridad en la
operativa
Aspectos de seguridad
de la información en la
Gestión de la
continuidad del
negocio
Seguridad lógica Seguridad organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Organización de la
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y
ambiental
Control de
accesos
Cumplimiento
Seguridad legal
NTP ISO/IEC 17799:2007
11 dominios de control
39 objetivos de control
133 controles
ISO/IEC 27002:2013
14 dominios de control
35 objetivos de control
114 controles
Seguridad en las
telecomunicaciones
Relación con
proveedores
Cifrado

Gracias por su atención
¿Preguntas?
Riesgos
Legales
• Pérdida de gobernabilidad.
• Usurpación de datos.
• Titularidad de los derechos.
• Deslocalización de la
información.
• Dependencia en el proveedor.
• Negativa del proveedor a ser
auditado.
Riesgos
Técnicos
• Comunicaciones inseguras.
• Abuso de privilegios.
• Compromiso de la interfaz de
gestión.
• Compartición de recursos.
• Denegación de servicio.
• Incompatibilidad para
migración.
• Sabotaje
• Desconocimiento
Controles y guías de buenas
prácticas de seguridad para
la Nube
• Ley de contrataciones.
• Proveedores sin experiencia.
• Personal técnico no especializado.
• Normativas internas.
• Integración débil.
• Inter operabilidad incompleta.
ISO: International Organization for Standardization
NIST: National Institute of Standards and Technology
COBIT:Control Objectives for Information and Related Technology
CSA: Cloud Security Alliance
ISO
NIST
COBIT CSA

16
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología
relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-
aseguramiento-del-negocio

17
Ejemplos de tipos de evento de riesgo con los aspectos de tecnología
relacionados
Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-
medicion-como-prioridad-para-el-aseguramiento-del-negocio

18
Niveles de gobernanza
Fuente: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20080416%20Standard%20ISO38500.pdf
https://www.iaia.org.ar/revistas/elauditorinterno/08/articulo2.html
http://revista.seguridad.unam.mx/numero-15/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-ii-gobierno-de-ti-y-
riesgos
http://revista.seguridad.unam.mx/printpdf/366

19
Marcos de control

20
Niveles de gobernanza

COBIT
Es el resultado de una investigación con expertos de varios
paises, desarrollada por la “Information, Systems Audit and
Control Association “ISACA”.
Esta asociación se ha constituido en el organismo
normalizador y orientador en el control y la auditoría de los
sistemas de Información y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado por
organizaciones en el ámbito mundial.
Modelo para evaluar y/o auditar la
gestión y control de los de
Sistemas de Información y
Tecnología relacionada (IT):
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Ing. Víctor Manuel Montaño Ardila

Modelo COBIT
Origen
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
• MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
ALTAGERENCIA
•INVERSION CONTROL TI
•BALANCE RIESGO/CONTROL
• BASE BENCHMARKING
USUARIOSDETI
• ACREDITACÍON CONTROL
/SEGURIDAD POR AUDITORES O
TERCEROS
• CONFUSIÓN ESTANDARES
AUDITORES
• DESGASTE
OPINION V.S.
ALTA GCIA.
• CONSULTORES EN
CONTROL/SEG.
TI
CONCEPTOS BÁSICOS

CONCEPTOS BÁSICOS
Proveer un marco único reconocido a nivel mundial de
las “mejores prácticas” de control y seguridad de TI
Consolidar y armonizar estándares originados en
diferentes países desarrollados.
Concientizar a la comunidad sobre importancia del
control y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crítico de
éxito
Aplica a todo tipo de organizaciones independiente de
sus plataformas de TI
Ratifica la importancia de la información, como uno de
los recursos más valiosos de toda organización exitosa

CONCEPTOS BÁSICOS
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón
COBIT
Representatividad
ISACA - 95 paises 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares

CONCEPTOS BÁSICOS
Para satisfacer los objetivos del negocio la
información debe cumplir con criterios que COBIT
extrae de los más reconocidos modelos:
Requerimientos de calidad
(ISO 9000-3)
•Calidad
•Costo
•Entrega

Requerimientos fiduciarios
(informe COSO)
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y
reglamentaciones
Requerimientos de seguridad
(libro rojo, naranja,
ISO 17799 y otros)
Disponibilidad
Integridad
Confidencialidad
CONCEPTOS BÁSICOS

REGLA DE ORO DEL COBIT
A fin, de proveer la información
que la organización requiere para
lograr sus objetivos, los recursos
de TI deben ser administrados por
un conjunto de procesos,
agrupados de forma adecuada y
normalmente aceptada.

¿POR QUÉ COBIT?
La Tecnología se ve como un
costo, no hay una terminología
común con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusión de normas y buenas
prácticas que ayuden a
generar conciencia de los
riesgos mantiene la quimera
del :
“ A mi no me va pasar..”

29
Atributos de calidad
 Los atributos de calidad requeridos de la información, ya sea relevada
o recibida, obtenida dentro de –o sujeta a- los parámetros de
seguridad, procedimientos internos o ámbitos de actuación y/o de
responsabilidad de las distintas unidades de la organización
involucradas en el proyecto son, pero no están limitados a, los
siguientes:
 Contenido completo, contextual y claro, con detalle pertinente y
suficiente para desarrollar de forma apropiada la evaluación contractual
requerida, y con el nivel pertinente.
 Redacción correcta, precisa, clara, objetiva, concisa, constructiva.

30
Evaluación vs. Auditoría
 Toda evaluación lleva implícita una opinión o juicio de valor, a partir de un
conjunto de informaciones sobre la evolución o los resultados de experiencias
o de la operación, con el fin de tomar una decisión lo más objetiva posible; por
tanto, es una aproximación cualitativa, un proceso reflexivo, sistemático, de
valoración sobre juicio de expertos.
 Una auditoria puede tomar los resultados de la evaluación y realizar un
escrutinio externo y objetivo de ellos en busca de determinar un grado de
cumplimiento de los procesos o normativa general que la misma institución
haya establecido –evaluar la eficacia y eficiencia, analizando el contexto
organizativo y ambiental en el que se desenvuelve.
 Una evaluación debe incorporarse como una práctica cotidiana que realizan los
involucrados y afecta a la institución en su conjunto, para mejorar y potenciar
continuamente su desarrollo y el de sus integrantes; por tanto, se considera
una labor de consultoría.

31
Modelo de madurez
 La madurez se puede entender o visualizar como la razón por la que el
éxito ocurre, o como la vía para prevenir comúnmente los problemas.
 Los modelos nos permiten representar realidades complejas
(área/entorno/organización) en forma más sencilla, a través de la
selección de un conjunto de características que la definen, cuya
evaluación nos permite obtener una visión de su situación actual,
predecir su comportamiento y proporcionar una guía de pasos a seguir
para alcanzar una situación deseada (futura).
 Luego, un modelo de madurez es un conjunto estructurado de
elementos (mejores prácticas, herramientas de medición, criterios de
análisis, entre otros), que permite identificar las capacidades
instaladas en la organización con relación al aspecto evaluado,
compararlas con estándares, identificar vacíos o debilidades y
establecer procesos de mejora continua.

32
Modelo de madurez
 Así, un modelo de madurez, entre otras ventajas:
 Permite a la institución ubicarse a sí misma de manera relativamente fácil
en una determinada escala del modelo.
 Facilita la evaluación por medio de benchmarking y la identificación de las
mejoras necesarias.
 Expresa un perfil donde las condiciones relevantes a diferentes niveles de
madurez se han conseguido.
 Expresa cuánta interiorización han logrado los interesados (entre otros, la
alta dirección, gerentes, jefes, personal) en los conceptos y aspectos que
se han evaluado.
 Permite identificar dónde se encuentran los problemas y cómo fijar
prioridades para las mejoras, para alcanzar un determinado nivel de
madurez en un periodo razonable de tiempo.

¿Preguntas?
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
 Innovación
 Benchmarking
 Los procesos representan
mejores prácticas
 Se utilizan herramientas de
automatización en forma
consistente
 Existe un importante foco en la
mejora de la calidad y
efectividad
 Innovaciones planeadas
 Gestión de
configuraciones
 Análisis causal y
resolución
 Optimización de
procesos
 Proactividad real
 Cumplimiento de
metas
 Procesos
predecibles que
son mejorados de
forma continua
 Automatización efectiva
 Existen mecanismos para la
mejora de los procesos
 El cumplimiento de los
procedimientos se mide y
monitorea
 Procesos estables
 Resultados predecibles
 Gestión del conocimiento
 Gestión cuantitativa de
proyectos
 Medición de procesos
 Control de procesos
 Cuantificación de
resultados
 Explotación de
beneficios de la
estandarización
 Procesos
establecidos que
se ejecutan
dentro de límites
definidos
 Procesos estandarizados,
documentados y comunicados
mediante entrenamiento
 No existe un procedimiento de
aseguramiento de la calidad
de los procesos
 Juez y parte
 Crecimiento de la
productividad
 Economía de escala
 Gestión integrada de
proyectos
 Gestión de riesgos
 Definición de procesos
 Implementación de
procesos
 Mediciones
eficientes y
efectivas
 Entrenamiento
apropiado y
pertinente
 Procesos
gestionados
implementados
usando procesos
definidos

34
 Procedimientos
similares para la misma
tarea realizadas por
diferentes personas
 No existen
entrenamientos o
comunicaciones
formales de estándares
 Alto grado de
dependencia en
personas
 Reducción del
retrabajo
 Se satisfacen
compromisos
 Planificación del
proyecto
 Gestión del
rendimiento
 Estabilizació
n del trabajo
 Compromiso
de control
 Procesos
ejecutados
implementad
os de forma
gestionada
 Reactivo
 Desorganizado
 Enfoque ad-hoc aplicado
de manera individual o
caso por caso
 “sólo haz que
funcione”
 Ser
considerado
“bombero”
Nivel 0
 No se reconocen
procesos
 No se reconoce que
existe una necesidad que
debe ser contemplada
 No hay problemas
por resolver
 Las cosas
“funcionan”
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO

35
Sistema –objeto complejo: unión de cosas de manera organizada
 Conjunto ordenado de normas y
procedimientos que regulan el
funcionamiento de un grupo o
colectividad.
 Conjunto de partes o elementos
organizados y relacionados que
interactúan entre sí para lograr un
objetivo. Los sistemas reciben (entrada)
datos, energía o materia del ambiente y
proveen (salida) información, energía o
materia.
 Un sistema puede ser físico o concreto
(una computadora, un televisor, un
humano) o puede ser abstracto o
conceptual (un software).
Fuente: DICCIONARIO DE INFORMÁTICA Y TECNOLOGÍA
Núcleo de un átomo
Sistema/Aparato digestivo
Sistema (modelo) político
Sistema métrico decimal
…
…
…

36
Auditoría de sistemas –de información
 Es el examen o revisión de carácter objetivo (independiente), crítico
(evidencia), sistemático (normas/[procedimientos]), selectivo
(muestras) de las políticas, normas, prácticas, funciones, procesos,
procedimientos e informes [documentados] relacionados con los
sistemas de información computarizados, con el fin de emitir una
opinión profesional ([independiente, objetiva e] imparcial) con
respecto a:
 Eficiencia en el uso de los recursos informáticos.
 Validez de la información.
 Efectividad de los controles establecidos.
Fuente: https://maledume.wordpress.com/concepto-y-etapas-de-auditoria-de-sistemas/
http://www.gerencie.com/auditoria-de-sistemas.html
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://anaranjo.galeon.com/conceptos.htm
El área informática monta los procesos informáticos seguros.
El control interno informático monta los controles (función normativa y
del cumplimiento del marco jurídico).
La auditoria informática evalúa el grado de control.
i
m
p
o
r
t
a
n
t
e

37
Aspectos básicos de la Auditoría de Sistemas de Información
 Es un examen y validación de los controles y procedimientos usados por el Área de
Sistemas (Informática) a fin de verificar que los objetivos de continuidad del servicio,
confidencialidad y seguridad de la información así como la integridad y coherencia de
la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e
interna de la Empresa. (Universidad Regional Autónoma de los Andes)
 Juega un papel fundamental en el control adecuado, uso y aplicación de todos los
recursos de la organización, especialmente los que garanticen el manejo seguro y
eficiente de la información. (Universidad Distrital Francisco José De Caldas)
 Permite determinar si los controles implementados son eficientes y suficientes,
identificar las causas de los problemas existentes en los sistemas de información y a su
vez las áreas de oportunidad que puedan encontrarse, determinando las acciones
preventivas y correctivas necesarias para mantener a los sistemas de información
confiables y disponibles. (auditoria.com.mx)
 Auditoría informática es aquella actividad auditora que trata de evaluar la adecuada
utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada que se
produce en una determinada empresa o institución, así como la organización de los
servicios que la elaboran y procesan. (Hevia, 1989)

38
¿Qué? ¿Dónde? ¿Cómo? …
 ¿Desviaciones? ¿cuáles son sus causas?
 Revisemos
 http://blog.iedge.eu/tecnologia-sistemas-informacion/tecnologia-
tecnologia-sistemas-informacion/
 http://blog.iedge.eu/tecnologia-sistemas-informacion/seguridad-
informatica-2/juan-manuel-escudero-iniciacion-la-auditoria-
informatica/#more-1485
 http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-siti/jose-
barato-introduccion-al-governance/#more-8424
 http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm
 http://anaranjo.galeon.com/objetiv_audi.htm

39
Investigación
 35 Preguntas de TI que todo Director de Auditoría Interna debe realizar
 Objetivos, funciones, riesgos, mejores prácticas, estándares,
herramientas, controles, estrategias, planificación, recursos, gobierno …
 15 Preguntas Sobre Controles Tecnología Información (TI)
 Los controles –apoyados por el 6W-2H
 Tecnología de Información y Fraude
 Gobierno, auditoría continua, gestión, intrusiones
 TI y la entrega de valor en la empresa

40
Si se requiere, entre otros
 Evaluación administrativa del área de
procesos electrónicos.
 Evaluación de los sistemas y
procedimientos.
 Evaluación de los equipos de
cómputo.
 Evaluación del proceso de datos, de los
sistemas y de los equipos de cómputo
(entre otros, pero no limitados a:
software, hardware, redes, bases de
datos, comunicaciones).
 Seguridad y confidencialidad de la
información.
 Considerar aspectos legales de los
sistemas de la información
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc

41
Es necesario dimensionar
 El tamaño del organismo a
auditar
 Las características del área a
auditar
 Los sistemas, organización y
equipo
Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.html
http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.doc
http://www.uned.es/413057/elena/practica.doc
http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
Determinar el nivel de servicio
requerido
Requerido
para
Requerirá gestión

42
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_30_norma_iso_19011.html

43
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_28__procedimientos_de_auditora.html

44
Entonces se requiere un plan que contemple, como mínimo
Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm
http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-
disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q
TBOH2LDUZRTQ
 Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestos
y cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.
 Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.
 Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,
procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),
sistema de evaluación.
 Establecer el plan de gestión de comunicaciones.
 Gestión de la calidad.
 Seguimiento de acciones correctoras.
 Realización del diagnóstico, análisis y evaluación de desviaciones.
 Gestión de riesgos.
 Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividades
y controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis al
realizar la auditoría y promover comentarios y la promoción de los auditados.
 Preparar por escrito el programa de auditoría –el plan de gestión.
 Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.
¡Un plan de gestión
de proyecto!
¡6W-2H!

45
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext
¿Diferencias
entre la
evidencia
documental
en papel con
aquella en
formato
electrónico?
Evidencia en papel versus evidencia electrónica (Canadian Institute of
Chartered Accountants -CICA, 2003)

46
¿Diferencias
entre la
evidencia de
auditoría
tradicional y el
soporte
electrónico?
Atributos evidencia versus criterios de conﬁabilidad de la información
(CICA, 2003)

47
Competencias
específicas de los
auditores internos
de la población
definida para
obtener, en términos
razonables,
evidencia electrónica
confiable y de
calidad
Competencias requeridas para obtener evidencia electrónica de auditoría

¿Preguntas?

Auditoría de Sistemas - Jack Daniel Cáceres Meza

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Auditoría de Sistemas - Jack Daniel Cáceres Meza

Similar a Auditoría de Sistemas - Jack Daniel Cáceres Meza (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (20)

Auditoría de Sistemas - Jack Daniel Cáceres Meza