3. Estudio preliminar
Revisión y evaluación de control y
seguridad
Examen detallado de aéreas criticas
Comunicación de resultados
4. Definir grupo de
trabajo, programa de
auditoria, visitas para
conocer
detalles, elaborar
cuestionario para
obtención de
información, solicitud
de plan de
actividades, entre
otros.
5. Revisión de diagramas y flujos de
procesos.
Revisión de las aplicaciones de las
áreas críticas
Backups
Documentación
Archivos y otras actividades
6. Con las fases anteriores
el auditor descubre las
áreas críticas y sobre
ellas establecerá
motivos, objetivos, alcanc
e, recursos, metodología
de trabajo, duración, plan
de trabajo y análisis del
problema.
7. Se elaborará del borrador del
informe a ser discutido con los
ejecutivos de la empresa hasta
llegar al definitivo.
Debe contener:
Motivos de la auditoria
Objetivos
Alcance
Estructuras Orgánicas –
Funcional del área informática
Configuración del Hardware y
software instalado
8.
9.
10.
11. Propone:
Esta metodología es la El establecimiento de
aproximación más estándares que nos ayuden en
globalmente aceptada el control, operación y
para la gestión de administración de los recursos
servicios de Tecnologías (ya sean propios o de los
de Información en todo clientes).
el mundo, ya que es una
recopilación de las Para cada actividad que se
mejores prácticas tanto realice se debe de hacer la
del sector público como documentación pertinente, ya
del sector privado. que esta puede ser de gran
utilidad para otros miembros
del área
12. Es un Estándar Internacional de
Sistemas de Gestión de Seguridad de la
Información (SGSI o ISMS) que permite a
una organización evaluar su riesgo e
implementar controles apropiados para
preservar la confidencialidad, la
integridad y la disponibilidad del valor
de la información
13. Es una norma internacional que se aplica
a los sistemas de gestión de calidad (SGC)
y que se centra en todos los elementos de
administración de calidad con los que
una empresa debe contar para tener un
sistema efectivo que le permita
administrar y mejorar la calidad de sus
productos o servicios
14. Propósito o fin que
persigue la auditoría, o la
pregunta que se desea
contestar por medio de la
auditoría.
15. Buscar una mejor relación Costo - beneficio de los
sistemas automáticos o computarizados diseñados.
Incrementar la satisfacción de los usuarios de los
sistemas computarizados.
Asegurar una mayor integridad, confidencialidad
de la información mediante la recomendación de
seguridades y controles.
16. Conocer la situación actual del área informática
y las actividades y esfuerzos necesarios par
lograr los objetivos propuestos.
Seguridad de
personal, datos, hardware, software e
instalaciones.
Apoyo de función informática a las metas y
objetivos de la organización.
17. Seguridad, Utilidad, confianza, Privacidad, y
Disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de
Tecnología de información.
Decisiones de inversión y gastos innecesarios
Capacitación y educación sobre controles en los
sistemas de información
18. •Recomendar la existencia de pautas sobre la renovación
y/o adquisición tanto de software como de
hardware, para que no obedezcan estas decisiones a
circunstancias temporales.
•Velar por la existencia de un plan maestro que guíe la
implementación de todos los sistemas de
información, que incluya la prueba integral del
sistema, adecuación, aceptación por parte del
usuario, entrenamiento, entrega formal del sistema a los
usuarios, documentación back-ups etc.
19. •velar para que se prueben periódicamente los planes de
seguridad, localizando los problemas y presentando
alternativas de solución.
•Revisar que el plan de contingencias contemple aspectos
relacionados con hardware, software
documentación, talento humano y soporte logístico.
20.
21.
22. Origen de la auditoria
resultado de la revisión estratégica
objetivos de la auditoria
alcance de la auditoria.
recurso de personal
áreas a ser examinadas
23. objetivos y alcance de la auditoria
criterios de auditoria a utilizar
fuentes de obtención de evidencia de auditoria
equipo de trabajo
Información administrativa
informes a emitir y fechas de entrega
estructura del informe a emitir
presupuesto de tiempo
cronograma de actividades
24. El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o
áreas específicas. En el primer caso, la elaboración es más
compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o
parcial. El volumen determina no solamente el número de
auditores necesarios, sino las especialidades necesarias
del personal.
25.
26. CARACTERISTICAS
1. Sencillo y comprensivo.
2. Ser elaborado tomado en cuenta los
procedimientos que se utilizarán de
acuerdo al tipo de empresa a examinar
3. El programa debe estar encaminado a
alcanzar el objetivo principal
4. Debe desecharse los procedimientos
excesivos o de repetición.
27. 5. El programa debe permitir al Auditor
examinar, analizar, investigar, obtener, ev
idencias para luego poder dictaminar y
recomendar.
6. Las sociedades Auditoras
aconstumbran tener formatos pre
establecidos.
7. El programa debe ser cofeccionado
en forma actualizada y con amplio sentido
critico
29. Recopilación de datos.
Identificación de lista de personas a entrevistar.
Identificación y selección del enfoque del trabajo
Identificación y obtención de políticas, normas y
directivas.
Desarrollo de herramientas y metodología para probar y
verificar los controles existentes.
Procedimientos para evaluar los resultados de las pruebas
y revisiones.
Procedimientos de comunicación con la gerencia.
Procedimientos de seguimiento.
30. PLAN DE AUDITORIA PROGRAMA DE AUDITORIA
conjunto de una o más auditorías
descripción de las actividades y de
planificadas para un periodo de
los detalles acordados de una
tiempo determinado y dirigidas hacia
auditoría
un propósito específico
qué vas hacer en una auditoria en ¿"¿qué vas auditar - alcance:
procesos, áreas, claúsulas aplicables,
particular? (agenda flexible, horarios
etc...?"; ¿cuándo vas auditar?;
aproximados, critérios de la auditoria,
"¿cuánto durará la auditoria?" y "¿por
etc.). qué/con qué objetivo vas auditar?";
¿quiénes serán los auditores?