Post on 31-Jul-2015
transcript
GESTION DE AUDITORIA DE SISTEMAS
PROCESO ADMINISTRATIVO DE AUDITORIA DE SISTEMAS
Estructurar el área
Plan general de desarrollo
Planes de acción
Manual de funciones
Procesos
Procedimientos
Gestion del Talento hum
ano
Normas
Tecnologia
Med
ición
Evalua
ción
Super
visión
Revisi
ón c
on A
udita
doAjus
tes a
pro
ceso
s
Y pro
cedim
iento
s
Seguim
iento
AUDITORIA DE SISTEMAS
1.DEFINICION DEL AREA
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si el proceso tecnológico salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos
2. ESTRUCTURA ORGANIZACIONAL
ANALISTAS SENIOR ANALISTAS JUNIOR
GERENCIA DE AUDIT ORIA DE TECNOLOGIA O T R A S G E R E N C IA S D E A U D IT O R IA
A U D IT O R IA G E N E R A L
PREMISASClara segregación de funciones con el area de sistemasApropiada Independencia Adecuado nivel de autoridadAlcance a todo lo relacionado con la informática
AUDITORIA DE SISTEMAS
3. Perfiles
1.Director de Auditoría
Responsabilidades:
• Liderar el proceso de Auditoría de Sistemas en la organización. Facilitar la labor del equipo de Auditoría de Sistemas. Promover el crecimiento profesional del equipo de colaboradores. Definir políticas para la ejecución de la labor. Administrar los recursos disponibles. Establecer acuerdos de servicio con otras áreas. Proponer planes de trabajo.
AUDITORIA DE SISTEMAS
1. Director de Auditoría
Decisiones Seleccionar el equipo de
colaboradores. Asignar recursos. Participación en proyectos. Evaluaciones a realizar.Perfil Profesional en el área de Sistemas
preferiblemente con postgrado o maestría en areas de Control
Conocimiento en diferentes tópicos tecnológicos y en aspectos de control, administrativos y financieros.
Experiencia: En auditoría de sistemas computarizados, análisis de riesgos, administración de sistemas y de personal (5 años)
3. PerfilesAUDITORIA DE SISTEMAS
Relaciones internas Vicepresidencia de Tecnología. Otras áreas de Auditoría. Otras áreas de la organización
Relaciones externas Firmas consultoras. Organismos de supervisión .
3. PerfilesAUDITORIA DE SISTEMAS
2. Analístas de Auditoría
PERFIL ANALISTA SENIOR ANALISTA JUNIOR
Educación Formal Profesión
Postgrado
Ingeniero de sistemas
Auditoria de Sistemas
Preferiblemente en Ingeniería de sistemas o Tecnólogo en Sistemas
3. PerfilesAUDITORIA DE SISTEMAS
PERFIL ANALISTA SENIOR ANALISTA JUNIOR
.
Experiencia Auditoría de
sistemas Análisis y diseño
de sistemas Herramientas de
usuario final Plataformas
tecnológicas grandes y medianas
Mínimo 2 años Mínimo 1 año Mínimo 1 año Mínimo 1 año
Mínimo 1 año
2. ANALISTAS
3. PerfilesAUDITORIA DE SISTEMAS
PERFIL ANALISTA
.
Conocimientos Organización
Actividad Empresa Tecnología
Técnicas y herramientas de
Estructura
organizacional Elementos
estratégicos Funcionamiento
general Procesos operativos Procesos
automatizados Plataformas
tecnológicas
Telecomunicaciones, Bases de datos y/o Seguridades.
Auditoría de
sistemas Gerencia de
procesos
2. ANALISTAS
3. PerfilesAUDITORIA DE SISTEMAS
PERFIL ANALISTA
Habilidades
Trabajo en equipo Innovación y
mejoramiento continuo
Comunicación oral y escrita
Analisis de alternativas y busqueda de soluciones
Toma de decisiones Interacción con otras
personas.
2. ANALISTAS
3. PerfilesAUDITORIA DE SISTEMAS
RESPONSABILIDADES
ANALISTA SENIOR ANALISTA JUNIOR
Planeación Ejecución Control
Liderazgo
Realizar la planeación anual y
semestral de las actividades a desarrollar.
Incluir en la planeación la atención de los proyectos más críticos.
Ejecutar y controlar la
realización de todas las actividades planeadas.
Mantener un canal de
comunicación adecuado con el gerente de auditoría.
Efectuar el seguimiento a los trabajos realizados.
Liderar equipos de trabajo. Liderar el mejoramiento
continuo de los procesos de auditoría
Realizar la planeación anual o semestral de las actividades a desarrollar.
Ejecutar y controlar la realización de todas las actividades planeadas. Mantener un canal de comunicación adecuado con el gerente de auditoría. Efectuar el seguimiento a los trabajos realizados. Liderar el mejoramiento continuo de los procesos de auditoría
3. PerfilesAUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS
4.CADENA DE VALOR
5.PROCESO GENERAL DE EVALUACIÓN
1. SELECCION2. PLANEACION3. PRESENTACION4. CONSECUCION INFORMACION5. IDENTIFICACION RIESGOS6. SELECCION RIESGOS CRITICOS7. IDENTIFICACION CONTROLES8. ANALISIS RIESGOS9. DEFINICION PLAN PRUEBAS10.EJECUCION PRUEBAS11.DIAGNOSTICO12.RECOMENDACIONES13.REUNION CON AUDITADO14. INFORME15.SEGUIMIENTO
AUDITORIA DE SISTEMAS
6.DIMENSIONAMIENTO DEL AREA
1. Relación detallada de escenarios a Auditar:• Plataformas• Aplicativos• Base de datos• Proyectos a participar
2. Estimación de tiempos de evaluación por tipo de evaluación.
3. Número requerido de trabajos por tipo.
4. Cálculo de número de personas
AUDITORIA DE SISTEMAS
7. DEFINICION DEL PLAN
AUDITORIA DE SISTEMAS
2. ESCENARIOS DE EVALUACIÓN
1. APLICACIONES EN FUNCIONAMIENTO
Objetivo Detectar y comunicar las oportunidades de mejoramiento que permitan obtener un ambiente de control de alta calidad en los aplicativos utilizados por la organización.
AUDITORIA DE SISTEMAS
Alcance y justificación Las aplicaciones sistematizadas se han convertido en un elemento imprescindible para soportar los diferentes procesos de la organización. Por ello es necesario que tanto el registro, procesamiento y generación de información se realice en forma adecuada y segura.
1. APLICACIONES EN FUNCIONAMIENTO
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
2. SEGURIDADES EN PLATAFORMAS TECNOLOGICAS
Objetivo Detectar las debilidades y comunicar las oportunidades de mejoramiento que permitan obtener un esquema de seguridad adecuado y de alta calidad en las diferentes plataformas tecnológicas
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación La seguridad de todos los componentes del ambiente tecnológico es una condición necesaria para el éxito de la organización. Tanto a nivel físico como lógico, debe garantizarse que las operaciones se realizan sin riesgo para los clientes y que los riesgos asumidos por la institución están debidamente identificados y medidos. Es entonces fundamental, tener los controles necesarios para que este ambiente pueda servir adecuadamente a los propósitos de la organización.
2. SEGURIDADES EN PLATAFORMAS TECNOLOGICAS
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
3. TELECOMUNICACIONES
Objetivo Detectar las debilidades y comunicar las oportunidades de mejoramiento que permitan obtener un ambiente de control adecuado y de alta calidad en la red de telecomunicaciones.
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación Las telecomunicaciones constituyen un medio necesario en nuestra organización, ya que la operación y la prestación de los servicios dependen en gran medida de la calidad de la red de telecomunicaciones que la soporta. Además, debido a su complejidad y altos costos, es un elemento altamente crítico que debe poseer la estructura y configuración adecuadas, con los controles y las seguridades necesarias.
3. TELECOMUNICACIONES
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
4. BASES DE DATOS
Objetivo Detectar las debilidades y comunicar las oportunidades de mejoramiento que permitan obtener un ambiente de control de alta calidad en las diferentes bases de datos.
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación La información se ha convertido en el recurso más valioso que puede poseer una organización, de ella depende en gran medida su permanencia en el ámbito de los negocios. Es necesario entonces que la información almacenada en las bases de datos cumpla con las características de integridad, disponibilidad y confidencialidad, de tal manera que pueda servir oportunamente a los propósitos para los cuales se tiene.
4. BASES DE DATOS
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
5. PROCESAMIENTO DE DATOS
Objetivo Comunicar las oportunidades de mejoramiento en la gestión del procesamiento electrónico de datos para lograr un ambiente de control de alta calidad.
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación El área de Procesamiento de Datos es un componente vital dentro de la estructura del ambiente tecnológico de la organización. Debe garantizarse su operación permanente, con los controles y niveles de seguridad adecuados, acordes con la inversión y la importancia que tiene para la organización.
5. PROCESAMIENTO DE DATOS
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
6. Desarrollo de sistemas
Objetivo Comunicar las oportunidades de mejoramiento en la gestión de desarrollo de aplicaciones sistematizadas para lograr un ambiente de control de alta calidad.
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación Las áreas de Desarrollo de Sistemas se han convertido en grandes pilares que soportan el crecimiento de las organizaciones, debido a la introducción de nuevas tecnologías y herramientas, que en nuestro caso no solamente apoyan las labores operativas y administrativas, sino que son fundamentales para la prestación del servicio. Por esto, es necesario que el proceso de desarrollo, interno o externo, cuente con los procedimientos de control adecuados.
6. Desarrollo de sistemas
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
7. Proyectos de sistematización
Objetivo Asesorar y evaluar La gestión del proyecto y el sistema de control en el aplicativo
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
7. Proyectos de sistematización
Objetivo Asesorar y evaluar en: El impacto del sistema de información en la organización. El ambiente de control del sistema de información. La auditabilidad del sistema de información. La confiabilidad y cumplimiento de la metodología empleada. La adecuada documentación del proyecto. Cumplimiento del plan establecido. La asignación clara de tareas y responsables en cada una de las etapas.
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación
La evolución de los negocios y las necesidades cambiantes de la organización y de sus clientes, condicionan el surgimiento de nuevos proyectos, muchos de los cuales involucran un alto grado de automatización. Es en este tipo de proyectos donde la Auditoría de Sistemas deberá participar cumpliendo un papel proactivo y preventivo, durante cada una de las etapas del proyecto, para contribuir a la obtención de un producto final de alta calidad.
7. Proyectos de sistematización
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
8. SOPORTE A LAS DEMAS AREAS DE AUDITORIA
Objetivo Apoyar a las demás áreas de auditoría, en la ejecución eficiente de sus procesos. Mediante la automatización de los procesos de Auditoría
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación
La evolución de la Auditoría, con su visión futurista y la incorporación de nuevas y mejores prácticas, exije la utilización de herramientas automatizadas que faciliten la manipulación de información y hagan mas eficiente la realización del trabajo, permitiendo ser mas oportunos en la detección de hechos anormales y en la comunicación de las oportunidades de mejoramiento.
8. SOPORTE A LAS DEMAS AREAS DE AUDITORIA
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Asesorar a las demás Auditorías en la definición de requerimientos para herramientas sistematizadas.
Evaluar los requerimientos y analizar la factibilidad de desarrollar las herramientas requeridas o adquirirlas en el mercado.
Se cubren los siguientes aspectos:
8. SOPORTE A LAS DEMAS AREAS DE AUDITORIA
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Desarrollar o asesorar en la adquisición de las herramientas necesarias.
Implantar y mantener las herramientas desarrolladas.
Capacitar y entrenar a los usuarios en el uso de las herramientas desarrolladas.
Se cubren los siguientes aspectos:
8. SOPORTE A LAS DEMAS AREAS DE AUDITORIA
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
9. EVALUACIÓN A LA GESTION DE TECNOLOGIA
Objetivo Evaluar el proceso de Gestión de Tecnología de Información para determinar la efectividad de esta
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Alcance y justificación
Un elemento crítico, es la administración efectiva de la información y de la Tecnología (TI) relacionada. Esta criticidad surge de:La creciente dependencia en información y en los sistemasLa escala y el costo de las inversiones en información y en tecnología de información El potencial que tienen las tecnologías para cambiar radicalmente las organizacionesLa información y la tecnología que la soporta la empresa, y que en muchas representa los activos mas valiosos .
9. EVALUACIÓN A LA GESTION DE TECNOLOGIA
2. ESCENARIOS DE EVALUACIÓN
AUDITORIA DE SISTEMAS
Cada organización independiente de su tamaño o de la industria dentro de la cual opera, necesita cumplir con un número de requisitos del gobierno y externos relacionados con el uso y control de la tecnología y la información.
LEYES Y REGULACIONES
3. NORMAS
AUDITORIA DE SISTEMAS
El Auditor de Sistemas debe:Identificar las normas y leyes relacionadas con:
Practicas y controles de sistemasProtección de activos informáticosOrganización de servicios informáticos.
Documentar las leyes y regulaciones pertinentes.
Identificar si la gerencia ha tomado en consideración estos requisitos.
Revisar los procedimientos
LEYES Y REGULACIONES
3. NORMAS
AUDITORIA DE SISTEMAS
El marco de estándares de auditoria de sistemas ISACA incluye:
ESTANDARES Son requisitos obligatorios par Auditoria
DIRECTRICES Guía para aplicar los estándares
PROCEDIMIENTOS Ejemplos de los procedimientos que debe seguir un auditor no son requisitos, manera de cumplir los estándares
CODIGO DE ETICA
LEYES Y REGULACIONES
3. NORMAS
AUDITORIA DE SISTEMAS
ESTANDARES 010 Contrato de Auditoria010.010 Responsabilidad y autoridad (debe estar documentadas mediante contrato o carta de compromiso de auditoria)
020 Independencia020.010 Independencia profesional (independiente del auditado en actitud y apariencia)020.020 Relación con la Organización (independencia en estructura)
3. NORMAS
AUDITORIA DE SISTEMAS
ESTANDARES 030 Ética profesional y Estándares030.010 Código de ética profesional (debe acatar el código de ética de la asociación)030.020 Debido cuidado profesional y observar los estándares.
040 Competencia040.010 Destrezas y Conocimientos (ser competente,habilidades, destrezas y conocimiento)040.020 Educación profesional continua (mantener competencias con educación continua)
3. NORMAS
AUDITORIA DE SISTEMAS
ESTANDARES 050 Planificación050.010 Planeación de la Auditoría (planificar el trabajo para cumplir objetivos de auditoria y estándares profesionales)
060Realizacion del Trabajo de auditoria060.010 Supervisión. El personal de auditoria debe estar supervisado.060.020 Evidencia (suficientes, confiables, relevantes y útiles)
3. NORMAS
AUDITORIA DE SISTEMAS
ESTANDARES 070 Reporte070.010 Contenido y forma de reporte (forma apropiada, a destinatarios que correspondan que incluya alcance, objetivo, periodo abarcado, identificar la organización, destinatarios, y restricciones sobre circulación, establecer hallazgos, conclusiones y recomendaciones
080 Seguimiento a actividades080.010 Seguimiento (Información pertinentes sobre hallazgos, conclusiones y recomendaciones anteriores para determinar si se han implementado)
3. NORMAS
AUDITORIA DE SISTEMAS
DIRECTRICESEs información adicional sobre como cumplir con los Estándares. El auditor de sistemas debe:• Considerarlos al determinar como implementar los estandares•Usar su juicio profesional al aplicarlos.•Ser capaz de justificar cualquier desviaciones de los mismos
•Las directrices estan en www.isaca.org/stand1.htm.
3. NORMAS
AUDITORIA DE SISTEMAS
CODIGO DE ETICAISACA establece el código de ética profesional •Respaldarán el establecimiento y cumplimiento de estándares.•Servirán en el interés de sus empleadores, accionistas, clientes y público en general en forma diligente, leal y honesta y no participara a sabiendas en ninguna actividad ilegal o indebida.•Mantendrán la confidencialidad de la información , no será usada para beneficio personal, ni revelado a terceros que no corresponda.•Llevarán a cabo sus tareas en una forma independiente y objetivo y evitará actividades que amenacen su independencia
3. NORMAS
AUDITORIA DE SISTEMAS
CODIGO DE ETICAISACA establece el código de ética profesional •Mantendrán la competencia, mediante su participación en actividades de desarrollo profesional.•Usaran el debido cuidado para obtener y documentar material suficiente de hechos sobre los cuales se basan sus conclusiones y recomendaciones•Informarán a las partes pertinentes sobre los resultados del trabajo.•Apoyarán la educación de la administración, de los clientes y del público en general para aumentar comprensión de estos de la auditoria y de los sistemas de información•Mantendrán estándares elevados de conducta y de carácter en actividades profesionales y personales.
3. NORMAS
AUDITORIA DE SISTEMAS
Se debe contar con herramientas, hardware y software necesario para realizar la labor•Software administrativo•Software general •Software especializado de auditoria•Hardware
4. TECNOLOGIA
AUDITORIA DE SISTEMAS
1.INDICADORES DE EFICIENCIA DE LA AUDITORIADE SISTEMA
1. N° de participaciones en proyectos tecnológicos/ N°. de proyectos tecnologícos de mayor impacto
2. N° de trabajos realizados / N° de trabajos planeados
3. N° de recomendaciones adoptadas dentro del plazo / N°. de recomendaciones dadas
4. N° de horas ejecutadas / N° horas planeadas según estandar
5. N° de empleados capacitados por Auditoría /N° de empleados presupuestados por capacitar
6. N° de especialistas en temas auditados/N° de auditores
7. Seguimientos realizados / trabajos realizados
AUDITORIA DE SISTEMAS
2. Evaluacion de expectativas
Revisión de lo que los auditados esperan del trabajo de auditoría, se hace antes de iniciar cada trabajo y también de manera general con alguna frecuencia
3. Evaluacion de satisfaccion
Medición del servicio de auditoria recibido, por parte de los auditados.Se puede realizar después de cada trabajo o con alguna periodicidad definida
AUDITORIA DE SISTEMAS
4. Supervisión
Revisión del trabajo del analista por parte del Gerente de Auditoría o de un Coordinador
5. Revision de resultados
Revision del informe preliminar con los auditados para disminuir los riesgos de auditoria y evaluar la calidad del trabajo realizado
AUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS
1. Ajustar procesos y procedimientos. El dinamismo propio de la tecnologia exige que los procesos y procedimientos de auditoría de sistemas se estén revaluando permanentemente, es necesario por tal motivo tener dentro de la planeación recursos para esta actividad
AUDITORIA DE SISTEMAS
2. Seguimiento a recomendaciones y planes de acción. La efectividad de la labor realizada por la auditoria esta en buena medida determinada por la implementación de las recomendaciones, para lograr este es fundamental contar con recurso para realizar seguimiento a los trabajos realizados