1

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Auditoría de SistemasIngeniería de Sistemas y Seguridad Informática

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com

Sesiones 07 a 09

2

Mg, Ing. Jack Daniel Cáceres Meza, PMP

¿Recordamos?

3

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf

4

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf

5

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.iuai.org.uy/iuai/documentos/noticias/ElfuturodelaAuditor%C3%ADaInterna.pdf

Atributos clave: 10 pasos para maximizar la función de Auditoría Interna

6

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Ejemplo de alineamiento estratégico de TI

Ejecución estratégica

Potencial tecnológico

Potencial competitivo

Nivel de servicios

TI se adapta, la implementa

TI apoya estrategias, arquitecto de tecnología

TI define estrategias, explota/potencia capacidades emergentes de TI -tendenciasTI como generadora de valor, liderazgo del negocio

Fuente: http://www.12manage.com/methods_venkatraman_strategic_alignment_es.html

7

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Diagrama de influencia extendido

Fuente: N. Vargas* y L. Plazaola, ISSN 1818-6742, Niicaragua

8

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Relación de la tecnología con los procesos de negocio

Fuente: http://www.auditool.org/blog/auditoria

-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-

aseguramiento-del-negociohttp://www.madrimasd.org/revista/revi

sta23/tribuna/tribuna1.asphttp://revista.seguridad.unam.mx/printp

df/356http://boletin.dseinfonavit.org.mx/035/

documentos/ManualNormativodeRiesgoTecnologico.pdf

usabilidad

La tecnología se vuelve

parte de la operación y

su funcionamiento no

puede aislarse de los

demás elementos del

proceso; asimismo,

todos los integrantes en

conjunto tienen un solo

objetivo, además de

poseer la misma

importancia para el

logro de los resultados.

La decisión de incorporar

tecnología en los procesos

del negocio, trae consigo la

decisión de administrar el

correspondiente:riesgo tecnológico

Pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso [mal uso] o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de Información por el empleo de herramientas y aplicaciones tecnológicas, que se incrementa continuamente, y que no cuentan con una gestión adecuada en seguridad.

9

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Riesgo tecnológico

ISACA lo define como:

“El riesgo de negocio asociado al uso, propiedad, operación,participación, influencia y adopción de las tecnologías de la información(TI) en la organización”.

Fuente: http://nahunfrett.blogspot.com/2014/08/cobertura-del-riesgo-tecnologico-hacia.htmlhttps://seguridadysalud.wordpress.com/2011/08/03/%C2%BFriesgo-tecnologico/

http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-i

El riesgo tecnológico puede verse desde tres aspectos, primero a nivel de la infraestructura tecnológica (hardware o nivel físico), en segundo lugar a nivel lógico (riesgos asociados a software, sistemas de información e información) y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.

10

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Todo tiene una

explicación

11

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Consideraciones de seguridad de la información

Aspectos legales Regulaciones Interoperabilidad Integración Compatibilidad Confianza Privacidad Riesgos Personalización Licenciamiento Continuidad Soporte Documentación Vigencia Sostenibilidad Concurrencia QA/QC Estándares Mejora continua Activos Gestión de configuraciones Trazas Normas de gestión Adaptabilidad Utilidad Autentificación . . .

Respaldos Persistencia Disponibilidad Confidencialidad Integridad Protección Localización Comunicaciones Mantenimiento Capacitación Actualizaciones Procesos Cumplimiento Sustentabilidad Capacidad Normas técnicas Sistemas de gestión Elementos de configuración (CI) Base de Datos de la gestión de

configuraciones (CMDB) CMMI SDLC Eficiencia Eficacia Usabilidad Contenido No repudio . . .

¿tendencias?¿legacy?otra ¿solución web?¿fusiones?¿riesgos?¿TCO?¿SLA?¿movilidad?¿mercado?¿competencia?¿benchmark?¿organización?¿globalización?¿situación actual?¿Planificación?¿control de medios?¿avances tecnológicos?¿decisiones de inversión?¿beneficios?¿alcances?¿cronogramas?¿expectativas?¿insatisfacción?¿efectividad?¿gestión?¿oportunidad?¿aislamiento?¿metodología?¿forensic?¿escalabilidad?¿flexibilidad?¿fiabilidad?¿estrategias empresariales?¿alineamiento?

...

¿El programador deberá tener acceso a los servidores de producción?¿El operador podrá tener acceso a los programas fuente?

12

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Confidencialidad

Integridad

Disponibilidad

Procesada

Almacenada

Transmitida

Políticas y procedimientos

Tecnología

Conciencia, educación, y entrenamiento

Modelo de Seguridad de la Información

La seguridad de la información se basa en estos pilares (metas)

Puede tomar estos estados

Se adoptan medidas para su seguridad (salvaguardas)

La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.

13

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Seguridad de la información: pilaresNormativo – Legal

(leyes, contratos, reglamentos, códigos de conducta, etc.)

Tecnología(hardware, software, seguridad física, normas técnicas, mejores prácticas)

Organización(capacitación, auditorías, aplicación práctica, políticas, etc.)

Data consistenteVálida

PersistenteSin manipulaciones

Sin alteraciones

AutorizaciónAutenticación

PrivacidadAcceso controlado

Continuidad del negocio y operaciones

Canales adecuadossiguiendo los procesos

correctos

14

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Controles de la Seguridad de la información

Adquisición, desarrollo y mantenimiento de

sistemas de los información

Seguridad en la operativa

Aspectos de seguridad de la información en la

Gestión de la continuidad del

negocio

Seguridad lógica Seguridad organizativa

Seguridad ligada a los recursos

humanos

Gestión de incidentes en la seguridad de la

información

Gestión de activos

Organización de la seguridad de la

información

Política de seguridad

Seguridad física

Seguridad física y ambiental

Control de accesos

Cumplimiento

Seguridad legal

NTP ISO/IEC 17799:200711 dominios de control39 objetivos de control133 controles

ISO/IEC 27002:201314 dominios de control35 objetivos de control114 controles

Seguridad en las telecomunicaciones

Relación con proveedores

Cifrado

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com

Gracias por su atención

¿Preguntas?

Riesgos Legales

• Pérdida de gobernabilidad.

• Usurpación de datos.

• Titularidad de los derechos.

• Deslocalización de la información.

• Dependencia en el proveedor.

• Negativa del proveedor a ser auditado.

Riesgos Técnicos

• Comunicaciones inseguras.

• Abuso de privilegios.

• Compromiso de la interfaz de gestión.

• Compartición de recursos.

• Denegación de servicio.

• Incompatibilidad para migración.

• Sabotaje• Desconocimiento

Controles y guías de buenas prácticas de seguridad para

la Nube

• Ley de contrataciones.• Proveedores sin experiencia.• Personal técnico no especializado.• Normativas internas.

• Integración débil.• Inter operabilidad incompleta.

ISO: International Organization for StandardizationNIST: National Institute of Standards and TechnologyCOBIT:Control Objectives for Information and Related TechnologyCSA: Cloud Security Alliance

ISO

NIST

COBIT CSA

16

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Ejemplos de tipos de evento de riesgo con los aspectos de tecnología relacionados

Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-aseguramiento-del-negocio

17

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Ejemplos de tipos de evento de riesgo con los aspectos de tecnología relacionados

Fuente: http://www.auditool.org/blog/auditoria-de-ti/827-riesgo-tecnologico-su-medicion-como-prioridad-para-el-aseguramiento-del-negocio

18

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Niveles de gobernanza

Fuente: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20080416%20Standard%20ISO38500.pdfhttps://www.iaia.org.ar/revistas/elauditorinterno/08/articulo2.html

http://revista.seguridad.unam.mx/numero-15/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-organizaciones-parte-ii-gobierno-de-ti-y-riesgos

http://revista.seguridad.unam.mx/printpdf/366

19

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Marcos de control

20

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Niveles de gobernanza

COBIT

Es el resultado de una investigación con expertos de variospaises, desarrollada por la “Information, Systems Audit andControl Association “ISACA”.

Esta asociación se ha constituido en el organismonormalizador y orientador en el control y la auditoría de lossistemas de Información y Tecnología (IT).

El modelo CobIT ha sido aceptado y adoptado pororganizaciones en el ámbito mundial.

Modelo para evaluar y/o auditar la

gestión y control de los de

Sistemas de Información y

Tecnología relacionada (IT):

MODELO COBIT

(Control Objectives for

Information Systems and

related Technology)

Ing. Víctor Manuel Montaño Ardila

Modelo COBIT

Origen

LEGISLADORES / REGULADORES USUARIOS PRESTADORES

DE SERVICIOS

• MARCO UNICOREFERENCIAPRACTICASSEGURIDADY CONTROL

ALT

A G

EREN

CIA

•INVERSION CONTROL TI•BALANCE RIESGO/CONTROL• BASE BENCHMARKING

USU

AR

IOS D

E TI

• ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS

• CONFUSIÓN ESTANDARES

AUDITORES

• DESGASTE OPINION V.S.

ALTA GCIA.• CONSULTORES EN

CONTROL/SEG.TI

CONCEPTOS BÁSICOS

Ing. Víctor Manuel Montaño Ardila

CONCEPTOS BÁSICOS

Proveer un marco único reconocido a nivel mundial delas “mejores prácticas” de control y seguridad de TI

Consolidar y armonizar estándares originados endiferentes países desarrollados.

Concientizar a la comunidad sobre importancia delcontrol y la auditoría de TI.

Enlaza los objetivos y estrategias de los negocios con laestructura de control de la TI, como factor crítico deéxito

Aplica a todo tipo de organizaciones independiente desus plataformas de TI

Ratifica la importancia de la información, como uno delos recursos más valiosos de toda organización exitosa

Ing. Víctor Manuel Montaño Ardila

CONCEPTOS BÁSICOS

COSO : (Committe Of Sponsoring Org. of the Treadway Commission)

OECD : (Organizarion for Economic Cooperation and Development)

ISO 9003 : (International Standars Organization)

NIST : (National Institute of Standars and Technology)

DTI : (Departament of Trade and Industry of the U.K´)

ITSEC : (Information Technology Security Evaluation Criteria - Europa)

TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)

IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)

IS : Auditing Standars Japón

COBIT

Representatividad

ISACA - 95 paises 20.000 miembros

Investigación: E.U-Europa-Australia-Japón

Consolidación y armonización 18 estándares

Ing. Víctor Manuel Montaño Ardila

CONCEPTOS BÁSICOS

Para satisfacer los objetivos del negocio lainformación debe cumplir con criterios que COBITextrae de los más reconocidos modelos:

Requerimientos de calidad(ISO 9000-3)

•Calidad

•Costo

•Entrega

Ing. Víctor Manuel Montaño Ardila

Requerimientos fiduciarios(informe COSO)

Eficacia y eficienciaConfiabilidad de la información Cumplimiento con leyes y

reglamentaciones

Requerimientos de seguridad(libro rojo, naranja,ISO 17799 y otros)

Disponibilidad

Integridad

Confidencialidad

CONCEPTOS BÁSICOS

Ing. Víctor Manuel Montaño Ardila

REGLA DE ORO DEL COBIT

A fin, de proveer la informaciónque la organización requiere paralograr sus objetivos, los recursosde TI deben ser administrados porun conjunto de procesos,agrupados de forma adecuada ynormalmente aceptada.

Ing. Víctor Manuel Montaño Ardila

¿POR QUÉ COBIT?

La Tecnología se ve como uncosto, no hay una terminologíacomún con el negocio, y serecorta el presupuesto en laseguridad, ya que la falta dedifusión de normas y buenasprácticas que ayuden agenerar conciencia de losriesgos mantiene la quimeradel :

“ A mi no me va pasar..”

Ing. Víctor Manuel Montaño Ardila

29

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Atributos de calidad

Los atributos de calidad requeridos de la información, ya sea relevadao recibida, obtenida dentro de –o sujeta a- los parámetros deseguridad, procedimientos internos o ámbitos de actuación y/o deresponsabilidad de las distintas unidades de la organizacióninvolucradas en el proyecto son, pero no están limitados a, lossiguientes:

Contenido completo, contextual y claro, con detalle pertinente ysuficiente para desarrollar de forma apropiada la evaluación contractualrequerida, y con el nivel pertinente.

Redacción correcta, precisa, clara, objetiva, concisa, constructiva.

30

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Evaluación vs. Auditoría

Toda evaluación lleva implícita una opinión o juicio de valor, a partir de unconjunto de informaciones sobre la evolución o los resultados de experienciaso de la operación, con el fin de tomar una decisión lo más objetiva posible; portanto, es una aproximación cualitativa, un proceso reflexivo, sistemático, devaloración sobre juicio de expertos.

Una auditoria puede tomar los resultados de la evaluación y realizar unescrutinio externo y objetivo de ellos en busca de determinar un grado decumplimiento de los procesos o normativa general que la misma instituciónhaya establecido –evaluar la eficacia y eficiencia, analizando el contextoorganizativo y ambiental en el que se desenvuelve.

Una evaluación debe incorporarse como una práctica cotidiana que realizan losinvolucrados y afecta a la institución en su conjunto, para mejorar y potenciarcontinuamente su desarrollo y el de sus integrantes; por tanto, se considerauna labor de consultoría.

31

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Modelo de madurez

La madurez se puede entender o visualizar como la razón por la que eléxito ocurre, o como la vía para prevenir comúnmente los problemas.

Los modelos nos permiten representar realidades complejas(área/entorno/organización) en forma más sencilla, a través de laselección de un conjunto de características que la definen, cuyaevaluación nos permite obtener una visión de su situación actual,predecir su comportamiento y proporcionar una guía de pasos a seguirpara alcanzar una situación deseada (futura).

Luego, un modelo de madurez es un conjunto estructurado deelementos (mejores prácticas, herramientas de medición, criterios deanálisis, entre otros), que permite identificar las capacidadesinstaladas en la organización con relación al aspecto evaluado,compararlas con estándares, identificar vacíos o debilidades yestablecer procesos de mejora continua.

32

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Modelo de madurez

Así, un modelo de madurez, entre otras ventajas:

Permite a la institución ubicarse a sí misma de manera relativamente fácilen una determinada escala del modelo.

Facilita la evaluación por medio de benchmarking y la identificación de lasmejoras necesarias.

Expresa un perfil donde las condiciones relevantes a diferentes niveles demadurez se han conseguido.

Expresa cuánta interiorización han logrado los interesados (entre otros, laalta dirección, gerentes, jefes, personal) en los conceptos y aspectos quese han evaluado.

Permite identificar dónde se encuentran los problemas y cómo fijarprioridades para las mejoras, para alcanzar un determinado nivel demadurez en un periodo razonable de tiempo.

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com

Gracias por su atención

¿Preguntas?

NIVEL DE MADUREZCARACTERÍSTICAS

PRINCIPALESQUÉ LO CARACTERIZA QUÉ OBTENGO

Innovación

Benchmarking

Los procesos representan

mejores prácticas

Se utilizan herramientas de

automatización en forma

consistente

Existe un importante foco en la

mejora de la calidad y

efectividad

Innovaciones planeadas

Gestión de

configuraciones

Análisis causal y

resolución

Optimización de

procesos

Proactividad real

Cumplimiento de

metas

Procesos

predecibles que

son mejorados de

forma continua

Automatización efectiva

Existen mecanismos para la

mejora de los procesos

El cumplimiento de los

procedimientos se mide y

monitorea

Procesos estables

Resultados predecibles

Gestión del conocimiento

Gestión cuantitativa de

proyectos

Medición de procesos

Control de procesos

Cuantificación de

resultados

Explotación de

beneficios de la

estandarización

Procesos

establecidos que

se ejecutan

dentro de límites

definidos

Procesos estandarizados,

documentados y comunicados

mediante entrenamiento

No existe un procedimiento de

aseguramiento de la calidad

de los procesos

Juez y parte

Crecimiento de la

productividad

Economía de escala

Gestión integrada de

proyectos

Gestión de riesgos

Definición de procesos

Implementación de

procesos

Mediciones

eficientes y

efectivas

Entrenamiento

apropiado y

pertinente

Procesos

gestionados

implementados

usando procesos

definidos

34

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Procedimientos

similares para la misma

tarea realizadas por

diferentes personas

No existen

entrenamientos o

comunicaciones

formales de estándares

Alto grado de

dependencia en

personas

Reducción del

retrabajo

Se satisfacen

compromisos

Planificación del

proyecto

Gestión del

rendimiento

Estabilizació

n del trabajo

Compromiso

de control

Procesos

ejecutados

implementad

os de forma

gestionada

Reactivo

Desorganizado

Enfoque ad-hoc aplicado

de manera individual o

caso por caso

“sólo haz que

funcione”

Ser

considerado

“bombero”

Nivel 0

No se reconocen

procesos

No se reconoce que

existe una necesidad que

debe ser contemplada

No hay problemas

por resolver

Las cosas

“funcionan”

NIVEL DE MADUREZCARACTERÍSTICAS

PRINCIPALESQUÉ LO CARACTERIZA QUÉ OBTENGO

35

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Sistema –objeto complejo: unión de cosas de manera organizada

Conjunto ordenado de normas y procedimientos que regulan el funcionamiento de un grupo o colectividad.

Conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia.

Un sistema puede ser físico o concreto (una computadora, un televisor, un humano) o puede ser abstracto o conceptual (un software).

Fuente: DICCIONARIO DE INFORMÁTICA Y TECNOLOGÍA

Núcleo de un átomoSistema/Aparato digestivoSistema (modelo) políticoSistema métrico decimal…

…

…

36

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Auditoría de sistemas –de información

Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas/[procedimientos]), selectivo(muestras) de las políticas, normas, prácticas, funciones, procesos,procedimientos e informes [documentados] relacionados con lossistemas de información computarizados, con el fin de emitir unaopinión profesional ([independiente, objetiva e] imparcial) conrespecto a:

Eficiencia en el uso de los recursos informáticos.

Validez de la información.

Efectividad de los controles establecidos.

Fuente: https://maledume.wordpress.com/concepto-y-etapas-de-auditoria-de-sistemas/http://www.gerencie.com/auditoria-de-sistemas.html

http://www.gerencie.com/auditoria-de-sistemas-de-informacion.htmlhttp://anaranjo.galeon.com/conceptos.htm

El área informática monta los procesos informáticos seguros. El control interno informático monta los controles (función normativa y

del cumplimiento del marco jurídico). La auditoria informática evalúa el grado de control.

importante

37

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Aspectos básicos de la Auditoría de Sistemas de Información

Es un examen y validación de los controles y procedimientos usados por el Área de Sistemas (Informática) a fin de verificar que los objetivos de continuidad del servicio, confidencialidad y seguridad de la información así como la integridad y coherencia de la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e interna de la Empresa. (Universidad Regional Autónoma de los Andes)

Juega un papel fundamental en el control adecuado, uso y aplicación de todos los recursos de la organización, especialmente los que garanticen el manejo seguro y eficiente de la información. (Universidad Distrital Francisco José De Caldas)

Permite determinar si los controles implementados son eficientes y suficientes, identificar las causas de los problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas de información confiables y disponibles. (auditoria.com.mx)

Auditoría informática es aquella actividad auditora que trata de evaluar la adecuada utilidad, eficiencia, fiabilidad y salvaguarda de la información mecanizada que se produce en una determinada empresa o institución, así como la organización de los servicios que la elaboran y procesan. (Hevia, 1989)

38

Mg, Ing. Jack Daniel Cáceres Meza, PMP

¿Qué? ¿Dónde? ¿Cómo? …

¿Desviaciones? ¿cuáles son sus causas?

Revisemos

http://blog.iedge.eu/tecnologia-sistemas-informacion/tecnologia-tecnologia-sistemas-informacion/

http://blog.iedge.eu/tecnologia-sistemas-informacion/seguridad-informatica-2/juan-manuel-escudero-iniciacion-la-auditoria-informatica/#more-1485

http://blog.iedge.eu/tecnologia-sistemas-informacion/direccion-siti/jose-barato-introduccion-al-governance/#more-8424

http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm

http://anaranjo.galeon.com/objetiv_audi.htm

39

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Investigación

35 Preguntas de TI que todo Director de Auditoría Interna debe realizar

Objetivos, funciones, riesgos, mejores prácticas, estándares,herramientas, controles, estrategias, planificación, recursos, gobierno …

15 Preguntas Sobre Controles Tecnología Información (TI)

Los controles –apoyados por el 6W-2H

Tecnología de Información y Fraude

Gobierno, auditoría continua, gestión, intrusiones

TI y la entrega de valor en la empresa

40

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Si se requiere, entre otros

Evaluación administrativa del área de procesos electrónicos.

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (entre otros, pero no limitados a: software, hardware, redes, bases de datos, comunicaciones).

Seguridad y confidencialidad de la información.

Considerar aspectos legales de los sistemas de la información

Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc

http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc

41

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Es necesario dimensionar

El tamaño del organismo a auditar

Las características del área a

auditar

Los sistemas, organización y equipo

Fuente: http://nahunfrett.blogspot.com/2014/08/como-ser-una-persona-efectiva.htmlhttp://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

http://yaqui.mxl.uabc.mx/~cmarquez/apuntes%20unidad%203a.dochttp://www.uned.es/413057/elena/practica.doc

http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.doc

Determinar el nivel de servicio requerido

Requerido para

Requerirá gestión

42

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_30_norma_iso_19011.html

43

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://datateca.unad.edu.co/contenidos/358020/ContLinea/leccin_28__procedimientos_de_auditora.html

44

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Entonces se requiere un plan que contemple, como mínimo

Fuente: http://central.utn.ac.cr/foro/weblogs/upload/4/El_Plan_Auditor_Informatico_docx1435993521.dochttp://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm

http://s3.amazonaws.com/ppt-download/planeaciondelaauditoriainformatica-100218170948-phpapp01.pdf?response-content-disposition=attachment&Signature=H61Mb%2B%2BGYAEosV0ApKjrYoU4OWk%3D&Expires=1430003671&AWSAccessKeyId=AKIAIA7Q

TBOH2LDUZRTQ

Establecer objetivos, alcance, inclusiones, exclusiones, limitaciones, restricciones, presupuestosy cronograma (costos, responsables, H-H, hitos, calendario) del trabajo.

Obtener información de apoyo sobre las actividades que se auditarán –nivel de exposición.

Determinar los recursos necesarios para realizar la auditoría, incluidos personal, funciones,procedimientos, técnicas y herramientas (listas de verificación, encuestas, entre otros),sistema de evaluación.

Establecer el plan de gestión de comunicaciones.

Gestión de la calidad.

Seguimiento de acciones correctoras.

Realización del diagnóstico, análisis y evaluación de desviaciones.

Gestión de riesgos.

Realizar, en la forma más apropiada, una inspección física para familiarizarse con las actividadesy controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis alrealizar la auditoría y promover comentarios y la promoción de los auditados.

Preparar por escrito el programa de auditoría –el plan de gestión.

Obtener la aprobación del plan de trabajo de la auditoría –acta de constitución.

¡Un plan de gestión de proyecto!

¡6W-2H!

45

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext

¿Diferencias entre la evidencia documental en papel con aquella en formato electrónico?

Evidencia en papel versus evidencia electrónica (Canadian Institute of Chartered Accountants -CICA, 2003)

46

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext

¿Diferencias entre la evidencia de auditoría tradicional y el soporte electrónico?

Atributos evidencia versus criterios de confiabilidad de la información (CICA, 2003)

47

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://www.scielo.org.mx/scielo.php?pid=S0186-10422007000300002&script=sci_arttext

Competencias específicas de los auditores internos de la población definida para obtener, en términos razonables, evidencia electrónica confiable y de calidad

Competencias requeridas para obtener evidencia electrónica de auditoría

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com

Gracias por su atención

¿Preguntas?

Mg. Ing. Jack Daniel Cáceres Meza, PMPjack_caceres@hotmail.com