Auditoria de TI PHVA

GESTION DE AUDITORIA DE SISTEMAS

PROCESO ADMINISTRATIVO DE AUDITORIA DE SISTEMAS

Estructurar el área

Plan general de desarrollo

Planes de acción

Manual de funciones

Procesos

Procedimientos

Gestion del Talento hum

ano

Normas

Tecnologia

Med

ición

Evalua

ción

Super

visión

Revisi

ón c

on A

udita

doAjus

tes a

pro

ceso

s

Y pro

cedim

iento

s

Seguim

iento

AUDITORIA DE SISTEMAS

1.DEFINICION DEL AREA

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si el proceso tecnológico salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos

2. ESTRUCTURA ORGANIZACIONAL

ANALISTAS SENIOR ANALISTAS JUNIOR

GERENCIA DE AUDIT ORIA DE TECNOLOGIA O T R A S G E R E N C IA S D E A U D IT O R IA

A U D IT O R IA G E N E R A L

PREMISASClara segregación de funciones con el area de sistemasApropiada Independencia Adecuado nivel de autoridadAlcance a todo lo relacionado con la informática


3. Perfiles

1.Director de Auditoría

Responsabilidades:

• Liderar el proceso de Auditoría de Sistemas en la organización. Facilitar la labor del equipo de Auditoría de Sistemas. Promover el crecimiento profesional del equipo de colaboradores. Definir políticas para la ejecución de la labor. Administrar los recursos disponibles. Establecer acuerdos de servicio con otras áreas. Proponer planes de trabajo.


1. Director de Auditoría

Decisiones Seleccionar el equipo de

colaboradores. Asignar recursos. Participación en proyectos. Evaluaciones a realizar.Perfil Profesional en el área de Sistemas

preferiblemente con postgrado o maestría en areas de Control

Conocimiento en diferentes tópicos tecnológicos y en aspectos de control, administrativos y financieros.

Experiencia: En auditoría de sistemas computarizados, análisis de riesgos, administración de sistemas y de personal (5 años)

3. PerfilesAUDITORIA DE SISTEMAS

Relaciones internas Vicepresidencia de Tecnología. Otras áreas de Auditoría. Otras áreas de la organización

Relaciones externas Firmas consultoras. Organismos de supervisión .


2. Analístas de Auditoría

PERFIL ANALISTA SENIOR ANALISTA JUNIOR

Educación Formal Profesión

Postgrado

Ingeniero de sistemas

Auditoria de Sistemas

Preferiblemente en Ingeniería de sistemas o Tecnólogo en Sistemas


PERFIL ANALISTA SENIOR ANALISTA JUNIOR

.

Experiencia Auditoría de

sistemas Análisis y diseño

de sistemas Herramientas de

usuario final Plataformas

tecnológicas grandes y medianas

Mínimo 2 años Mínimo 1 año Mínimo 1 año Mínimo 1 año

Mínimo 1 año

2. ANALISTAS


PERFIL ANALISTA

.

Conocimientos Organización

Actividad Empresa Tecnología

Técnicas y herramientas de

Estructura

organizacional Elementos

estratégicos Funcionamiento

general Procesos operativos Procesos

automatizados Plataformas

tecnológicas

Telecomunicaciones, Bases de datos y/o Seguridades.

Auditoría de

sistemas Gerencia de

procesos

2. ANALISTAS


PERFIL ANALISTA

Habilidades

Trabajo en equipo Innovación y

mejoramiento continuo

Comunicación oral y escrita

Analisis de alternativas y busqueda de soluciones

Toma de decisiones Interacción con otras

personas.

2. ANALISTAS


RESPONSABILIDADES

ANALISTA SENIOR ANALISTA JUNIOR

Planeación Ejecución Control

Liderazgo

Realizar la planeación anual y

semestral de las actividades a desarrollar.

Incluir en la planeación la atención de los proyectos más críticos.

Ejecutar y controlar la

realización de todas las actividades planeadas.

Mantener un canal de

comunicación adecuado con el gerente de auditoría.

Efectuar el seguimiento a los trabajos realizados.

Liderar equipos de trabajo. Liderar el mejoramiento

continuo de los procesos de auditoría

Realizar la planeación anual o semestral de las actividades a desarrollar.

Ejecutar y controlar la realización de todas las actividades planeadas. Mantener un canal de comunicación adecuado con el gerente de auditoría. Efectuar el seguimiento a los trabajos realizados. Liderar el mejoramiento continuo de los procesos de auditoría



4.CADENA DE VALOR

5.PROCESO GENERAL DE EVALUACIÓN

1. SELECCION2. PLANEACION3. PRESENTACION4. CONSECUCION INFORMACION5. IDENTIFICACION RIESGOS6. SELECCION RIESGOS CRITICOS7. IDENTIFICACION CONTROLES8. ANALISIS RIESGOS9. DEFINICION PLAN PRUEBAS10.EJECUCION PRUEBAS11.DIAGNOSTICO12.RECOMENDACIONES13.REUNION CON AUDITADO14. INFORME15.SEGUIMIENTO


6.DIMENSIONAMIENTO DEL AREA

1. Relación detallada de escenarios a Auditar:• Plataformas• Aplicativos• Base de datos• Proyectos a participar

2. Estimación de tiempos de evaluación por tipo de evaluación.

3. Número requerido de trabajos por tipo.

4. Cálculo de número de personas


7. DEFINICION DEL PLAN


2. ESCENARIOS DE EVALUACIÓN

1. APLICACIONES EN FUNCIONAMIENTO

Objetivo Detectar y comunicar las oportunidades de mejoramiento que permitan obtener un ambiente de control de alta calidad en los aplicativos utilizados por la organización.


Alcance y justificación Las aplicaciones sistematizadas se han convertido en un elemento imprescindible para soportar los diferentes procesos de la organización. Por ello es necesario que tanto el registro, procesamiento y generación de información se realice en forma adecuada y segura.

1. APLICACIONES EN FUNCIONAMIENTO



2. SEGURIDADES EN PLATAFORMAS TECNOLOGICAS

Objetivo Detectar las debilidades y comunicar las oportunidades de mejoramiento que permitan obtener un esquema de seguridad adecuado y de alta calidad en las diferentes plataformas tecnológicas



Alcance y justificación La seguridad de todos los componentes del ambiente tecnológico es una condición necesaria para el éxito de la organización. Tanto a nivel físico como lógico, debe garantizarse que las operaciones se realizan sin riesgo para los clientes y que los riesgos asumidos por la institución están debidamente identificados y medidos. Es entonces fundamental, tener los controles necesarios para que este ambiente pueda servir adecuadamente a los propósitos de la organización.

2. SEGURIDADES EN PLATAFORMAS TECNOLOGICAS



3. TELECOMUNICACIONES

Objetivo Detectar las debilidades y comunicar las oportunidades de mejoramiento que permitan obtener un ambiente de control adecuado y de alta calidad en la red de telecomunicaciones.



Alcance y justificación Las telecomunicaciones constituyen un medio necesario en nuestra organización, ya que la operación y la prestación de los servicios dependen en gran medida de la calidad de la red de telecomunicaciones que la soporta. Además, debido a su complejidad y altos costos, es un elemento altamente crítico que debe poseer la estructura y configuración adecuadas, con los controles y las seguridades necesarias.

3. TELECOMUNICACIONES



4. BASES DE DATOS

Objetivo Detectar las debilidades y comunicar las oportunidades de mejoramiento que permitan obtener un ambiente de control de alta calidad en las diferentes bases de datos.



Alcance y justificación La información se ha convertido en el recurso más valioso que puede poseer una organización, de ella depende en gran medida su permanencia en el ámbito de los negocios. Es necesario entonces que la información almacenada en las bases de datos cumpla con las características de integridad, disponibilidad y confidencialidad, de tal manera que pueda servir oportunamente a los propósitos para los cuales se tiene.

4. BASES DE DATOS



5. PROCESAMIENTO DE DATOS

Objetivo Comunicar las oportunidades de mejoramiento en la gestión del procesamiento electrónico de datos para lograr un ambiente de control de alta calidad.



Alcance y justificación El área de Procesamiento de Datos es un componente vital dentro de la estructura del ambiente tecnológico de la organización. Debe garantizarse su operación permanente, con los controles y niveles de seguridad adecuados, acordes con la inversión y la importancia que tiene para la organización.

5. PROCESAMIENTO DE DATOS



6. Desarrollo de sistemas

Objetivo Comunicar las oportunidades de mejoramiento en la gestión de desarrollo de aplicaciones sistematizadas para lograr un ambiente de control de alta calidad.



Alcance y justificación Las áreas de Desarrollo de Sistemas se han convertido en grandes pilares que soportan el crecimiento de las organizaciones, debido a la introducción de nuevas tecnologías y herramientas, que en nuestro caso no solamente apoyan las labores operativas y administrativas, sino que son fundamentales para la prestación del servicio. Por esto, es necesario que el proceso de desarrollo, interno o externo, cuente con los procedimientos de control adecuados.

6. Desarrollo de sistemas



7. Proyectos de sistematización

Objetivo Asesorar y evaluar La gestión del proyecto y el sistema de control en el aplicativo




Objetivo Asesorar y evaluar en: El impacto del sistema de información en la organización. El ambiente de control del sistema de información. La auditabilidad del sistema de información. La confiabilidad y cumplimiento de la metodología empleada. La adecuada documentación del proyecto. Cumplimiento del plan establecido. La asignación clara de tareas y responsables en cada una de las etapas.



Alcance y justificación

La evolución de los negocios y las necesidades cambiantes de la organización y de sus clientes, condicionan el surgimiento de nuevos proyectos, muchos de los cuales involucran un alto grado de automatización. Es en este tipo de proyectos donde la Auditoría de Sistemas deberá participar cumpliendo un papel proactivo y preventivo, durante cada una de las etapas del proyecto, para contribuir a la obtención de un producto final de alta calidad.




8. SOPORTE A LAS DEMAS AREAS DE AUDITORIA

Objetivo Apoyar a las demás áreas de auditoría, en la ejecución eficiente de sus procesos. Mediante la automatización de los procesos de Auditoría




La evolución de la Auditoría, con su visión futurista y la incorporación de nuevas y mejores prácticas, exije la utilización de herramientas automatizadas que faciliten la manipulación de información y hagan mas eficiente la realización del trabajo, permitiendo ser mas oportunos en la detección de hechos anormales y en la comunicación de las oportunidades de mejoramiento.




Asesorar a las demás Auditorías en la definición de requerimientos para herramientas sistematizadas.

Evaluar los requerimientos y analizar la factibilidad de desarrollar las herramientas requeridas o adquirirlas en el mercado.

Se cubren los siguientes aspectos:




Desarrollar o asesorar en la adquisición de las herramientas necesarias.

Implantar y mantener las herramientas desarrolladas.

Capacitar y entrenar a los usuarios en el uso de las herramientas desarrolladas.

Se cubren los siguientes aspectos:




9. EVALUACIÓN A LA GESTION DE TECNOLOGIA

Objetivo Evaluar el proceso de Gestión de Tecnología de Información para determinar la efectividad de esta




Un elemento crítico, es la administración efectiva de la información y de la Tecnología (TI) relacionada. Esta criticidad surge de:La creciente dependencia en información y en los sistemasLa escala y el costo de las inversiones en información y en tecnología de información El potencial que tienen las tecnologías para cambiar radicalmente las organizacionesLa información y la tecnología que la soporta la empresa, y que en muchas representa los activos mas valiosos .

9. EVALUACIÓN A LA GESTION DE TECNOLOGIA



Cada organización independiente de su tamaño o de la industria dentro de la cual opera, necesita cumplir con un número de requisitos del gobierno y externos relacionados con el uso y control de la tecnología y la información.

LEYES Y REGULACIONES

3. NORMAS


El Auditor de Sistemas debe:Identificar las normas y leyes relacionadas con:

Practicas y controles de sistemasProtección de activos informáticosOrganización de servicios informáticos.

Documentar las leyes y regulaciones pertinentes.

Identificar si la gerencia ha tomado en consideración estos requisitos.

Revisar los procedimientos


3. NORMAS


El marco de estándares de auditoria de sistemas ISACA incluye:

ESTANDARES Son requisitos obligatorios par Auditoria

DIRECTRICES Guía para aplicar los estándares

PROCEDIMIENTOS Ejemplos de los procedimientos que debe seguir un auditor no son requisitos, manera de cumplir los estándares

CODIGO DE ETICA


3. NORMAS


ESTANDARES 010 Contrato de Auditoria010.010 Responsabilidad y autoridad (debe estar documentadas mediante contrato o carta de compromiso de auditoria)

020 Independencia020.010 Independencia profesional (independiente del auditado en actitud y apariencia)020.020 Relación con la Organización (independencia en estructura)

3. NORMAS


ESTANDARES 030 Ética profesional y Estándares030.010 Código de ética profesional (debe acatar el código de ética de la asociación)030.020 Debido cuidado profesional y observar los estándares.

040 Competencia040.010 Destrezas y Conocimientos (ser competente,habilidades, destrezas y conocimiento)040.020 Educación profesional continua (mantener competencias con educación continua)

3. NORMAS


ESTANDARES 050 Planificación050.010 Planeación de la Auditoría (planificar el trabajo para cumplir objetivos de auditoria y estándares profesionales)

060Realizacion del Trabajo de auditoria060.010 Supervisión. El personal de auditoria debe estar supervisado.060.020 Evidencia (suficientes, confiables, relevantes y útiles)

3. NORMAS


ESTANDARES 070 Reporte070.010 Contenido y forma de reporte (forma apropiada, a destinatarios que correspondan que incluya alcance, objetivo, periodo abarcado, identificar la organización, destinatarios, y restricciones sobre circulación, establecer hallazgos, conclusiones y recomendaciones

080 Seguimiento a actividades080.010 Seguimiento (Información pertinentes sobre hallazgos, conclusiones y recomendaciones anteriores para determinar si se han implementado)

3. NORMAS


DIRECTRICESEs información adicional sobre como cumplir con los Estándares. El auditor de sistemas debe:• Considerarlos al determinar como implementar los estandares•Usar su juicio profesional al aplicarlos.•Ser capaz de justificar cualquier desviaciones de los mismos

•Las directrices estan en www.isaca.org/stand1.htm.

3. NORMAS


CODIGO DE ETICAISACA establece el código de ética profesional •Respaldarán el establecimiento y cumplimiento de estándares.•Servirán en el interés de sus empleadores, accionistas, clientes y público en general en forma diligente, leal y honesta y no participara a sabiendas en ninguna actividad ilegal o indebida.•Mantendrán la confidencialidad de la información , no será usada para beneficio personal, ni revelado a terceros que no corresponda.•Llevarán a cabo sus tareas en una forma independiente y objetivo y evitará actividades que amenacen su independencia

3. NORMAS


CODIGO DE ETICAISACA establece el código de ética profesional •Mantendrán la competencia, mediante su participación en actividades de desarrollo profesional.•Usaran el debido cuidado para obtener y documentar material suficiente de hechos sobre los cuales se basan sus conclusiones y recomendaciones•Informarán a las partes pertinentes sobre los resultados del trabajo.•Apoyarán la educación de la administración, de los clientes y del público en general para aumentar comprensión de estos de la auditoria y de los sistemas de información•Mantendrán estándares elevados de conducta y de carácter en actividades profesionales y personales.

3. NORMAS


Se debe contar con herramientas, hardware y software necesario para realizar la labor•Software administrativo•Software general •Software especializado de auditoria•Hardware

4. TECNOLOGIA


1.INDICADORES DE EFICIENCIA DE LA AUDITORIADE SISTEMA

1. N° de participaciones en proyectos tecnológicos/ N°. de proyectos tecnologícos de mayor impacto

2. N° de trabajos realizados / N° de trabajos planeados

3. N° de recomendaciones adoptadas dentro del plazo / N°. de recomendaciones dadas

4. N° de horas ejecutadas / N° horas planeadas según estandar

5. N° de empleados capacitados por Auditoría /N° de empleados presupuestados por capacitar

6. N° de especialistas en temas auditados/N° de auditores

7. Seguimientos realizados / trabajos realizados


2. Evaluacion de expectativas

Revisión de lo que los auditados esperan del trabajo de auditoría, se hace antes de iniciar cada trabajo y también de manera general con alguna frecuencia

3. Evaluacion de satisfaccion

Medición del servicio de auditoria recibido, por parte de los auditados.Se puede realizar después de cada trabajo o con alguna periodicidad definida


4. Supervisión

Revisión del trabajo del analista por parte del Gerente de Auditoría o de un Coordinador

5. Revision de resultados

Revision del informe preliminar con los auditados para disminuir los riesgos de auditoria y evaluar la calidad del trabajo realizado



1. Ajustar procesos y procedimientos. El dinamismo propio de la tecnologia exige que los procesos y procedimientos de auditoría de sistemas se estén revaluando permanentemente, es necesario por tal motivo tener dentro de la planeación recursos para esta actividad


2. Seguimiento a recomendaciones y planes de acción. La efectividad de la labor realizada por la auditoria esta en buena medida determinada por la implementación de las recomendaciones, para lograr este es fundamental contar con recurso para realizar seguimiento a los trabajos realizados

Documents

Auditoria de TI PHVA