El Auditor de Sistemas de Información1Copyright 2008 Tecnotrend SC El Auditor de Sistemas de...

El Auditor de Sistemas de Información 1 Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información


1 Temas a Cubrir

El Auditor de Sistemas de InformaciónPolíticas, estándares, lineamientos y procedimientosAuditor VS AuditadoEl Auditor es un puesto ejecutivoEntendiendo la Estructura Organizacional de la CorporaciónAdministrando Proyectos


1.1 El Auditor de Sistemas de Información

Entendiendo la Demanda de Auditorías de los Sistemas de InformaciónActivoAmenazaVulnerabilidadEl Auditor debe verificar que los activos, amenazas, y vulnerabilidades estan identificadas y administradas apropiadamente para reducir el riesgo


1.2 Políticas, estándares, lineamientos y procedimientos

Código de Ética profesional ISACAPrevención de Conflictos ÉticosPropósito de una AuditoríaTipos Básicos de AuditoríaResponsabilidad del AuditorAuditorías VS Valoraciones


1.2.1 Código de Ética profesional ISACA

Soportar la implementación de políticas, estándares y lineamientosRealizar sus actividades con objetividad y cuidado profesionalServir los intereses de los interesados de manera honesta y legalMantener la privacidad y confidencialidad de la informaciónEntregar resultados precisos sobre todos los hechos relevantes


1.2.2 Prevención de Conflictos Éticos

Violaciones de Derechos de AutorLos culpables obtienen amnistíaSigue tus propias reglas. No fallesRecuerda a todos los encarceladosNO violes la leyReporta las violaciones rápido (el primero obtiene amnistía)


1.2.3 Propósito de una Auditoría

Una auditoría es sólo una revisión de la historia pasadaSe espera que el auditor siga un proceso definido para la auditoría, establezca un criterio para la auditoría, recopile evidencia significativa, y presente una opinión independiente sobre los controles internos.


1.2.4 Tipos Básicos de Auditoría

Auditorías Internas y ValoracionesAuditorías InternasAuditorías Independientes


1.2.4 Tipos Básicos de Auditoría (cont.)

Auditorías de ProductosAuditorías FinancierasAuditorías OperativasAuditorías IntegradasAuditorías de Cumplimiento (de normas)Auditorías AdministrativasAcreditación o certificación de Sistemas de Información


1.2.5 Responsabilidad del Auditor

Debe cumplir una relación fiduciariaUna Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interésEl Auditor NO debe anteponer nunca los intereses del auditado a la verdad


1.2.6 Auditorías VS Valoraciones

Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad)Valoraciones (Assessment): Menos formal que la Auditoría. Su principal función es para que el personal pueda trabajar para mejorar.


1.3 Auditor VS Auditado

Aplicación de una prueba de IndependenciaEstándares de AuditoríasEstándar de Auditoría de Sistemas de Información ISACARegulaciones Específicas que definen Mejores Prácticas


1.3.1 Aplicación de una prueba de Independencia

¿Audita algo que Usted desarrolló?¿Está libre de influencias del auditado que puedan afectar su juicio?¿Tiene alguna relación de negocios o financiera con el auditado?¿Su posición en la empresa es bajo las órdenes del área auditada?¿Recibe regalos o favores especiales?


1.3.2 Estándares de Auditorías

American Institute of Certified Public Accountants (AICPA)Financial Accounting Standards Board (FASB)Generally Accepted Accounting Principles (GAAP).Committee of Sponsoring Organizations of the Treadway Commission (COSO),Public Company Accounting Oversight Board (PCAOB)Organization for Economic Cooperation and Development (OECD)U.S. National Institute of Standards and Technology (NIST)U.S. Federal Information Security Management Act (FISMA)IS Audit and Control Association (ISACA)Basel Accord Standard II (Basel II)


TAREA # 1Investigar brevemente los Organismos de Estándares anteriores


1.3.3 Estándares de Auditoría de Sistemas de Información ISACA

S1 Audit CharterS2 IndependenceS3 Professional Ethics and Standards of ConductS4 Professional CompetenceS5 Planning S6 Performance of Audit Work S7 Audit Reporting S8 Follow-up Activities S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Analysis in Audit Planning S12 Audit Materiality S13 Using the Work of Other People S14 Proper Audit Evidence S15 Effective IT Controls S16 Electronic Commerce Controls


1.3.4 Regulaciones Específicas que definen Mejores Prácticas


1.4 El Auditor es un puesto ejecutivo

La importancia de la confidencialidad del AuditorConservar la Documentación de la AuditoríaProveer buena comunicación e integraciónResponsabilidades de LiderazgoPlanear y fijar prioridadesTratar con conflictos y fallasEl valor de Auditores Internos y ExternosEntender la regla de la EvidenciaIdentificar a quién se necesita entrevistar


1.4.1 La importancia de la confidencialidad del Auditor

La información sensible no debe salir de las oficinasEl Auditor debe pedir consejo legal sobre las leyes de confidencialidadLos “papeles de trabajo” deben estar protegidos con control de acceso y respaldosConsiderar seguridad en laptopsSe crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente


1.4.2 Conservar la Documentación de la Auditoría

En muchos casos se debe retener la documentación por 7 añosDurante la planeación de la auditoría se debe saber si el período es mayor o menorSi el cliente pierde la documentación es su problema


1.4.3 Proveer buena comunicación e integración

Establecer respeto mutuoNo culpar a un individuoApegarse a los hechos


1.4.4 Responsabilidades de Liderazgo

Su tipo de liderazgo debe identificar cuando sus direcciones son mandatorias o sujetas a comentariosEl líder debe desarrollar objetivos específicos para el éxito y compartir esos planes


1.4.5 Planear y fijar prioridades

Una buena auditoría es el resultado de una planeación apropiadaResponsabilidades del Auditor durante la fase de Planeación:

Entender el negocio del cliente Respetar los ciclos del negocio (Anuales,

semestrales, trimestrales) Establecer prioridades Seleccionar una estrategia con base en el riesgo y la

información conocida Encontrar a la gente para tu equipo de auditoría Coordinar la logística de recursos y lugar de trabajo


Responsabilidades del Auditor durante la fase de Planeación: Solicitar documentación Programar el tiempo y disponibilidad

de la gente Coordinar viajes y alojamiento Planear retrasos


1.4.6 Tratar con conflictos y fallas

Cierto nivel de conflicto es inevitable y las fallas son siempre posibles


1.4.7 El valor de Auditores Internos y Externos

A los Auditores Externos se les paga para ser revisores de una organizaciónLos Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa


1.4.8 Entender la regla de la Evidencia

Sin evidencia una reclamación no se puede verificar. La evidencia soporta la reclamaciónNo se puede formular una opinión cuando falta evidencia en cantidad, relevancia y confiabilidad aceptables


1.4.9 Identificar a quién se necesita entrevistar

Es importante reconocer a quién entrevistar y durante cuánto tiempoPrestar atención al costo del tiempo de los demás


1.5 Entendiendo la Estructura Organizacional de la Corporación

Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización


1.5.1 Identificando Roles en la Estructura Organizacional de una Corporación


1.5.2 Identificando Roles en la Estructura Organizacional de una Firma de Consultoría


1.6 Administrando Proyectos

¿Qué es un Proyecto?¿Qué es la Gestión de Proyectos?Requisitos de un Project ManagerAutoridad del Project ManagerReferencia rápida de la Gestión de Proyectos


1.6.1 ¿Qué es un Proyecto?

Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. Temporal Productos, servicios o resultados

únicos Elaboración gradual


1.6.2 ¿Qué es la Gestión ed Proyectos?

La Gestión de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas para realizar las actividades necesarias para los requerimiento del proyecto


1.6.3 Requisitos de un Project Manager

Conocimientos y habilidades de gestión de proyectosConocimientos y habilidades de Administración generalHabilidades interpersonalesConocimientos y habilidades en el área de aplicación


1.6.4 Autoridad del Project Manager


1.6.5 Referencia rápida de la Gestión de Proyectos

Gestión de la Integración del ProyectoGestión del Alcance del ProyectoGestión del Tiempo del ProyectoGestión de Costes del ProyectoGestión de la Calidad del ProyectoGestión de los Recursos Humanos del ProyectoGestión de las Comunicaciones del ProyectoGestión del Riesgo del ProyectoGestión de las Adquisiciones del Proyecto


1.6.5.1 Gestión de La Integración del Proyecto

Incluye los procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar los distintos procesos y actividades de dirección de proyectos


1.6.5.2 Gestión del Alcance del Proyecto

Incluye los procesos necesarios para asegurarse que el proyecto incluya todo el trabajo requerido, y sólo el trabajo requerido, para completar el proyecto satisfactoriamente


1.6.5.3 Gestión del Tiempo del Proyecto

Incluye los procesos necesarios para lograr la conclusión del proyecto a tiempo


1.6.5.4 Gestión de Costes del Proyecto

Incluye los procesos involucrados en la planificación, estimación, preparación del presupuesto y control de costes de forma que el proyecto se pueda completar dentro del presupuesto aprobado


1.6.5.5 Gestión de la Calidad del Proyecto

Incluyen todas las actividades de la organización ejecutante que determinan las políticas, los objetivos y las responsabilidades relativos a la calidad de modo que el proyecto satisfaga las necesidades por las cuales se emprendió


1.6.5.6 Gestión de los Recursos Humanos del Proyecto

Incluye los procesos que organizan y dirigen el equipo del proyecto. El equipo del proyecto está compuesto por las personas a quienes se les han asignado roles y responsabilidades para concluir el proyecto


1.6.5.7 Gestión de las Comunicaciones del Proyecto

Incluye los procesos necesarios para asegurar la generación, recogida, distribución, almacenamiento, recuperación y destino final de la información del proyecto en tiempo y forma


1.6.5.8 Gestión del Riesgo del Proyecto

Incluye los procesos relacionados con la planificación de la gestión de riesgos, la identificación y el análisis de riesgos, las respuestas a los riesgos, y el seguimiento y control de riesgos de un proyecto


1.6.5.9 Gestión de las Adquisiciones del Proyecto

Incluye los procesos para comprar o adquirir los productos, servicios o resultados necesarios fuera del equipo del proyecto para realizar el trabajo

El Auditor de Sistemas de Información1Copyright 2008 Tecnotrend SC El Auditor de Sistemas de...

Documents

Transcript of El Auditor de Sistemas de Información1Copyright 2008 Tecnotrend SC El Auditor de Sistemas de...