El Auditor de Sistemas de Información1Copyright 2008 Tecnotrend SC El Auditor de Sistemas de Información

2Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información3Copyright 2008 Tecnotrend SC 1 Temas a Cubrir El Auditor de Sistemas de Información Políticas, estándares, lineamientos y procedimientos Auditor VS Auditado El Auditor es un puesto ejecutivo Entendiendo la Estructura Organizacional de la Corporación Administrando Proyectos

El Auditor de Sistemas de Información4Copyright 2008 Tecnotrend SC 1.1 El Auditor de Sistemas de Información Entendiendo la Demanda de Auditorías de los Sistemas de Información Activo Amenaza Vulnerabilidad El Auditor debe verificar que los activos, amenazas, y vulnerabilidades estan identificadas y administradas apropiadamente para reducir el riesgo

El Auditor de Sistemas de Información5Copyright 2008 Tecnotrend SC 1.2 Políticas, estándares, lineamientos y procedimientos Código de Ética profesional ISACA Prevención de Conflictos Éticos Propósito de una Auditoría Tipos Básicos de Auditoría Responsabilidad del Auditor Auditorías VS Valoraciones

El Auditor de Sistemas de Información6Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información7Copyright 2008 Tecnotrend SC Código de Ética profesional ISACA Soportar la implementación de políticas, estándares y lineamientos Realizar sus actividades con objetividad y cuidado profesional Servir los intereses de los interesados de manera honesta y legal Mantener la privacidad y confidencialidad de la información Entregar resultados precisos sobre todos los hechos relevantes

El Auditor de Sistemas de Información8Copyright 2008 Tecnotrend SC Prevención de Conflictos Éticos Violaciones de Derechos de Autor Los culpables obtienen amnistía Sigue tus propias reglas. No falles Recuerda a todos los encarcelados NO violes la ley Reporta las violaciones rápido (el primero obtiene amnistía)

El Auditor de Sistemas de Información9Copyright 2008 Tecnotrend SC Propósito de una Auditoría Una auditoría es sólo una revisión de la historia pasada Se espera que el auditor siga un proceso definido para la auditoría, establezca un criterio para la auditoría, recopile evidencia significativa, y presente una opinión independiente sobre los controles internos.

El Auditor de Sistemas de Información10Copyright 2008 Tecnotrend SC Tipos Básicos de Auditoría Auditorías Internas y Valoraciones Auditorías Internas Auditorías Independientes

El Auditor de Sistemas de Información11Copyright 2008 Tecnotrend SC Tipos Básicos de Auditoría (cont.) Auditorías de Productos Auditorías Financieras Auditorías Operativas Auditorías Integradas Auditorías de Cumplimiento (de normas) Auditorías Administrativas Acreditación o certificación de Sistemas de Información

El Auditor de Sistemas de Información12Copyright 2008 Tecnotrend SC Responsabilidad del Auditor Debe cumplir una relación fiduciaria Una Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interés El Auditor NO debe anteponer nunca los intereses del auditado a la verdad

El Auditor de Sistemas de Información13Copyright 2008 Tecnotrend SC Auditorías VS Valoraciones Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad) Valoraciones (Assessment): Menos formal que la Auditoría. Su principal función es para que el personal pueda trabajar para mejorar.

El Auditor de Sistemas de Información14Copyright 2008 Tecnotrend SC 1.3 Auditor VS Auditado Aplicación de una prueba de Independencia Estándares de Auditorías Estándar de Auditoría de Sistemas de Información ISACA Regulaciones Específicas que definen Mejores Prácticas

El Auditor de Sistemas de Información15Copyright 2008 Tecnotrend SC Aplicación de una prueba de Independencia ¿Audita algo que Usted desarrolló? ¿Está libre de influencias del auditado que puedan afectar su juicio? ¿Tiene alguna relación de negocios o financiera con el auditado? ¿Su posición en la empresa es bajo las órdenes del área auditada? ¿Recibe regalos o favores especiales?

El Auditor de Sistemas de Información16Copyright 2008 Tecnotrend SC Estándares de Auditorías American Institute of Certified Public Accountants (AICPA) Financial Accounting Standards Board (FASB) Generally Accepted Accounting Principles (GAAP). Committee of Sponsoring Organizations of the Treadway Commission (COSO), Public Company Accounting Oversight Board (PCAOB) Organization for Economic Cooperation and Development (OECD) U.S. National Institute of Standards and Technology (NIST) U.S. Federal Information Security Management Act (FISMA) IS Audit and Control Association (ISACA) Basel Accord Standard II (Basel II)

El Auditor de Sistemas de Información17Copyright 2008 Tecnotrend SC TAREA # 1 Investigar brevemente los Organismos de Estándares anteriores

El Auditor de Sistemas de Información18Copyright 2008 Tecnotrend SC Estándares de Auditoría de Sistemas de Información ISACA S1 Audit Charter S2 Independence S3 Professional Ethics and Standards of Conduct S4 Professional Competence S5 Planning S6 Performance of Audit Work S7 Audit Reporting S8 Follow-up Activities S9 Irregularities and Illegal Acts S10 IT Governance S11 Use of Risk Analysis in Audit Planning S12 Audit Materiality S13 Using the Work of Other People S14 Proper Audit Evidence S15 Effective IT Controls S16 Electronic Commerce Controls

El Auditor de Sistemas de Información19Copyright 2008 Tecnotrend SC Regulaciones Específicas que definen Mejores Prácticas

El Auditor de Sistemas de Información20Copyright 2008 Tecnotrend SC 1.4 El Auditor es un puesto ejecutivo La importancia de la confidencialidad del Auditor Conservar la Documentación de la Auditoría Proveer buena comunicación e integración Responsabilidades de Liderazgo Planear y fijar prioridades Tratar con conflictos y fallas El valor de Auditores Internos y Externos Entender la regla de la Evidencia Identificar a quién se necesita entrevistar

El Auditor de Sistemas de Información21Copyright 2008 Tecnotrend SC La importancia de la confidencialidad del Auditor La información sensible no debe salir de las oficinas El Auditor debe pedir consejo legal sobre las leyes de confidencialidad Los “papeles de trabajo” deben estar protegidos con control de acceso y respaldos Considerar seguridad en laptops Se crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente

El Auditor de Sistemas de Información22Copyright 2008 Tecnotrend SC Conservar la Documentación de la Auditoría En muchos casos se debe retener la documentación por 7 años Durante la planeación de la auditoría se debe saber si el período es mayor o menor Si el cliente pierde la documentación es su problema

El Auditor de Sistemas de Información23Copyright 2008 Tecnotrend SC Proveer buena comunicación e integración Establecer respeto mutuo No culpar a un individuo Apegarse a los hechos

El Auditor de Sistemas de Información24Copyright 2008 Tecnotrend SC Responsabilidades de Liderazgo Su tipo de liderazgo debe identificar cuando sus direcciones son mandatorias o sujetas a comentarios El líder debe desarrollar objetivos específicos para el éxito y compartir esos planes

El Auditor de Sistemas de Información25Copyright 2008 Tecnotrend SC Planear y fijar prioridades Una buena auditoría es el resultado de una planeación apropiada Responsabilidades del Auditor durante la fase de Planeación: Entender el negocio del cliente Respetar los ciclos del negocio (Anuales, semestrales, trimestrales) Establecer prioridades Seleccionar una estrategia con base en el riesgo y la información conocida Encontrar a la gente para tu equipo de auditoría Coordinar la logística de recursos y lugar de trabajo

El Auditor de Sistemas de Información26Copyright 2008 Tecnotrend SC Responsabilidades del Auditor durante la fase de Planeación: Solicitar documentación Programar el tiempo y disponibilidad de la gente Coordinar viajes y alojamiento Planear retrasos

El Auditor de Sistemas de Información27Copyright 2008 Tecnotrend SC Tratar con conflictos y fallas Cierto nivel de conflicto es inevitable y las fallas son siempre posibles

El Auditor de Sistemas de Información28Copyright 2008 Tecnotrend SC El valor de Auditores Internos y Externos A los Auditores Externos se les paga para ser revisores de una organización Los Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa

El Auditor de Sistemas de Información29Copyright 2008 Tecnotrend SC Entender la regla de la Evidencia Sin evidencia una reclamación no se puede verificar. La evidencia soporta la reclamación No se puede formular una opinión cuando falta evidencia en cantidad, relevancia y confiabilidad aceptables

El Auditor de Sistemas de Información30Copyright 2008 Tecnotrend SC Identificar a quién se necesita entrevistar Es importante reconocer a quién entrevistar y durante cuánto tiempo Prestar atención al costo del tiempo de los demás

El Auditor de Sistemas de Información31Copyright 2008 Tecnotrend SC 1.5 Entendiendo la Estructura Organizacional de la Corporación Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización

El Auditor de Sistemas de Información32Copyright 2008 Tecnotrend SC Identificando Roles en la Estructura Organizacional de una Corporación

El Auditor de Sistemas de Información33Copyright 2008 Tecnotrend SC Identificando Roles en la Estructura Organizacional de una Firma de Consultoría

El Auditor de Sistemas de Información34Copyright 2008 Tecnotrend SC 1.6 Administrando Proyectos ¿Qué es un Proyecto? ¿Qué es la Gestión de Proyectos? Requisitos de un Project Manager Autoridad del Project Manager Referencia rápida de la Gestión de Proyectos

El Auditor de Sistemas de Información35Copyright 2008 Tecnotrend SC ¿Qué es un Proyecto? Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. Temporal Productos, servicios o resultados únicos Elaboración gradual

El Auditor de Sistemas de Información36Copyright 2008 Tecnotrend SC ¿Qué es la Gestión ed Proyectos? La Gestión de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas para realizar las actividades necesarias para los requerimiento del proyecto

El Auditor de Sistemas de Información37Copyright 2008 Tecnotrend SC Requisitos de un Project Manager Conocimientos y habilidades de gestión de proyectos Conocimientos y habilidades de Administración general Habilidades interpersonales Conocimientos y habilidades en el área de aplicación

El Auditor de Sistemas de Información38Copyright 2008 Tecnotrend SC Autoridad del Project Manager

El Auditor de Sistemas de Información39Copyright 2008 Tecnotrend SC Referencia rápida de la Gestión de Proyectos Gestión de la Integración del Proyecto Gestión del Alcance del Proyecto Gestión del Tiempo del Proyecto Gestión de Costes del Proyecto Gestión de la Calidad del Proyecto Gestión de los Recursos Humanos del Proyecto Gestión de las Comunicaciones del Proyecto Gestión del Riesgo del Proyecto Gestión de las Adquisiciones del Proyecto

El Auditor de Sistemas de Información40Copyright 2008 Tecnotrend SC Gestión de La Integración del Proyecto Incluye los procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar los distintos procesos y actividades de dirección de proyectos

El Auditor de Sistemas de Información41Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información42Copyright 2008 Tecnotrend SC Gestión del Alcance del Proyecto Incluye los procesos necesarios para asegurarse que el proyecto incluya todo el trabajo requerido, y sólo el trabajo requerido, para completar el proyecto satisfactoriamente

El Auditor de Sistemas de Información43Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información44Copyright 2008 Tecnotrend SC Gestión del Tiempo del Proyecto Incluye los procesos necesarios para lograr la conclusión del proyecto a tiempo

El Auditor de Sistemas de Información45Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información46Copyright 2008 Tecnotrend SC Gestión de Costes del Proyecto Incluye los procesos involucrados en la planificación, estimación, preparación del presupuesto y control de costes de forma que el proyecto se pueda completar dentro del presupuesto aprobado

El Auditor de Sistemas de Información47Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información48Copyright 2008 Tecnotrend SC Gestión de la Calidad del Proyecto Incluyen todas las actividades de la organización ejecutante que determinan las políticas, los objetivos y las responsabilidades relativos a la calidad de modo que el proyecto satisfaga las necesidades por las cuales se emprendió

El Auditor de Sistemas de Información49Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información50Copyright 2008 Tecnotrend SC Gestión de los Recursos Humanos del Proyecto Incluye los procesos que organizan y dirigen el equipo del proyecto. El equipo del proyecto está compuesto por las personas a quienes se les han asignado roles y responsabilidades para concluir el proyecto

El Auditor de Sistemas de Información51Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información52Copyright 2008 Tecnotrend SC Gestión de las Comunicaciones del Proyecto Incluye los procesos necesarios para asegurar la generación, recogida, distribución, almacenamiento, recuperación y destino final de la información del proyecto en tiempo y forma

El Auditor de Sistemas de Información53Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información54Copyright 2008 Tecnotrend SC Gestión del Riesgo del Proyecto Incluye los procesos relacionados con la planificación de la gestión de riesgos, la identificación y el análisis de riesgos, las respuestas a los riesgos, y el seguimiento y control de riesgos de un proyecto

El Auditor de Sistemas de Información55Copyright 2008 Tecnotrend SC

El Auditor de Sistemas de Información56Copyright 2008 Tecnotrend SC Gestión de las Adquisiciones del Proyecto Incluye los procesos para comprar o adquirir los productos, servicios o resultados necesarios fuera del equipo del proyecto para realizar el trabajo

El Auditor de Sistemas de Información57Copyright 2008 Tecnotrend SC