Unidad 6: Auditoría de los Sistemas de Información

Slides:



Advertisements
Presentaciones similares
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Advertisements

DE DESARROLLO INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Universidad Nacional de Ingeniería UNI-Norte
INTERPRETACIÓN DE NORMAS ISO
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
AUDITORIA DE LA EXPLOTACIÓN
Diana Carolina Rojas Alarcón María Alejandra Hernández
REQUISTOS DE LA CERTIFICACIÓN.
El Proceso de la Auditoría - ISO
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas
Auditoría de los Sistemas de Informacion SIS-303
Evaluación de Productos
Eveline Estrella Zambrano Sara Alvear Montesdeoca
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos P
GESTION NIVELES DE SERVICIO.
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN
UNA HERRAMIENTA PARA AGREGAR VALOR
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
MODELO ESTANDAR DE CONTROL INTERNO
Expositor: CPC. Jesús A. Chirinos Bancayán
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
AUDITORIAS DE SEGURIDAD
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
COBIT 4.1 SISTESEG.
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Plan de Sistemas de Información (PSI)
CONTROL INTERNO CONTABLE CONTADURÍA GENERAL DE LA NACIÓN
Programa de Auditoría Interna
SGSI: Sistemas de Gestión de la Seguridad de la Información
NORMAS INTERNACIONALES DE AUDITORIA
OBJETIVOS DE CONTROL INTERNO APLICABLES A LA AUDITORIA EN INFORMATICA
Proveedores de servicios externos
Ciclo de vida de un sistema
Metodologías Lsi. Katia Tapia A., Mae.
AUDITORIA INFORMATICA
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Introducción al proceso de verificación y validación.
Profesora: Kinian Ojito Ramos
Procesos itil Equipo 8.
(Control Objectives for Information and related Technology)
Auditoria Computacional
REVISION Y AUDITORIA.
Auditoría de Sistemas.
Aplicar los conceptos y las herramientas para la administración de la calidad y gestión de riesgos del plan del proyecto. MTRA. VERÓNICA NOHEMI TAVERNIER.
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
LA AUDITORIA COMO ESPECIALIDAD PROFESIONAL “ ¿ Qué es la auditoría ? Puedo trabajar de auditor ?” UNL. FCE. Cátedra Auditoría. Unidad I. Temas A y B.
Universidad Latina CONTROL INTERNO.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Esquema Nacional de Seguridad
VI. EVALUACIÓN DE LOS RECURSOS
SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001: AUDITORÍA INTERNA
Ingeniería del Software
OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )
Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.
Verificación y Validación del Software
Entregables del Proyecto
Transcripción de la presentación:

Unidad 6: Auditoría de los Sistemas de Información Sistemas de Información para la Gestión / Informática Unidad 6: Auditoría de los Sistemas de Información

Auditoría: Conceptos Control Interno Conjunto de métodos coordinados y medidas adoptadas dentro de una organización con el fin de: Salvaguardar activos, Asegurar la confiabilidad y corrección de los datos contables y extracontables Promover la eficacia y eficiencia de las operaciones Promover la adhesión a las políticas vigentes

Auditoría: Conceptos El Control Interno se instrumenta a partir de: Funciones Preventivas Políticas Gerenciales Misiones y Funciones Esquemas de organización Normas y procedimientos Políticas de personal Etc. Funciones de Control/Verificación La función de línea, en todos sus niveles (control operativo) La función staff (auditoría)

Componentes de un Sistema de Control Auditoría: Conceptos Componentes de un Sistema de Control RT7 CECyT Sistema Operante Característica o Condición Controlada Sensor Grupo Activante Grupo de Control

Auditoría Auditoría: Conceptos Es una función de control independiente del sistema controlado, que en forma sistemática y organizada debe: Comparar la característica o condición controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor. Determinar los desvíos, e Informar a quien ordena o contrata la auditoría, que jerárquicamente debe estar por encima del sistema auditado.

Concepto Moderno de Auditoría Auditoría: Conceptos Concepto Moderno de Auditoría La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio

Auditoría de Sistemas de Información Concepto Proceso formal llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

Auditoría de Sistemas de Información: Conceptos Objeto de la Auditoría de Sist.de Información El ámbito de la ASI se refiere al entorno informático correspondiendo entenderse por tal a todo lo que conforma: Tecnología Informática (Oferta) Hardware y Software Tecnología de Comunicaciones y Base de datos Metodología para la construcción de aplicaciones. A P L I C A C I O N E S Sistemas de Información (Demanda) Necesidades de Información Requerimientos del Negocio

Auditoría de Sistemas de Información: Conceptos Principales Areas de Actividad de la A.S.I. Auditoría de la dirección (Plan Estratégico de Sistemas) Auditoría del desarrollo (gestión de proyecto) Auditoría de la Adquisición Auditoría Seguridad (Seguridad Física, Seguridad Lógica, Evaluación de Riesgos, Plan de Contingencias) Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)

Auditoría de Sistemas de Información: Conceptos Principales Funciones de la A.S.I. Evaluación y verificación de controles y procedimientos relacionados con la función de informática Verificación del uso eficiente de los SI. Desarrollo de las actividades del área de auditoría informática de acuerdo a estándares normativos. Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del área. Realizar el monitoreo permanente de las actividades del área. Realizar el monitoreo de la seguridad. Monitoreo de la aplicación de procedimientos. Realizar una adecuada información y seguimiento de las observaciones realizadas.

Auditoría de Sistemas de Información: Conceptos Sensor Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el sistema de información. Normas internas: Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogra-mas, flujogramas, organigramas, documentación de sistemas, etc. Normas externas: Profesionales: Informe 6 Area de Auditoría del CECyT: Pautas para el Examen de Estados Contables en un Contexto Computadorizado Organismos de Control: Comunicación A 2659 del Banco Central de la República Argentina Pautas de Control Interno para Sistemas Computadorizados y Tecnología de Información de la SIGEN (Sindicatura Gral.de la Nación) Internacionales C.O.B.I.T Objetivos de control para la información y la tecnología Relacionada, desarrollado por la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de Información.

Auditoría de Sistemas de Información: Conceptos Sensor Criterio del Auditor: Es el menos recomendable y en general el más utilizado. La principal crítica que se le puede hacer como sensor es la falta de objetividad, ya que es la opinión del auditor sobre lo que debería ser, y por lo general suele ser muy discutida, salvo casos de observaciones muy evidentes, o una muy buena fundamentación del criterio utilizado.

Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe 6 CECYT 1 – Introducción: Objetivos y Alcances, Descripción del Ambito Computadorizado Impacto de la Computación en las Actividades de Control 2 - Evaluación de las actividades de control Descripción de los controles Metodología Relevamiento general Relevamiento detallado Evaluación de las actividades relevadas Prueba y evaluación del funcionamiento. Técnicas.

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe 6 CECYT 3 - Determinación de la naturaleza, extensión y oportunidad de los procedimientos a aplicar para obtener elementos de juicio válidos y suficientes Conceptos Generales Calidad de los Controles Posibilidades de Utilizar el Computador Ventajas de Utilizar el Computador 4 – Cuestionario de Actividades de Control de Sistemas Computadorizados Recursos Afectados (Medios físicos, soporte lógico, RRHH, instalaciones, documentación, archivos de datos y programas) Métodos de Operación (en lotes, en línea diferido, en tiempo real, servicio de computación. Desarrollo y Mantenimiento del Sistema

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Control OBjectives for Information and Relatives Technologies - I.S.A.C.A. ( Information System Audit Control Association) Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico.

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Marco Conceptual La información, cumple con los procesos de negocios, siguiendo criterios de: Calidad: Eficacia y Eficiencia Seguridad: Confidencialidad, Integridad y Disponibilidad Confianza: Cumplimiento de disposiciones y confiabilidad. Utilizando los recursos de la tecnología informática: Datos, Aplicaciones, Tecnología, Instalaciones y Personal. Las actividades de los procesos informáticos, se analizan por dominios: Planificación y organización, Adquisición e implementación, Entrega y soporte y Monitoreo.

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Requerimientos de la información del negocio: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: COBIT – Análisis por Dominios

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: COBIT – Análisis por Dominios Planificación y organización: Definir un plan estratégico, Determinar la arquitectura de la información, Definir la dirección tecnológica, Definir la organización y las relaciones, Administrar la inversión, Comunicar los objetivos y la dirección de la gerencia, Administrar los recursos humanos, Asegurar el cumplimiento de los requisitos externos, Evaluar el riesgo, Administrar proyectos Administrar la calidad. Adquisición e implementación: Identificar soluciones, Adquirir y mantener software de aplicaciones, Adquirir y mantener la infraestructura tecnológica, Desarrollar y mantener procedimientos, Instalar y acreditar sistemas, Administrar cambios.

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: COBIT – Análisis por Dominios Entrega y Soporte: Definir niveles de servicio, Administrar servicios de terceros, Administrar la performance y la capacidad, Asegurar un servicio contínuo, Asegurar la seguridad de los sistemas, Identificar y atribuir costos, Educar y capacitar a los usuarios, Administrar la configuración, Administrar problemas e incidentes, Administrar datos, Administrar instalaciones y Administrar operaciones. Monitoreo: Monitorear el proceso, Evaluar el Control Interno, Obtener un aseguramiento independiente y Proveer una auditoría independiente

Análisis de Riesgos Riesgo de Auditoría Es el riesgo que tiene un auditor como consecuencia de no haber detectado durante la revisión practicada las fallas o irregularidades que, al ser conocidas, le hubieran hecho modificar el dictámen del informe y las recomendaciones asociadas. La auditoría debe ser planeada y para ello es imprescindible una debida evaluación y categorización de riesgos para priorizar los casos asignar recursos y aplicar los procedimientos de auditoría más convenientes.

Componentes del riesgo de Auditoría Análisis de Riesgos Componentes del riesgo de Auditoría Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc. Está fuera de poder ser controlado por el auditor como para poder eliminarlo. Riesgo de Control: son los que resultan de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna. Está fuera de poder ser controlado por el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo. Riesgo de Detección: son los que resultan de un deficiente planeamiento y/o ejecución de la auditoría, sea tanto en la evaluación y categorización de los riesgos, como en la selección y/o aplicación de los procedimientos de auditoría. Es del ámbito y tarea exclusiva del auditor.

Evaluación y Categorización del Riesgo Análisis de Riesgos Evaluación y Categorización del Riesgo Es la actividad que tiene como propósito medir el nivel de riesgo que presenta cada caso objeto de auditoría. Es altamente subjetiva. Depende del criterio, capacidad y experiencia del auditor. Constituye la base del plan de actividades, determinando el alcance y oportunidad de la revisión, así como también del procedimiento de auditoría a emplear. Existen métodos para reducir el nivel de subjetividad en la evaluación y categorización de los riesgos. Los métodos establecen pautas y procedimientos para la evaluación.

Metodología de Análisis Análisis de Riesgos Metodología de Análisis Pautas de Nivel Macro Apoyan la fase del planeamiento que hace a un plan global del ámbito informático, determinando los sistemas y/o áreas de mayor riesgo Pautas de Nivel Micro Se orientan a un subsistema o tarea puntual, que debieran mitigar o eliminar los riesgos y determinar los procedimientos de auditoría.

Análisis de Riesgos Nivel Macro Identificar los factores de Riesgo Sistema de Control – Nivel de Sensibilidad - Complejidad – Cambios - Materialidad Definir la importancia de los factores (Apertura en cuanto a parámetros) Puntuación de cada factor (al ser evaluados en sus parámetros) Calcular y Evaluar Factores de Riesgo de cada proyecto de auditoría Determinar las prioridades de los proyectos en base a los riesgos Proyectos priorizados conforme a los resultados obtenidos

Nivel Macro: Factores de Riesgo Análisis de Riesgos Nivel Macro: Factores de Riesgo

Nivel Macro: Factores de Riesgo Análisis de Riesgos Nivel Macro: Factores de Riesgo

Ejemplo Evaluación Factores de Riesgo Análisis de Riesgos Nivel Macro Ejemplo Evaluación Factores de Riesgo

Análisis de Riesgos Nivel Micro La evaluación a nivel Micro se utiliza para: Diseño de controles para los SI Comparar controles que presentan distintos tipos de Software Auditoría de Sistemas Consiste en: Desarrollar los objetivos del control Establecer prioridades de seguridad y confiabilidad Seleccionar salvaguardas y controles para mitigar o eliminar las amenazas, y por lo tanto la pérdida o exposición resultante.

Nivel Micro: Proceso de Evaluación Análisis de Riesgos Nivel Micro: Proceso de Evaluación

Etapas para el Desarrollo de la Auditoría PLANIFICACION Etapas clave Conocimiento del negocio Evaluar Riesgos Controles gerenciales Controles Físicos y Lógicos Estrategia de Auditoría

Auditoría de Sistemas de Información: Conceptos Principales Areas de Actividad de la A.S.I. Auditoría de la dirección (Plan Estratégico de Sistemas) Auditoría del desarrollo (gestión de proyecto) Auditoría de la Adquisición Auditoría Seguridad (Seguridad Física – Plan de Contingencias, evaluación de riesgos, seguridad lógica) Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)

Revisiones de Auditoría Auditoría del Plan Estratégico de Sistemas

Revisiones de Auditoría Verificaciones a Realizar Auditoría del Impacto sobre el Negocio Objetivo de Control Riesgos Asociados Verificaciones a Realizar El proyecto se encuentra dentro del marco del plan de negocios de la empresa. Los sistemas no responden a las necesidades del negocio. El plan estratégico de sistemas es coordinado con el plan de negocios. Las especificaciones establecidas contemplan los factores esenciales del negocio. La habilidades propias del negocio no se encuentran apoyadas por los nuevos sistemas. En la documentación de los requerimientos se identifican las habilidades principales que distinguen a la empresa. El sistema tiene la capacidad de adaptarse a nuevas reglas del negocio. El sistema se muestra inflexible ante nuevos cambios. Se ha previsto que el o los sistemas sean parametrizables y flexibles para adaptarse a los cambios. Se ha medido adecuadamente el impacto del proyecto en el negocio El negocio se ve seriamente cuestionado ante el fracaso del proyecto de sistemas. Se ha previsto el alcance e impacto del proyecto como así también las consecuencias del fracaso del mismo.

Revisiones de Auditoría Auditoría del Desarrollo, Compra o Implementación de SI Adquisición de Software: Actividades a Auditar Revisión del requerimiento Revisión de la especificación Revisión Proceso selección Revisión de pruebas e instalación Revisión de la Entrega Revisión Proceso de customización

Revisiones de Auditoría Auditoría del Desarrollo, Compra o Implementación de SI Ejemplo de Plan para Revisión de Requerimientos

Revisiones de Auditoría Auditoría del Desarrollo, Compra o Implementación de SI Ejemplo de Plan para Revisión de la Instalación

Revisiones de Auditoría Auditoría del Procesamiento de la Información

Revisiones de Auditoría Auditoría del Plan de Continuidad del Negocio Aspectos a Auditar Plan de Contingencia Integridad (completo) Divulgación Actualización Plan de Recuperación

Informe de Auditorías de Sistemas de Información Objetivos del Informe de Auditoría Objetivo Propósito Medios Informar Brindar conocimientos oportunos y apropiados Clara y comprensible identificación de dificultades y oportunidades de mejora Persuadir Lograr aceptación y respaldo de las acciones Real y persuasivo respaldo de las conclusiones y evidencia de su importancia Obtener Resultados Originar Cursos de Acción Propósitos claros , prácticos y constructivos para realizar los cambios necesarios

Informe de Auditorías de Sistemas de Información Estructura del Informe de Auditoría Introducción Se indica: Objetivo, Alcance y Posición de la auditoría frente al objeto auditado Resultados Se indica: Evidencias y hallazgos claves obtenidos durante la revisión, que sean significativos y que sirvan de base para las conclusiones Conclusiones Se expone: el diagnóstico en función de los resultados obtenidos. Ordenar: problema y causalidad (causa-efecto) Incluir siempre opinión del personal auditado. Recomenda-ciones Cursos de acción que se estimen pertinentes. Importante: participación del personal auditado Anexos Incluir: El detalle que respalda los hallazgos y explica el método empleado.

Informe de Auditorías de Sistemas de Información Pautas para desarrollar el Informe de Auditoría Aspecto (Qué) Característica (Cómo) Directo Título Informativo Priorizar lo importante Oraciones concluyentes sin enunciaciones elípticas Preciso Seleccionar y presentar los temas de mayor importancia Acompañar resúmenes de documentación respaldatoria Realizar una redacción precisa Persuasivo Llevar convencimiento con la información que se expone Desarrollar las consecuencias de las situaciones descriptas Prudente y Constructivo Propender a una razonable interpretación de los hechos y exponer las causas no los síntomas Presentar una visión del conjunto balanceando lo positivo y lo negativo Trasuntar confianza en el auditado para solucionar el o los problemas Oportuno Para lograr la pronta solución de los problemas Anticipar informes en casos de gravedad Expuesto conforme al destinatario Resúmenes para los niveles superiores Exposición que potencie la interpretación (relaciones %, tablas, gráficos) Atractivos (presentación, distinta tipografía para resaltar temas) Orientado a Resultados Recomendaciones prácticas, factibles y específicas Descripción de los cursos de acción a tomar

¿Quién más problemas detecta? o … Para Pensar Un buen Auditor es: ¿Quién más problemas detecta? o … ¿Quién logra soluciones para los problemas detectados?

Bibliografía Material de la Cátedra Alberto R Lardent Sistemas de Información para la Gestión Empresaria Procedimiento, Seguridad y AuditoríaPrentice HallBrasil 2001 Informe 6 CECYT FACPCE Informe COBIT (ISACA)

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.