SlideShare a Scribd company logo

Semana 9 auditoría de sistemas de información

Download as PPSX, PDF
E
edithua
1 of 41
Auditoría de Sistemas de Información Prof. Ing. Edith Urdaneta
Clasificación de los controles internos: controles generales  Son aquellos que afectan en un centro electrónico de procesamiento de datos a toda la información por igual y a la continuidad de este servicio. La debilidad o ausencia de ellos puede tener un impacto significativo en la integridad y exactitud de los datos. Estos son:  Controles operativos y de organización  Controles sobre el desarrollo de programas y su documentación  Controles sobre los programas y los equipos  Controles de Acceso
Clasificación de los controles internos: controles de las aplicaciones  Son aquellos relacionados con la captura, entrada y registro de datos en un sistema informático, así como los relacionados con su procesamiento, el cálculo y salida de la información y su distribución. Ellos son:  Controles sobre la captura de datos  Controles de proceso  Controles de salida y distribución
Que establece COBIT  COBIT establece una nueva clasificación donde se afirma que existen 3 niveles en las tecnologías de información a la hora de considerar la gestión de recursos:  Actividades y/o tareas > son necesarias para obtener un resultado cuantificable  Procesos > serie de actividades/tareas unidas por interrupciones naturales  Dominios > agrupamiento de los procesos
Que establece COBIT: Dominios  Los procesos se agrupan dando lugar a los dominios, que se confirman como dominios de responsabilidad en las estructuras organizativas de las empresas y están alineadas con el ciclo de gestión aplicable a los procesos de TI
Dominios y procesos de las TI  Planificación y organización  Adquisición e implementación  Suministro y mantenimiento  Supervisión
Dominios y procesos de las TI: planificación y organización  Definir el plan estratégico de la TI  Definir la arquitectura de la información  Definir la dirección tecnológica  Definir la organización y las relaciones  Gestión de inversiones  Comunicar a la dirección las tendencias  Gestión de recursos humanos  Asegurarse de los cumplimientos de los requisitos externos  Evaluación del riesgo  Gestión de proyectos  Gestión de la calidad
Dominios y procesos de las TI: adquisición e implementación  Identificar las soluciones automatizadas  Adquirir y mantener el SW  Adquirir y mantener la arquitectura tecnológica  Desarrollar y mantener procedimientos  Instalar y acreditar los sistemas  Gestión de los cambios
 Definir el nivel de servicio  Gestionar los servicios de las terceras partes  Gestionar la capacidad y el funcionamiento  Asegurarse del servicio continuo  Asegurarse de la seguridad de los sistemas  Identificar y localizar costes  Formación teórica y práctica de los usuarios  Asistir y asesorar a los clientes  Manejo de la configuración  Gestión de problemas e incidentes  Gestión de los datos  Gestión de las instalaciones  Gestión de la explotación Dominios y procesos de las TI: suministro y mantenimiento
 Supervisar los procesos  Garantizar la independencia  Evaluar el control interno  Auditoría independiente Dominios y procesos de las TI: supervisión
Evaluación de los controles internos  Es función del auditor:  evaluar el nivel de control interno,  juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema de información La naturaleza y la extensión de los controles que requieren los sistemas de los procesos de datos variarán de acuerdo con la clase de sistema en uso
Evaluación de los controles  Para evaluar los controles es necesario buscar evidencia sobre:  Terminación completa de todos los procesos  Separación física y lógica de:  programas,  fuentes y objetos,  bibliotecas de desarrollo, prueba y producción  Existencia de normas y procedimientos para pasar los programas de una biblioteca a otra
Evaluación de controles (Cont….)  Estadísticas de funcionamiento, que incluya:  Capacidad y utilización del equipo central y de los periféricos  Utilización de la memoria  Utilización de las telecomunicaciones  Las normas del nivel de servicio de los proveedores  Los estándares de funcionamiento interno
Evaluación de controles (Cont…)  Mantenimiento y revisión de los diarios de explotación (Operation Logs)  Realización de mantenimiento periódico a todos los equipos  Evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas Una forma de encontrar evidencia es mediante entrevistas con cuestionarios o listas de comprobación (checklist)
Establecimiento de Objetivos  En función de la importancia de los riesgos que se hayan detectado, el auditor establecerá los objetivos de la auditoría, cuya determinación concreta permitirá definir con claridad el alcance de la misma
Fases de planificación de la auditoría Planificaciónestratégica: requiere verificar el cumplimiento de controles internos y la identificación preliminar de riesgos Salida: Objetivo de la auditoría y alcance Planificación administrativa: requiere haber finalizado la planificación estratégica Salida: asignación de recursos: personal, tiempo, etc. Planificacióntécnica En esta se ha de elaborar el programa de trabajo Salida: indicación de método de auditoría a utilizar (verificación de controles o pruebas sustantivas)
Fases de planificación de la auditoría: Estratégica  Es una revisión global que permite conocer la empresa, el SI y su control interno con la intención de hacer la 1era evaluación de riesgos  Según los resultados de esa evaluación establecerán los objetivos de la auditoría y se podrá determinar su alcance y las pruebas que hayan de aplicarse, así como el momento para realizarlas
Fases de planificación de la auditoría: Administrativa • Evidencia > relación con la documentación de la etapa anterior • Personal > de que personal se va a disponer, que conocimientos y experiencia es necesaria • Calendario > establecer fecha de comienzo y finalización de la auditoría y determinar donde se realizará la auditoría • Coordinación y Cooperación > deben establecerse con el auditado sin dejar de cumplir el principio de la independencia y que se define el interlocutor con el cliente En esta etapa deben quedar claros los siguientes aspectos:
Fases de planificación de la auditoría: Técnica  El programa de auditoría debe ser flexible y abierto de tal forma que se puedan ir incorporando cambios a medida que se vaya conociendo mejor el sistema  El programa y los papeles de trabajo son propiedad del auditor debiendo custodiarlos por el tiempo que marque la ley
Sobre el proceso de auditoría  Dedicarle a la planificación el tiempo necesario permite evitar pérdidas innecesarias de tiempo y de recursos.  1/3 del tiempo en planificarla, 1/3 del tiempo en realizar el trabajo de campo y 1/3 en hacer las revisiones y preparar el informe
Realización del trabajo (Procedimientos) Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han planificado para poder alcanzar los objetivos de la auditoría • Asegurarse de que las funciones que sirven de apoyo a la TI se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales Objetivo general • Ver siguientes láminas Objetivos específicos
Realización del trabajo (Procedimientos): Obj. Específicos  Comprender las tareas, las actividades del proceso que se esta auditando, ampliando las entrevistas realizadas en la planificación estratégica de ser necesario  Determinar si son o no apropiados los controles que están instalados, ampliando las pruebas realizadas planificación estratégica de ser necesario
 Hacer pruebas de cumplimiento para determinar si los controles que están instalados funcionan según lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento que tiene establecido el “auditado” –se supone que sean eficientes y efectivas- Realización del trabajo (Procedimientos): Obj. Específicos
 Hacer pruebas sustantivas para aquellos objetivos de control con los que no se haya podido quedar satisfecho de su buen funcionamiento con las pruebas de cumplimiento. Estas pruebas consisten en realizar pruebas necesarias sobre los datos para que proporcionen la suficiente seguridad a la dirección sobre si se ha alcanzado su objetivo empresarial Realización del trabajo (Procedimientos): Obj. Específicos
Sobre las pruebas sustantivas Habrá que realizar el máximo número de pruebas sustantivas si: • No existen instrumentos de medida de los controles • Los instrumentos de medida que existen se consideran que no son los adecuados • Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han aplicado de manera consistente y continua
Sobre las pruebas  El auditor debería haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotación del SI como para poder concluir si los objetivos de control se han alcanzado o no.  Con esa información debe elaborar un informe y si procede hacer las recomendaciones oportunas
Informes  Una vez realizadas las fases referidas el auditor está en condiciones de producir un informe en el que exprese su opinión sobre el sistema auditado  Las opiniones pueden clasificarse por:  tipo de trabajo > las opiniones se pueden expresar de manera positiva o negativa  resultados del trabajo, hay 4 opiniones básicas:
Informes: resultado del trabajo Favorable Cuando se concluye que el sistema es satisfactorio Desfavorable Cuando se concluye que es sistema es absolutamente insatisfactorio Con salvedades El sistema es satisfactorio, aunque tiene ciertas debilidades o incumplimientos Denegación de opinión Cuando no se tienen los suficientes elementos de juicio para poder opinar
Recomendaciones Cuando el auditor, durante la realización de la auditoría, detecte debilidades, debe comunicarlas con la mayor prontitud posible.
Recomendaciones  Un esquema para presentar debilidades es el siguiente:  Describir la debilidad  Indicar el criterio o instrumento de medida que se ha utilizado  Indicar los efectos que puede tener en el SI  Describir la recomendación con la que esa debilidad se podría eliminar  Respuesta de los directivos
Recomendaciones para Informe (ISACA)  El informe es el instrumento que se utiliza para comunicar los objetivos de la auditoría, el alcance que va a tener, las debilidades que se detecten y las conclusiones a las que se lleguen.  El auditor debe considerar en su elaboración las necesidades y características de los destinatarios
Recomendaciones para Informe (ISACA)  El informe debe contener:  Objetivos de la auditoría, y si alguno de ellos no se puede alcanzar debe expresarse en el informe  El informe debe referir cuales NASIGA se han seguido para realizar el trabajo de auditoría, indicando también cuando no fueron cumplidas y su posible impacto al no seguirla  El alcance, naturaleza y extensión del trabajo realizado, el período de auditoría, el sistema, aplicaciones y procesos auditados
Recomendaciones para Informe (ISACA)  Debilidades detectadas, y las recomendaciones para mejorar o eliminar esas debilidades  Opinión sobre lo auditado: puede ser general o específico  Entidad que se audita y la fecha de emisión del informe y  Restricciones que fuesen inconvenientes al momento de distribuir el informe
La documentación de la auditoría y su organización  Todo el trabajo de auditoría debe quedar reflejado en papeles de trabajo por los siguientes motivos:  Recogen evidencia obtenida a lo largo del trabajo  Ayudan al auditor en el desarrollo de su trabajo  Ofrecen un soporte de trabajo realizado, para poder utilizarlo en auditoría sucesivas  Permite que el trabajo pueda ser revisado por terceros
Archivos  Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales:  Permanente o continuo  Corriente o de la auditoría en curso
Archivo permanente  Contiene todos aquellos papeles que tienen un interés continuo, una validez plurianual, tales como:  Características de los equipos y las aplicaciones  Manuales de los equipos y de las aplicaciones  Descripción del control interno  Organigramas de la empresa  Organigramas del servicio de información y división de funciones  Cuadro de planificación plurianual de auditoría  Escrituras y contratos  Consideraciones sobre el negocio y sector
Archivo corriente  Se suele dividir en:  General > no tienen cabida específica en alguna de las áreas/procesos en que hemos dividido el trabajo de auditoría  Área/procesos > se refiere a contar con un archivo para cada una de las áreas o procesos en que se haya dividido el trabajo e incluir en cada archivo todos los documentos que se haya necesitado para realizar esa tarea/proceso concreto.
Archivo corriente: General  Informe del auditor  Carta de recomendaciones  Acontecimientos posteriores  Cuadro de planificación de auditoría corriente  Correspondencia con la dirección de la empresa  Tiempo q c/persona del equipo ha empleado en c/u de las áreas/procesos
Archivo corriente: Áreas/Procesos  Programa de auditoría de c/u de las áreas/procesos  Conclusiones del área/proceso en cuestión  Conclusiones del procedimiento en cuestión
Conclusiones  La labor del auditor de SI es esencial para garantizar la adecuación de los SI, para ello el auditor debe realizar ateniéndose a las normas NASIGA (normas de auditoría de SI generalmente aceptadas) como requisito necesario que garantice la calidad del trabajo realizado y que la evidencia de este trabajo quede documentada.
Conclusiones  A medida que la sociedad se vaya informati- zando y/o vayan surgiendo problemas será necesario actualizar la normas de auditoría o elaborar otras nuevas para que la sociedad tenga una seguridad razonable de que los SI:  funcionan adecuadamente,  sus datos se mantienen con la debida confidencialidad,  cumplen con la legislación vigente y  los informes de los distintos auditores se puede comparar

Recommended

Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Un1 auditoria de sistemas de informacion
Un1 auditoria de sistemas de informacionUn1 auditoria de sistemas de informacion
Un1 auditoria de sistemas de informacionSergio Sanchez
 
Auditorias de sistemas de información.
Auditorias de sistemas de información.Auditorias de sistemas de información.
Auditorias de sistemas de información.ROMERGOMEZ
 
Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Teresa Cossio
 
Auditoria de Sistemas Sesion 1
Auditoria de Sistemas Sesion 1Auditoria de Sistemas Sesion 1
Auditoria de Sistemas Sesion 1Teresa Cossio
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Capítulo 1 la empresa, sistemas de infromacion y auditoria
Capítulo 1 la empresa, sistemas de infromacion y auditoriaCapítulo 1 la empresa, sistemas de infromacion y auditoria
Capítulo 1 la empresa, sistemas de infromacion y auditoriaIsabel_Samir
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 

Recommended

Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Un1 auditoria de sistemas de informacion
Un1 auditoria de sistemas de informacionUn1 auditoria de sistemas de informacion
Un1 auditoria de sistemas de informacionSergio Sanchez
 
Auditorias de sistemas de información.
Auditorias de sistemas de información.Auditorias de sistemas de información.
Auditorias de sistemas de información.ROMERGOMEZ
 
Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Auditoria De Sistemas Sesion 3
Auditoria De Sistemas Sesion 3Teresa Cossio
 
Auditoria de Sistemas Sesion 1
Auditoria de Sistemas Sesion 1Auditoria de Sistemas Sesion 1
Auditoria de Sistemas Sesion 1Teresa Cossio
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Capítulo 1 la empresa, sistemas de infromacion y auditoria
Capítulo 1 la empresa, sistemas de infromacion y auditoriaCapítulo 1 la empresa, sistemas de infromacion y auditoria
Capítulo 1 la empresa, sistemas de infromacion y auditoriaIsabel_Samir
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasceliojose32
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaCESAR VILLA MAURA
 
Tipos de auditoria informática
Tipos de auditoria informáticaTipos de auditoria informática
Tipos de auditoria informáticaEliana Marisol Monroy Matallana
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría InformaticaUNEFA
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIACecy1917
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Auditoria de sistemas informáticos
Auditoria de sistemas informáticosAuditoria de sistemas informáticos
Auditoria de sistemas informáticosRamiro Estigarribia Canese
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasEdgar Alvarado
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaDavid Caipa Mamani
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJean Carlos Pichardo
 
Auditoria de sistemas de informacion.
Auditoria de sistemas de informacion.Auditoria de sistemas de informacion.
Auditoria de sistemas de informacion.Laryuska Bello
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Software para auditoría informática
Software para auditoría informáticaSoftware para auditoría informática
Software para auditoría informáticameme694
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaMartin Zǝlɐzuoƃ
 
Auditoria Informatica Sesion2
Auditoria Informatica Sesion2Auditoria Informatica Sesion2
Auditoria Informatica Sesion2Teresa Cossio
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAManuel Medina
 
Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 

More Related Content

What's hot

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasceliojose32
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría InformaticaUNEFA
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaOsita Sweet
 
Auditoria de sistemas de informacion.
Auditoria de sistemas de informacion.Auditoria de sistemas de informacion.
Auditoria de sistemas de informacion.Laryuska Bello
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Software para auditoría informática
Software para auditoría informáticaSoftware para auditoría informática
Software para auditoría informáticameme694
 
Auditoria Informatica Sesion2
Auditoria Informatica Sesion2Auditoria Informatica Sesion2
Auditoria Informatica Sesion2Teresa Cossio
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaRoberto Porozo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICAManuel Medina
 

What's hot (19)

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tipos de auditoria informática
Tipos de auditoria informáticaTipos de auditoria informática
Tipos de auditoria informática
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría Informatica
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas informáticos
Auditoria de sistemas informáticosAuditoria de sistemas informáticos
Auditoria de sistemas informáticos
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas de informacion.
Auditoria de sistemas de informacion.Auditoria de sistemas de informacion.
Auditoria de sistemas de informacion.
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Software para auditoría informática
Software para auditoría informáticaSoftware para auditoría informática
Software para auditoría informática
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Auditoria Informatica Sesion2
Auditoria Informatica Sesion2Auditoria Informatica Sesion2
Auditoria Informatica Sesion2
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
AUDITORIA INFORMATICA
AUDITORIA INFORMATICAAUDITORIA INFORMATICA
AUDITORIA INFORMATICA
 

Viewers also liked

Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informaticaAd Ad
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoríaJuan Jose Flores
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Cuentas de resultados pp
Cuentas de resultados ppCuentas de resultados pp
Cuentas de resultados ppDiannarm
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redesLes Esco
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacionAnairam Campos
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONcarolinanocua
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA1426NA
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
Taacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorTaacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorEfraín Pérez
 
Tratamiento de cuenta mercaderias
Tratamiento de cuenta mercaderiasTratamiento de cuenta mercaderias
Tratamiento de cuenta mercaderiasCarolina Navarro
 
Auditoria De ComunicacióN
Auditoria De ComunicacióNAuditoria De ComunicacióN
Auditoria De ComunicacióNguest8261772b
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemasHugo Martinez
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosHernán Sánchez
 
El área informática en las organizaciones
El área informática en las organizacionesEl área informática en las organizaciones
El área informática en las organizacionesNanda Chica
 
Auditoria informatica informe_final
Auditoria informatica informe_finalAuditoria informatica informe_final
Auditoria informatica informe_finalOvadito Duran
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informaticajanethvalverdereyes
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 

Viewers also liked (20)

Presentación auditoria informatica
Presentación auditoria informaticaPresentación auditoria informatica
Presentación auditoria informatica
 
Proyecto final de auditoría
Proyecto final de auditoríaProyecto final de auditoría
Proyecto final de auditoría
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Cuentas de resultados pp
Cuentas de resultados ppCuentas de resultados pp
Cuentas de resultados pp
 
Auditoria redes
Auditoria redesAuditoria redes
Auditoria redes
 
Auditoria en aplicaciones web
Auditoria en aplicaciones webAuditoria en aplicaciones web
Auditoria en aplicaciones web
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacion
 
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACIONEXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
EXPOSICION DE AUDITORIA DE REDES Y COMUNICACION
 
Auditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NAAuditoria de Comunicacion - 1426NA
Auditoria de Comunicacion - 1426NA
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Taacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por ComputadorTaacs, Técnicas de Auditoria Asistidas por Computador
Taacs, Técnicas de Auditoria Asistidas por Computador
 
Tratamiento de cuenta mercaderias
Tratamiento de cuenta mercaderiasTratamiento de cuenta mercaderias
Tratamiento de cuenta mercaderias
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Auditoria De ComunicacióN
Auditoria De ComunicacióNAuditoria De ComunicacióN
Auditoria De ComunicacióN
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemas
 
Auditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivosAuditoria informatica alcances y objetivos
Auditoria informatica alcances y objetivos
 
El área informática en las organizaciones
El área informática en las organizacionesEl área informática en las organizaciones
El área informática en las organizaciones
 
Auditoria informatica informe_final
Auditoria informatica informe_finalAuditoria informatica informe_final
Auditoria informatica informe_final
 
Planeacion De La Auditoria Informatica
Planeacion De La Auditoria InformaticaPlaneacion De La Auditoria Informatica
Planeacion De La Auditoria Informatica
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria Informatica
 

Similar to Semana 9 auditoría de sistemas de información

Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoWalter Y. Casallas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicacionesAndres Reyes
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasdimaje
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasdimaje
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAinnovasisc
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemasgrangurusv
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaJhoan Tenjo
 
Auditoria trabajo de electiva V
Auditoria trabajo de electiva VAuditoria trabajo de electiva V
Auditoria trabajo de electiva Valianni
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integralGustavo Alvarez
 
Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]MAU030588
 

Similar to Semana 9 auditoría de sistemas de información (20)

Taac II
Taac IITaac II
Taac II
 
Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de aplicaciones
Auditoria de aplicacionesAuditoria de aplicaciones
Auditoria de aplicaciones
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistema
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
AUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA
AUDITORIA INFORMÁTICA
 
Exposición grupal
Exposición grupalExposición grupal
Exposición grupal
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
02.Clase metodologia de auditoria ti
02.Clase metodologia de auditoria ti02.Clase metodologia de auditoria ti
02.Clase metodologia de auditoria ti
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Auditoria trabajo de electiva V
Auditoria trabajo de electiva VAuditoria trabajo de electiva V
Auditoria trabajo de electiva V
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
 
Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]
 

More from edithua

Administración de redes
Administración de redesAdministración de redes
Administración de redesedithua
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaedithua
 
Semana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesSemana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesedithua
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)edithua
 
Semana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swSemana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swedithua
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 

More from edithua (6)

Administración de redes
Administración de redesAdministración de redes
Administración de redes
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 
Semana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesSemana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisiones
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)
 
Semana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swSemana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de sw
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 

Semana 9 auditoría de sistemas de información

  • 1. Auditoría de Sistemas de Información Prof. Ing. Edith Urdaneta
  • 2. Clasificación de los controles internos: controles generales  Son aquellos que afectan en un centro electrónico de procesamiento de datos a toda la información por igual y a la continuidad de este servicio. La debilidad o ausencia de ellos puede tener un impacto significativo en la integridad y exactitud de los datos. Estos son:  Controles operativos y de organización  Controles sobre el desarrollo de programas y su documentación  Controles sobre los programas y los equipos  Controles de Acceso
  • 3. Clasificación de los controles internos: controles de las aplicaciones  Son aquellos relacionados con la captura, entrada y registro de datos en un sistema informático, así como los relacionados con su procesamiento, el cálculo y salida de la información y su distribución. Ellos son:  Controles sobre la captura de datos  Controles de proceso  Controles de salida y distribución
  • 4. Que establece COBIT  COBIT establece una nueva clasificación donde se afirma que existen 3 niveles en las tecnologías de información a la hora de considerar la gestión de recursos:  Actividades y/o tareas > son necesarias para obtener un resultado cuantificable  Procesos > serie de actividades/tareas unidas por interrupciones naturales  Dominios > agrupamiento de los procesos
  • 5. Que establece COBIT: Dominios  Los procesos se agrupan dando lugar a los dominios, que se confirman como dominios de responsabilidad en las estructuras organizativas de las empresas y están alineadas con el ciclo de gestión aplicable a los procesos de TI
  • 6. Dominios y procesos de las TI  Planificación y organización  Adquisición e implementación  Suministro y mantenimiento  Supervisión
  • 7. Dominios y procesos de las TI: planificación y organización  Definir el plan estratégico de la TI  Definir la arquitectura de la información  Definir la dirección tecnológica  Definir la organización y las relaciones  Gestión de inversiones  Comunicar a la dirección las tendencias  Gestión de recursos humanos  Asegurarse de los cumplimientos de los requisitos externos  Evaluación del riesgo  Gestión de proyectos  Gestión de la calidad
  • 8. Dominios y procesos de las TI: adquisición e implementación  Identificar las soluciones automatizadas  Adquirir y mantener el SW  Adquirir y mantener la arquitectura tecnológica  Desarrollar y mantener procedimientos  Instalar y acreditar los sistemas  Gestión de los cambios
  • 9.  Definir el nivel de servicio  Gestionar los servicios de las terceras partes  Gestionar la capacidad y el funcionamiento  Asegurarse del servicio continuo  Asegurarse de la seguridad de los sistemas  Identificar y localizar costes  Formación teórica y práctica de los usuarios  Asistir y asesorar a los clientes  Manejo de la configuración  Gestión de problemas e incidentes  Gestión de los datos  Gestión de las instalaciones  Gestión de la explotación Dominios y procesos de las TI: suministro y mantenimiento
  • 10.  Supervisar los procesos  Garantizar la independencia  Evaluar el control interno  Auditoría independiente Dominios y procesos de las TI: supervisión
  • 11. Evaluación de los controles internos  Es función del auditor:  evaluar el nivel de control interno,  juzgar si los procedimientos establecidos son los adecuados para salvaguardar el sistema de información La naturaleza y la extensión de los controles que requieren los sistemas de los procesos de datos variarán de acuerdo con la clase de sistema en uso
  • 12. Evaluación de los controles  Para evaluar los controles es necesario buscar evidencia sobre:  Terminación completa de todos los procesos  Separación física y lógica de:  programas,  fuentes y objetos,  bibliotecas de desarrollo, prueba y producción  Existencia de normas y procedimientos para pasar los programas de una biblioteca a otra
  • 13. Evaluación de controles (Cont….)  Estadísticas de funcionamiento, que incluya:  Capacidad y utilización del equipo central y de los periféricos  Utilización de la memoria  Utilización de las telecomunicaciones  Las normas del nivel de servicio de los proveedores  Los estándares de funcionamiento interno
  • 14. Evaluación de controles (Cont…)  Mantenimiento y revisión de los diarios de explotación (Operation Logs)  Realización de mantenimiento periódico a todos los equipos  Evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas Una forma de encontrar evidencia es mediante entrevistas con cuestionarios o listas de comprobación (checklist)
  • 15. Establecimiento de Objetivos  En función de la importancia de los riesgos que se hayan detectado, el auditor establecerá los objetivos de la auditoría, cuya determinación concreta permitirá definir con claridad el alcance de la misma
  • 16. Fases de planificación de la auditoría Planificaciónestratégica: requiere verificar el cumplimiento de controles internos y la identificación preliminar de riesgos Salida: Objetivo de la auditoría y alcance Planificación administrativa: requiere haber finalizado la planificación estratégica Salida: asignación de recursos: personal, tiempo, etc. Planificacióntécnica En esta se ha de elaborar el programa de trabajo Salida: indicación de método de auditoría a utilizar (verificación de controles o pruebas sustantivas)
  • 17. Fases de planificación de la auditoría: Estratégica  Es una revisión global que permite conocer la empresa, el SI y su control interno con la intención de hacer la 1era evaluación de riesgos  Según los resultados de esa evaluación establecerán los objetivos de la auditoría y se podrá determinar su alcance y las pruebas que hayan de aplicarse, así como el momento para realizarlas
  • 18. Fases de planificación de la auditoría: Administrativa • Evidencia > relación con la documentación de la etapa anterior • Personal > de que personal se va a disponer, que conocimientos y experiencia es necesaria • Calendario > establecer fecha de comienzo y finalización de la auditoría y determinar donde se realizará la auditoría • Coordinación y Cooperación > deben establecerse con el auditado sin dejar de cumplir el principio de la independencia y que se define el interlocutor con el cliente En esta etapa deben quedar claros los siguientes aspectos:
  • 19. Fases de planificación de la auditoría: Técnica  El programa de auditoría debe ser flexible y abierto de tal forma que se puedan ir incorporando cambios a medida que se vaya conociendo mejor el sistema  El programa y los papeles de trabajo son propiedad del auditor debiendo custodiarlos por el tiempo que marque la ley
  • 20. Sobre el proceso de auditoría  Dedicarle a la planificación el tiempo necesario permite evitar pérdidas innecesarias de tiempo y de recursos.  1/3 del tiempo en planificarla, 1/3 del tiempo en realizar el trabajo de campo y 1/3 en hacer las revisiones y preparar el informe
  • 21. Realización del trabajo (Procedimientos) Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han planificado para poder alcanzar los objetivos de la auditoría • Asegurarse de que las funciones que sirven de apoyo a la TI se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales Objetivo general • Ver siguientes láminas Objetivos específicos
  • 22. Realización del trabajo (Procedimientos): Obj. Específicos  Comprender las tareas, las actividades del proceso que se esta auditando, ampliando las entrevistas realizadas en la planificación estratégica de ser necesario  Determinar si son o no apropiados los controles que están instalados, ampliando las pruebas realizadas planificación estratégica de ser necesario
  • 23.  Hacer pruebas de cumplimiento para determinar si los controles que están instalados funcionan según lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento que tiene establecido el “auditado” –se supone que sean eficientes y efectivas- Realización del trabajo (Procedimientos): Obj. Específicos
  • 24.  Hacer pruebas sustantivas para aquellos objetivos de control con los que no se haya podido quedar satisfecho de su buen funcionamiento con las pruebas de cumplimiento. Estas pruebas consisten en realizar pruebas necesarias sobre los datos para que proporcionen la suficiente seguridad a la dirección sobre si se ha alcanzado su objetivo empresarial Realización del trabajo (Procedimientos): Obj. Específicos
  • 25. Sobre las pruebas sustantivas Habrá que realizar el máximo número de pruebas sustantivas si: • No existen instrumentos de medida de los controles • Los instrumentos de medida que existen se consideran que no son los adecuados • Las pruebas de cumplimiento indican que los instrumentos de medida de los controles no se han aplicado de manera consistente y continua
  • 26. Sobre las pruebas  El auditor debería haber realizado las suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotación del SI como para poder concluir si los objetivos de control se han alcanzado o no.  Con esa información debe elaborar un informe y si procede hacer las recomendaciones oportunas
  • 27. Informes  Una vez realizadas las fases referidas el auditor está en condiciones de producir un informe en el que exprese su opinión sobre el sistema auditado  Las opiniones pueden clasificarse por:  tipo de trabajo > las opiniones se pueden expresar de manera positiva o negativa  resultados del trabajo, hay 4 opiniones básicas:
  • 28. Informes: resultado del trabajo Favorable Cuando se concluye que el sistema es satisfactorio Desfavorable Cuando se concluye que es sistema es absolutamente insatisfactorio Con salvedades El sistema es satisfactorio, aunque tiene ciertas debilidades o incumplimientos Denegación de opinión Cuando no se tienen los suficientes elementos de juicio para poder opinar
  • 29. Recomendaciones Cuando el auditor, durante la realización de la auditoría, detecte debilidades, debe comunicarlas con la mayor prontitud posible.
  • 30. Recomendaciones  Un esquema para presentar debilidades es el siguiente:  Describir la debilidad  Indicar el criterio o instrumento de medida que se ha utilizado  Indicar los efectos que puede tener en el SI  Describir la recomendación con la que esa debilidad se podría eliminar  Respuesta de los directivos
  • 31. Recomendaciones para Informe (ISACA)  El informe es el instrumento que se utiliza para comunicar los objetivos de la auditoría, el alcance que va a tener, las debilidades que se detecten y las conclusiones a las que se lleguen.  El auditor debe considerar en su elaboración las necesidades y características de los destinatarios
  • 32. Recomendaciones para Informe (ISACA)  El informe debe contener:  Objetivos de la auditoría, y si alguno de ellos no se puede alcanzar debe expresarse en el informe  El informe debe referir cuales NASIGA se han seguido para realizar el trabajo de auditoría, indicando también cuando no fueron cumplidas y su posible impacto al no seguirla  El alcance, naturaleza y extensión del trabajo realizado, el período de auditoría, el sistema, aplicaciones y procesos auditados
  • 33. Recomendaciones para Informe (ISACA)  Debilidades detectadas, y las recomendaciones para mejorar o eliminar esas debilidades  Opinión sobre lo auditado: puede ser general o específico  Entidad que se audita y la fecha de emisión del informe y  Restricciones que fuesen inconvenientes al momento de distribuir el informe
  • 34. La documentación de la auditoría y su organización  Todo el trabajo de auditoría debe quedar reflejado en papeles de trabajo por los siguientes motivos:  Recogen evidencia obtenida a lo largo del trabajo  Ayudan al auditor en el desarrollo de su trabajo  Ofrecen un soporte de trabajo realizado, para poder utilizarlo en auditoría sucesivas  Permite que el trabajo pueda ser revisado por terceros
  • 35. Archivos  Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales:  Permanente o continuo  Corriente o de la auditoría en curso
  • 36. Archivo permanente  Contiene todos aquellos papeles que tienen un interés continuo, una validez plurianual, tales como:  Características de los equipos y las aplicaciones  Manuales de los equipos y de las aplicaciones  Descripción del control interno  Organigramas de la empresa  Organigramas del servicio de información y división de funciones  Cuadro de planificación plurianual de auditoría  Escrituras y contratos  Consideraciones sobre el negocio y sector
  • 37. Archivo corriente  Se suele dividir en:  General > no tienen cabida específica en alguna de las áreas/procesos en que hemos dividido el trabajo de auditoría  Área/procesos > se refiere a contar con un archivo para cada una de las áreas o procesos en que se haya dividido el trabajo e incluir en cada archivo todos los documentos que se haya necesitado para realizar esa tarea/proceso concreto.
  • 38. Archivo corriente: General  Informe del auditor  Carta de recomendaciones  Acontecimientos posteriores  Cuadro de planificación de auditoría corriente  Correspondencia con la dirección de la empresa  Tiempo q c/persona del equipo ha empleado en c/u de las áreas/procesos
  • 39. Archivo corriente: Áreas/Procesos  Programa de auditoría de c/u de las áreas/procesos  Conclusiones del área/proceso en cuestión  Conclusiones del procedimiento en cuestión
  • 40. Conclusiones  La labor del auditor de SI es esencial para garantizar la adecuación de los SI, para ello el auditor debe realizar ateniéndose a las normas NASIGA (normas de auditoría de SI generalmente aceptadas) como requisito necesario que garantice la calidad del trabajo realizado y que la evidencia de este trabajo quede documentada.
  • 41. Conclusiones  A medida que la sociedad se vaya informati- zando y/o vayan surgiendo problemas será necesario actualizar la normas de auditoría o elaborar otras nuevas para que la sociedad tenga una seguridad razonable de que los SI:  funcionan adecuadamente,  sus datos se mantienen con la debida confidencialidad,  cumplen con la legislación vigente y  los informes de los distintos auditores se puede comparar