Sistemas de Información para la

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Sistemas de Información para la"

Transcripción

1 UNIDAD 6: AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN 1. Control Interno y Auditoría de SI. Las funciones de control interno y auditoria informáticos. Sistema de control interno informático. Tipos y metodologías 2. Revisiones de auditoría: Entorno jurídico de la auditoría de los S. Herramientas para auditoría de SI. Principales áreas de la auditoría. Del outsourcing, de la seguridad física, de la dirección informática, de la explotación, de bases de dato, de la seguridad, de redes, de Internet, de aplicaciones, del desarrollo y mantenimiento de sistemas, del sistema de vigilancia y sobre los datos de carácter general 3. Contrato e Informe de auditorías de sistemas de información: El contrato de auditoría. El informe de auditoría. Ética del auditor de los SI. BIBLIOGRAFÍA BÁSICA AUTOR TITULO EDITORIAL Mario Piattini Velthuis Emilio del Peso Navarro Mar del Peso Ruiz Alberto R Lardent (CECYT) Centro de Estudios Científicos y Técnicos de la Federación Argentina de Consejos Profesionales en Cs.Económicas CECYT Information Systems Audit and Control Fundation Auditoría de Tecnologías y Sistemas de Información Sistemas de Información para la Gestión Empresaria Procedimiento, Seguridad y Auditoría Informe Nro.5: Manual de Auditoría Informe Nro.6: Pautas para el examen de estados contables en un contexto computadorizado COBIT (Control Objetives for Information and Related Technology) Alfaomega Ra-Ma Lugar y año de edición Mexico, 1ra Ed., 2008 Prentice Hall Brasil CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION PROCEDIMIENTOS Y TECNICAS DE AUDITORIA. Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

2 Planificación de la auditoría Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría: a. Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores. b. Riesgo y materialidad de auditoría. Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. c. Técnicas de evaluación de Riesgos. Al determinar que áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y

3 constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. d. Objetivos de controles y objetivos de auditoría. El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría. e. Procedimientos de auditoría. Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas. Desarrollo del programa de auditoría. Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente: a. Tema de auditoría: Donde se identifica el área a ser auditada. b. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar. c. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado. d. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar. e. Procedimientos de auditoría: para: Recopilación de datos. Identificación de lista de personas a entrevistar. Identificación y seleccion del enfoque del trabajo Identificación y obtención de políticas, normas y directivas. Desarrollo de herramientas y metodología para probar y verificar los controles existentes. Procedimientos para evaluar los resultados de las pruebas y revisiones. Procedimientos de comunicación con la gerencia. Procedimientos de seguimiento. El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente estructura:

4 Procedimientos de Auditoría Lugar Papeles de Trabajo Referencia Hecho Por. Fecha Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces. Asignación de Recursos de auditoría. La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt Así mismo las hojas de control de tiempo son generalmente como sigue:

5 Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de auditoría y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realización del trabajo de auditoría, como los períodos de vacaciones que estos tengan, otros trabajos que estén realizando, etc. Técnicas de recopilación de evidencias. La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisión de las estructuras organizacionales de sistemas de información. Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas,manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, si no en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría. Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software genérico, especializado o utilitario. Evaluación de fortalezas y debilidades de auditoría. Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. Por ejemplo:

6 En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoría. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello. Informe de auditoría. Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de información, pero generalmente tiene la siguiente estructura o contenido: Introducción al informe, donde se expresara los objetivos de la auditoría, el período o alcance cubierto por la misma, y una expresión general sobre la naturaleza o extensión de los procedimientos de auditoría realizados. Observaciones detalladas y recomendaciones de auditoría. Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas. Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados. Seguimiento de las observaciones de auditoría. El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoría. El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema. Revisión de los controles generales. El objetivo de esta revisión es analizar y evaluar la estructura organizacional, las políticas, los procedimientos operativos, el control de costos, El uso de los recursos materiales y técnicos del departamento encargado de los sistemas de información dentro de la empresa. Es decir evaluar la administración de la función de sistemas de la empresa. Para conseguirlo, el equipo de auditoría realiza lo siguiente: a. Revisión de documentación: Organigramas, diagramas de funciones. Los organigramas o diagramas de funciones, le brindan al auditor de sistemas una clara comprensión de las líneas de comunicación jerárquicas de un departamento u organización como un todo. Muestran una división de funciones. Perfiles de personal. Los perfiles de personal definen las funciones y responsabilidades de las diversas tareas de una organización, también brindan a la organización la capacidad de agrupar tareas similares en diferentes niveles de puestos para garantizar la remuneración justa para su personal. Informes del comité de sistemas. Los informes del comité de sistemas brindan información documentada acerca de los proyectos de nuevos sistemas. Estos informes son revisados por la gerencia de nivel superior y distribuido entre las diversas unidades funcionales de la

7 empresa. Política de seguridad. La documentación de la política de seguridad da un estándar de cumplimiento, esta debe definir la posición de la organización en cuanto a cualquiera y todos los riesgos de seguridad. Debe identificar quien es el responsable de la salvaguarda de los bienes de la empresa, incluyendo programas y datos. Así mismo, debe expresar las medidas preventivas que han de realizarse para dar una protección adecuada y las acciones que han de emprenderse contra quienes la violen. Manuales de Políticas de personal. Los manuales de políticas de personal dan las reglas y reglamentaciones determinadas por la organización sobre como se espera que se comporten los empleados. Objetivos a Corto y Largo Plazo. Planes de trabajo a corto y largo plazo reflejan estos objetivos de departamento, los cuales deberán estar de acuerdo con las necesidades de los usuarios y debidamente autorizados. b. Entrevistas al Personal: Personal relacionado a las operaciones del centro de cómputo. La realización de entrevistas al personal de operaciones del centro de cómputo debe incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas necesarias para realizar sus tareas. Este es un importante factor que contribuye a una operación eficaz y eficiente. Personal usuario. La realización de entrevistas al personal usuario debe también incorporar garantías adecuadas de que el candidato tiene las destrezas técnicas necesarias para realizar eficazmente la función específica de sus tareas. Otro personal pertinente. El Auditor a su criterio decidirá si es conveniente entrevistarse con otro personal que tiene relación con el sistema y este deberá cumplir con los estándares de la empresa y tendrá el mismo nivel de lealtad y confianza. c. observación de personal realizando sus tareas: Permite ver: Funciones Reales. La observación es el mejor método para garantizar que la persona que esta asignada y autorizada a realizar determinada función es la persona que en realidad esta cumpliendo la tarea. Permite que el auditor de sistemas tenga oportunidad de ser testigo de cómo se comprenden y aplican las políticas y procedimientos. Percepción de la seguridad. La percepción de seguridad debe ser observada para comprobar la comprensión y práctica de buenas medidas de seguridad preventiva y de detección por parte de la persona observada a fin de salvaguardar los bienes y datos de la empresa. Relaciones de comunicación jerárquica. Deben observarse las relaciones de quien reporta a quien a fin de asegurarse de que se ponen en práctica las responsabilidades asignadas y una adecuada segregación de tareas. d. Señales de peligro de auditoría: Si bien existen innumerables condiciones de incumbencia para el auditor de sistemas, algunos de los indicadores más significativos de problemas potenciales son: Actitudes desfavorables de los usuarios finales. Costos excesivos. Exceso al presupuesto. Alta rotación de personal. Frecuentes errores de los computadores. Atraso excesivo de solicitudes de usuarios no satisfechas. Elevado tiempo de respuesta del computador.

8 Numerosos proyectos de desarrollo abortados o suspendidos. Compras de Hardware y Software sin respaldo o autorización. Cambios frecuentes a versiones superiores de Hardware y Software. e. Información que solicita el auditor: El auditor Para evaluar los controles generales solicita lo siguiente: A nivel organizacional. Objetivos del Departamento a corto y largo Plazo. Manual de la organización. Antecedentes o historia de la empresa. Políticas generales. A nivel del área informática. Objetivos a corto y largo plazo. Manual de organización que incluya puestos, funciones y jerarquías. Manual de políticas, reglamentos y lineamientos internos. Procedimientos administrativos del área. Presupuestos y costos en el área. Recursos materiales y técnicos. Solicitar un inventario actualizado de equipos, que incluya: características, fecha de instalación, ubicación, etc. Contratos vigentes de compra, renta y servicios de mantenimiento. Contrato de seguros. Convenios con otras instalaciones. Configuraciones de equipos. Planes de expansión. Políticas de uso y operación de equipos. Revisión de Centros de Computo. Consiste en revisar los controles en las operaciones del centro de procesamiento de información en los siguientes aspectos: 1. Revisión de controles en el equipo: Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente. 2. Revisión de programas de operación: se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador. 3. Revisión de controles ambientales: se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc. 4. Revisión del plan de mantenimiento: Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. 5. Revisión del sistema de administración de archivos: se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así

9 como asegurar que el uso que le dan es el autorizado. 6. Revisión del plan de contingencias: Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante. Revisión de Seguridad. El objetivo de esta revisión es analizar y evaluar los controles diseñados para salvaguardar las instalaciones del centro de procesamiento de datos de eventos accidentales, intencionales o naturales que puedan causar daños, pérdidas de información o destrucción, la revisión de estos controles están relacionados con el acceso lógico y acceso físico y con el ambiente en los centros de información. Se debe tener en cuenta que la filosofía de la seguridad, esta basada en "saber quien es" para "saber que puede hacer" a) Controles de acceso lógico: Se usan para limitar el uso de las aplicaciones de los computadores, algunos ejemplos son: Login y passwords, estos sirven para identificar el usuario y por lo tanto con este dato el sistema, otorgará niveles de acceso en las aplicaciones, es decir niveles como los siguientes: solo lectura, lectura modificación, creación, eliminación de registros, ejecutar, copiar, etc. Acceso a los sistemas utilizando tecnología biométrica, basados en la voz, retina, huella digital, etc. Procedimientos de Dial-Back, que consiste en la identificación del usuario a través de su número de línea y luego verificando si este número de línea esta autorizado. b) Controles de acceso Físico: Se usan generalmente para el resguardo del centro de computo, o centros importantes de procesamiento de datos son muy variados, he aquí unos ejemplos: Seguros en las puertas, puertas con combinación, doble puerta, etc. Puertas electrónicas, con tarjetas, digitación de código, con alarma silenciosa, etc. Puertas con sistema biométrico basados en la voz, retina, huella digital, etc. Acceso controlado con fotocheks, guardias de seguridad, etc. Escoltas para visitas. Omisión de letreros que indiquen las zonas del centro de procesamiento de datos. Llaves en los terminales, etc. c) Controles del ambiente: Detectan peligros dentro del centro de cómputo, ejemplos: Detectores de agua. Extintores de mano. Alarmas manuales. Detectores de humo. Sistemas para apagar incendios, de Halón, de Agua Locación estratégica 3er, 4to, 5to o 6to piso. Inspecciones regulares de medidas contra incendios. Uso adecuado de fusibles, relays, etc. UPS o fuente de alimentación continua. Swicth de apagado de emergencia. d) Labor de auditoría: Consiste en la identificación del ambiente de procesamiento de información para tener conocimiento general de este y para entender las necesidades de seguridad, el auditor de sistemas revisa y evalúa los siguientes aspectos: Revisión de los diagramas de red: estos diagramas muestran los puntos de conexión entre computadoras, terminales y equipos periféricos como módem, Hubs, Routhers, etc. Esta información es importante porque se pueden enlazar las direcciones físicas con los

10 accesos lógicos de terminales, actualmente existe software especializado de administración de redes que proveen esta información. Revisión de las rutas de acceso: Las rutas de acceso son caminos de lógicos de acceso a información computarizada, estas empiezan generalmente con un terminal y terminan con los datos accesados. A lo largo de este camino existen componentes de hardware y software. Conocer esta ruta es importante porque permite al auditor de sistemas, determinar puntos de seguridad física y lógica, la secuencia típica de estos caminos lógicos es: 1. Terminales: Son usados por el usuario final para identificarse, estos deben tener restricción física de su uso y la identificación de los usuarios o "login" de accesos debe ser controlada con los "passwords" o claves. 2. El software de telecomunicaciones: El software de telecomunicaciones es usado para dar o limitar el acceso a aplicaciones o datos específicos. 3. El software de procesamiento de transacciones: Este software utiliza la identificación del usuario realizada en los terminales (User-Id) y asigna niveles y posibilidades de transacción (añadir, modificar, eliminar, obtener reportes, etc.) en una aplicación determinada basado en archivos o tablas de usuario definidas y solo disponibles al administrador de seguridad. 4. El software de aplicación: El software de aplicación tiene la lógica del procesamiento de los datos definida, esta lógica debe permanecer según las necesidades determinadas por la gerencia, para esto se debe proteger el acceso a los programas que regulan la lógica de estos procesos. 5. El software de administración de base de datos: Por el medio del cual se accesa directamente a la información, este debe tener la definición de los campos de datos y su ejecución debe estar restringido al personal de administración de la base de datos. Inspección de las facilidades del procesamiento de datos: Esta inspección sirve para entender los controles físicos para el personal, visitantes, controles de seguridad del ambiente como extintores, detectores de humo, protectores de polvo, control de temperatura, fuentes alternativas de energía. Esta revisión debe ser hecha en el centro de cómputo, área de programadores, librería de cintas o cassettes, almacenes de útiles, etc. Entrevistas con personal de sistemas: Las entrevistas claves, generalmente son con el administrador de la Red, el gerente de sistemas, quienes proveerán de información sobre el control y mantenimiento de los componentes de las rutas de acceso. Entrevista con el usuario final: Se entrevista una muestra de usuarios finales para conocer las políticas respecto a la confidencialidad de los datos que trabajan. Revisión de políticas y procedimientos. Consiste en revisar las políticas y procedimientos para verificar si son adecuados y ofrecen la seguridad apropiada, para esto el auditor debe verificar: Políticas de acceso físico Políticas de acceso lógico Entrenamiento formal sobre precauciones de seguridad. Políticas sobre uso de internet Recuperación de desastres. El objetivo de esta revisión es analizar y evaluar las políticas y procedimientos relacionados a la planificación de contingencia para asegurar la capacidad del ente para responder eficazmente ante desastres y otras situaciones de emergencia. Para conseguirlo, el equipo de auditoría realiza lo siguiente: a) Revisión del plan de contingencia Primero es necesario obtener una copia del plan o manual de recuperación de desastre y hacer lo siguiente: Realizar un muestreo de las copias distribuidas del manual y verificar que están

11 actualizadas. Evaluar la eficacia de los procedimientos documentados para iniciar el esfuerzo de recuperación de desastre, planteándose preguntas como las siguientes: 1) Identifica el plan los puntos de reunión del comité de administración de desastre o del equipo de administración de emergencia para que se reúnan y decidan si debe iniciarse la recuperación de desastre? 2) Son adecuados los procedimientos documentados para una recuperación exitosa? 3) Trata el plan de desastres de diverso grado? Revisar la identificación y el soporte planificado de las aplicaciones críticas, incluyendo sistemas basados en Pc o desarrollados por usuarios finales para esto: 1) Determine si se han revisado todas las aplicaciones en busca de su nivel de tolerancia en caso de un desastre. 2) Determine si se han identificado todas las aplicaciones críticas, (incluyendo aplicaciones en PC). 3) Determine si en el "Hot Site" tiene las versiones correctas de sistema operativo. Revisar la corrección e integridad de la lista de personal de recuperación de desastre, contactos de emergencia con el "Hot Site", contactos de emergencia con proveedores, etc. 1) En la practica se sugiere realizar llamadas a una muestra de la gente indicada y verifique que los números de teléfono y domicilios son correctos y que posean copia del manual de recuperación de desastre. 2) Entrevistar al personal para obtener una comprensión de las responsabilidades que tienen asignadas en una situación de desastre. Evaluar procedimientos para actualizar el manual. Se aplican y distribuyen las actualizaciones de manera oportuna?. Existen responsabilidades específicas respecto a mantener el manual actualizado?. Determinar si los elementos necesarios para la reconstrucción de la instalación de procesamiento de información se almacenan en otra sede (planos, inventario de hardware, diagramas de cableado, etc. b) Evaluación del almacenamiento en sede alternativa. Debe evaluarse la instalación de almacenamiento en sede alternativa para asegurarse de la presencia, sincronización y actualización de los medios magnéticos y documentación críticas. Ello incluirá archivos de datos, software de aplicaciones, documentación de aplicaciones, software de sistemas, documentación de sistemas, documentación de operaciones, insumos necesarios, formularios especiales, y una copia del plan de contingencia. Para verificar las condiciones que se mencionaron, el auditor de sistemas debe realizar un examen detallado de inventario. Ese inventario debe incluir poner a prueba los nombres de correctos de los archivos, identificación de cintas o cassettes, ubicación correcta en los depósitos de las cintas o cassettes así como una revisión de la documentación y verificar que corresponda con documentación actualizada.

12 c) Revisión de cobertura de seguros. Es esencial que la cobertura de seguros refleje el costo actual de la recuperación, por ende debe revisarse la adecuación de la cobertura de seguros para daños a medios magnéticos, interrupción de negocio, reemplazo del equipo, y procesamiento de contingencia. A fin de determinar la adecuación, obtenga una copia de las pólizas de seguros de la empresa y evalúe la adecuación de la cobertura. d) Conocimientos de los procedimientos de recuperación por parte del personal. El auditor de sistemas debe entrevistar al personal clave que se necesita para la recuperación con éxito de las operaciones del negocio. Todo el personal clave debe tener una comprensión de las responsabilidades asignadas, así como documentación detallada y actualizada que describe sus tareas. e) Seguridad física en la instalación en sede alternativa. Debe evaluarse la seguridad física en la instalación alternativa, para asegurarse de que tiene controles de acceso como ambientes apropiados, tales controles incluyen la capacidad de limitar el acceso solo a los usuarios autorizados de la instalación, piso sobre elevado, controles de humedad, controles de temperatura, circuitos especializados, fuente ininterrumpida de energía, dispositivos de detección de agua, detectores de humo y un sistema adecuado de extinción de incendios. El auditor de sistemas debe hacer un examen del equipo en busca de etiquetas de inspección y calibración vigentes. f) Examen del contrato de procesamiento alternativo. Debe revisarse el contrato con el proveedor de la instalación de procesamiento alternativo, teniendo en cuenta lo siguiente: Que el proveedor sea confiable y de prestigio. Que el proveedor ponga por escrito todo lo que promete. Asegurarse de que el contrato es claro y es comprensible para un Juez. Asegurarse de que se puede continuar trabajando con las reglas que son aplicables cuando se tenga que compartir la sede con otros suscriptores. Asegurarse que la cobertura de seguro se vincula y cubre todos o la mayoría de gastos del desastre. Prestar atención a los requerimientos de comunicaciones para la sede alternativa. Sistema operativo. Consiste en revisar las políticas y procedimientos de adquisición y mantenimiento de software de sistemas operativos. Para lo cual el auditor revisa lo siguiente: Los procedimientos relacionados con la identificación y la selección del software del sistema.mediante entrevistas a la gerencia, para identificar: Los requerimientos de software. Las fuentes potenciales de software. Análisis de costo/beneficio del software del sistema, consiste en revisar la documentación del análisis costo/beneficio y las alternativas que proponen y determinan si cada alternativa potencial fue evaluada adecuadamente. Esta documentación debe tener por lo menos: Costo directo financiado para la compra de software.

13 Costo de la modificación necesaria para adaptar el software al ambiente de sistemas de información de la organización (si fuera necesario). Los requisitos de equipo para ese software. Los requisitos de capacitación asociados con la utilización de ese software. Los requisitos de apoyo técnico asociado a ese software. Análisis de las facilidades del software para cumplir con los requisitos de procesamiento de información. Análisis de la capacidad del software para cumplir con los requisitos de seguridad. Análisis de la capacidad del software para cumplir con los requisitos técnicos de la organización. Instalación del software del sistema, Consiste en revisar el plan o procedimiento para la prueba del sistema, determinar si las pruebas se realizaron de acuerdo a ese plan y en forma exitosa, de no ser así investigar si todos los problemas se evaluaron y resolvieron antes de la instalación del software. Mantenimiento del software del sistema, consiste en revisar la documentación relacionada con el mantenimiento o upgrade del software y determinar lo siguiente: Si los estándares de instalación están de acuerdo con la documentación del mantenimiento del software. Si los cambios en el software del sistema están debidamente explicados en cuanto a su motivo y aprobación. Si existen pruebas de que el cambio realmente se hizo. Si el personal responsable del cambio del software del sistema no pertenece al grupo de programadores. Si se proporciona a los usuarios del sistema documentación sobre los cambios que se realizarán. Si existe un registro o una bitácora de los cambios realizados al sistema. Si existen los controles suficientes para asegurarse que los operadores no podrán hacer cambio al sistema sin asesoría del grupo responsable de la instalación de estos cambios. Seguridad del software del sistema, consiste en revisar los procedimientos para el acceso al software del sistema y a su documentación, para esto entrevistarse con la gerencia de o personal de adecuado para identificar los procedimientos de seguridad para restringir el acceso al software del sistema así como el personal que tiene acceso al software del sistema y a su documentación. Revisión del ciclo de vida del desarrollo de Aplicaciones, adquisición o mantenimiento. El Objetivo de esta revisión es identificar, analizar y evaluar los requerimientos del usuario, riesgos, exposiciones a ellos y los controles en aplicaciones específicas durante la fase de desarrollo, adquisición o mantenimiento de las aplicaciones. Las tareas del auditor de sistemas incluyen las siguientes: Determinar los componentes, objetivos y requerimientos principales de los usuarios de la aplicación e identificar las áreas que exigen controles al hacer entrevistas con miembros claves del proyecto. Determinar y clasificar los principales riesgos y exposición a riesgos de la aplicación, para permitir controles por medio de discusiones con miembros del equipo del proyecto. Identificar los controles para minimizar los riesgos y exposiciones a riesgos de la aplicación por referencia a fuentes confiables y por medio de discusiones con miembros del equipo del proyecto.

14 Asesorar al equipo del proyecto respecto del diseño de la aplicación y la implantación de controles al evaluar los controles disponibles y al participar en discusiones con miembros del equipo del proyecto. Monitorear el proceso de desarrollo, mantenimiento o adquisición de las aplicaciones para asegurarse de que se implantan los controles, se satisfacen los requerimientos de los usuarios y se sigue la metodología mas adecuada en cada caso, esto permite asegurarse que las aplicaciones son eficaces y eficientes, al realizar reuniones periódicas con miembros del equipo del proyecto y al hacer exámenes de la documentación y los productos en sus diversas etapas. a. Revisión de desarrollo de sistemas. Cuando se revisa el proceso de desarrollo de sistemas, se espera que el auditor de sistemas obtenga la documentación necesaria y disponible de las diversas fases así como que asista a las reuniones del equipo del proyecto ofreciendo asesoramiento durante todo el proyecto de desarrollo de sistemas. También, el auditor de sistemas debe evaluar la capacidad de los equipos del proyecto para producir los productos claves a entregar para las fechas prometidas. Durante todo el proceso de desarrollo de sistemas el auditor de sistemas debe analizar los riesgos asociados y las exposiciones que son inherentes en cada fase y asegurarse de que los mecanismos de control adecuados están vigentes para minimizar esos riesgos y una forma que sea eficaz en cuanto a costos. Debe utilizarse el tino para recomendar controles que no cuesten mas administrarlos que los riesgos que deben minimizar. 1. Estudio de Factibilidad. El auditor de sistemas debe revisar la documentación producida en esta fase y corroborar su razonabilidad. Debe verificarse todas las justificaciones de costo / beneficio junto con el cronograma de cuando se anticipaba que se realizarían los beneficios. Identificar si la necesidad del negocio que se utiliza para justificar el sistema, realmente existe, y hasta que punto existe la necesidad. Determinar si puede obtenerse una solución con los sistemas vigentes. De no ser así corroborar la razonabilidad de la evaluación de las soluciones alternativas. Determinar si finalmente se eligió la solución mas apropiada. 2. Definición de requerimientos. El auditor de sistemas debe obtener el documento de definición de requerimientos detallados y verificar su exactitud por medio de entrevistas con los departamentos usuarios que lo solicitan. Identificar los miembros clave del equipo del proyecto y verifique que todos los grupos usuarios afectados tienen una adecuada representación. Verificar que la gerencia aprobó la iniciación del proyecto y el costo del proyecto. Revisar los diagramas de flujo de datos y el diseño conceptual para asegurarse de que se trata las necesidades del usuario. Revisar el diseño conceptual por el nivel adecuado del control. Revisar las propuestas dadas a los proveedores para asegurarse de que cubren el verdadero alcance del proyecto y los requerimientos de los usuarios. Determinar si esta aplicación es apropiada para el uso de una rutina de auditoría incorporada. De ser así incorpore la rutina en el diseño conceptual del sistema. 3. Fase de diseño detallado y programación. Revisar los flujogramas del sistema para observar el seguimiento del diseño general, si se observan cambios, verifiquen que fueron dadas sus aprobaciones apropiadas para los cambios y que los cambios han sido discutidos y aprobados por los grupos de usuarios afectados. Revisar los controles de entrada y salida diseñados dentro del sistema, para comprobar que sean apropiados. Entrevistar a los usuarios clave del sistema para comprobar su comprensión de cómo operará el sistema y evaluar su nivel de entrada en el diseño de los formatos de pantalla y los informes de salida. Evaluar los rastros de auditoría que se programan, en el sistema para rastrear la información fuente clave. Verificar la corrección de los cálculos de los procesos claves. Verificar que el sistema puede identificar y procesar correctamente datos erróneos. Verificar que los procesos de prueba de los programas sean desarrollados durante esta fase. Verificar que se

15 hicieron las correcciones recomendadas para los errores de programación y que las pistas de auditoría recomendados o los módulos de auditoría fueron incorporadas en los programas correctos. 4. Fase de Prueba. La fase de prueba es crucial para determinar que los requerimientos han sido satisfechos y que el sistema se comporta como se anticipaba. Por ende el auditor de sistemas debe participar en forma intensa y revisar la fase. Examinar el plan de prueba, para verificar que sea completo con la evidencia indicada de la participación del usuario, tal como escenario de situaciones de prueba creados por los usuarios y/o aprobación escrita de aceptación de los resultados. Revisar todos los resultados de pruebas en paralelo para comprobar su exactitud. Verificar que la seguridad este funcionando adecuadamente, probando intentos de acceso no permitidos. Examinar comprobando la precisión de los mensajes de error para reconocer los datos erróneos y la resolución de estos errores. 5. Implantación. Esta fase se inicia solo después de una exitosa fase de prueba. Debe tenerse precaución al transferir un nuevo sistema a situación de producción. El auditor de sistemas debe verificar que las aprobaciones necesarias existen antes de implementar el nuevo sistema. Revisar los procedimientos programados que se utilizan para hacer el cronograma y correr el sistema junto con los parámetros del sistema que se utilizan al ejecutar el cronograma de actividades. Revisar la documentación del sistema a fin de asegurarse de que esta completo y que todas las actualizaciones posteriores a la fase de prueba han sido incorporadas. Verificar toda la conversión de datos para asegurarse de que es correcta y esta completa antes de implementar en producción al nuevo sistema. 6. Fase de Post-Implantación. Luego que el nuevo sistema ha estado operando, por lo menos seis meses, el auditor de sistemas independiente de las otras fases de la vida del sistema, revisará lo siguiente: Determinar si el programa ha logrado los requerimientos de los objetivos, se debe prestar especial atención a la utilización y la satisfacción de los usuarios finales, ellos constituirán un indicador excelente. Verificar que se miden, analizan e informan adecuadamente a la gerencia los beneficios identificados con el estudio de factibilidad. Revisar las solicitudes de cambios a los programas que se han realizado, para evaluar el tipo de cambios que se exigen al sistema, el tipo de cambios puede indicar problemas de diseño, programación o interpretación de los requerimientos de usuario. b. Revisión de aplicaciones de software comprado. Para tomar la decisión de comprar el producto de un vendedor en lugar de crear una solución interna, debe existir en el estudio de factibilidad, documentación sobre la decisión de "hacer vs. Comprar", esta documentación debe ser analizada para determinar si la decisión de comprar fue apropiada. y considerar lo siguiente respecto a los proveedores: Estabilidad financiera. Número de años de experiencia ofreciendo el producto. Número de sedes de clientes que usen el servicio. Compromiso de servicio. Compromiso de desarrollar o mejorar el producto. Nivel de satisfacción de otros clientes, si es posible visitar sus instalaciones y ver como se utiliza en un ambiente real de producción. Compromiso para la provisión de entrenamiento, documentación y upgrades a los productos. Aceptación de pruebas de productos antes de la compra. Adicionalmente el auditor de sistemas deberá revisar el contrato en los siguientes puntos: Descripción específica de los productos a entregar. Compromisos sobre fechas de entrega de los productos. Compromiso de entrega de los upgrades y entrenamiento. Entregas de licencias y permisos para copiar el software para utilizarlo en esfuerzos de recuperación de desastres. c. Revisión del Mantenimiento de aplicaciones.

16 El objetivo de esta revisión es identificar, analizar y evaluar normas, tareas, procedimientos y controles en el proceso de control de cambios a los programas. Las tareas de auditoría en este aspecto son: Evaluar los estándares y procedimientos para cambios a programas para asegurar su adecuación por medio de examen de la correspondiente documentación, discusiones con personal clave y observaciones. Probar los procedimientos de control de cambios para asegurar que se explican según se describe en los estándares por medio de discusión y examen de los registros respaldatorios. Evaluar el proceso de control de cambios para determinar que los objetivos de control fueron cumplidos al analizar los resultados de pruebas y otra evidencia de auditoría. Determinar la adecuación de la seguridad de la biblioteca de producción para asegurar la integridad de los recursos de producción al identificar y probar controles existentes. Desde que un sistema es puesto en funcionamiento, se practican cambios, los cuales deben tener en cuenta una metodología para realizar y registrar estos cambios, esta metodología debe incluir: Procedimientos para autorización de los cambios a los programas de producción. Documentación de programas, las solicitudes de cambio deben ser archivadas con la documentación del programa afectado y debe incluirse la documentación de la razón del cambio (análisis del costo / beneficio) si es necesario. Rastros de auditoría de cambios, siempre debe llevarse un rastro de auditoría de todos los cambios o manejo de versiones de los programas, esto generalmente lo posee el software de manejo de bibliotecas. Concordancia del código fuente y el ejecutable, se refiere a que si un programa fuente es compilado nuevamente, el programa ejecutable resultante es igual al programa que esta en producción. o Controles de acceso a los programas de producción, debe existir un riguroso control de acceso a los programas de producción, estos controles generalmente son manejados por el software de acceso al mainframe. Revisión de controles de aplicaciones. El objetivo de esta revisión es analizar y evaluar la eficacia de los controles de los sistemas o aplicaciones ya existentes, estos controles deben asegurar que solo se ingresan y actualizan datos completos, exactos y válidos en un sistema, que el procesamiento de estos datos es correcto, que los resultados del procesamiento cumplen las expectativas; y que los datos se mantienen seguros. Quienes diseñan los sistemas ubican controles en el ingreso de datos o input, en el procesamiento y en el output del sistema. 1. Procedimientos de control de input. Controles de acceso: Con esto se asegura que los datos ingresados al sistema son los autorizados y las responsabilidades sobre el cambio de datos esta definida. Control de secuencia: Los registros de las transacciones llevan un número que los identifica y son consecutivos, por lo que no pueden haber duplicidades ni intervalos vacíos de secuencia. Control de límite: Se verifican los límites de valores que puede asumir una variable de entrada y que se rechazara o advertirá en caso no cumpla con los límites establecidos. Control de Rango: Es similar al anterior, pero se trata de un par de límites. Control de paridad: Se utiliza para verificar una transmisión de datos (que puede ser la fuente para el ingreso de datos a otro sistema).

17 Control de validez: Consiste en considerar como válidos aquellos campos codificados con valores predeterminados. Control de razonabilidad: Los datos ingresados se comparan con límites de razonabilidad o de ocurrencia de datos. Búsquedas en tablas: Se valida un campo con el contenido de una tabla de datos, por ejemplo una tabla de códigos de países y los nombres de países se utiliza para validar el campo país de una pantalla de ingreso de datos. Control de existencia: Es un control que sirve para validar un dato que ingresa al sistema y además asegura que el proceso sea según un orden establecido, por ejemplo: la autorización electrónica de una orden de trabajo, exige primero que esta haya sido ingresada y luego sea marcada por otra persona como autorizada. Verificación de ingreso por teclado: Consiste en redigitar el ingreso de datos por otra persona sobre el archivo digitado primero por otra persona. Dígito de control: Consiste en agregar al dato ingresado un dígito, el que se calcula matemáticamente por un algoritmo sobre los dígitos del dato ingresado, los más comunes son el módulo 10 o módulo 11. Control de integridad: consiste en que un campo siempre debe contener datos, no puede estar vacío,etc. 2. Procedimientos de Control de procesos. Recálculos manuales: Consiste en recalcular manualmente una muestra de las transacciones a fin de asegurar que el procesamiento esta realizando la tarea esperada. Edición: Consiste en comprobar que el input de datos es correcto, aquí se interpreta el paso de input como parte del proceso. Verificación de razonabilidad de cifras calculadas: Consiste en probar la razonabilidad de los resultados de las transacciones para asegurarse de la adecuación a criterios predeterminados. Verificación de la cantidad de registros procesados. Manejo de archivo de errores para su posterior investigación. Verificación por rangos de fechas o períodos. Aprobación electrónica: Para que un determinado registro pase de un estado a otro por la autorización de un usuario diferente al que genero el registro. Archivos de seguimiento: que permiten identificar el status de una determinada operación en un momento determinado. 3. Procedimientos de Output o salida. Resguardo de formularios negociables, sensibles o críticos: deben ser adecuadamente controlados en un listado de formularios recibidos, utilizados y dando razón de las excepciones, rechazos y mutilaciones para protergerlos de robo o daño. Autorización de distribución: Las opciones de reporte del sistema deben estar de acuerdo con las funciones que tiene el usuario en el sistema y ser controlado por los accesos definidos en el sistema. Estructura estándar de los formatos de los reportes: como son el número de páginas, la hora, fecha, nombre del programa que lo produce, cabeceras, etc. La auditoría de los controles de las aplicaciones tiene las siguientes tareas: 1. Examen de documentación de la aplicación: Donde se revisa principalmente los siguientes documentos actualizados de: Documentos de la metodología de desarrollo de la

18 aplicación. Especificaciones funcionales de diseño. Cambios a los programas. Manuales de usuario. Documentación técnica de referencia. 2. Elaboración de un modelo de evaluación de riesgos para analizar los controles de la aplicación. La evaluación de riesgos puede basarse en muchos factores incluyendo: La calidad de los controles internos. Condiciones económicas. Cambios recientes al sistema contable. Tiempo transcurrido desde la ultima auditoría. Complejidad de las operaciones. Cambios recientes en los puestos clave. Bienes en riesgo Cambio de personal. Volumen de transacciones. Volumen monetario. Impacto de una falla de la aplicación. 3. Observación y prueba de los usuarios que realizan procesos. Esta observación de debe estar enfocada a revisar que existe una segregación de funciones y que esta debe mostrar que una persona no tiene capacidad de realizar mas de una de las siguientes funciones referidas al procesamiento de información: originarla, autorizarla, verificarla, y distribuirla. 4. Examen y prueba de autorizaciones y capacidades de acceso. Para esto se revisan los siguientes aspectos: Tablas de control de acceso. Informes de actividades. Informes de violaciones. 5. Selección del tipo de técnica de auditoría asistida por computador y pruebas de auditoría con ayuda del computador. consiste en determinar que metodología se utilizara para probar los datos o procesos del sistema, generalmente se usa lo siguiente: Software de auditoría generalizado. Módulos de auditoría incorporados. Transferencia de información (downloading) a una Pc para tratarla con software de análisis. Uso de sistemas expertos. Con la ayuda de este software o técnica asistida por computador, se realizan pruebas de auditoría, estas pruebas incluyen por ejemplo: Muestreo estadístico, con el cual se selecciona la muestra de transacciones o del universo de datos que serán probados. Pruebas de rangos, se usan para probar que los datos en prueba son válidos porque están en un rango de valores adecuado. Pruebas de excepciones, se usan para verificar que el procesamiento de las transacciones es correcto que no existen excepciones en los datos con los que trabaja el sistema.

1.3. Procedimientos. 1.4. Tecnologías.

1.3. Procedimientos. 1.4. Tecnologías. INGENIERÍA DE SOFTWARE AVANZADA (SESIÓN 3) 1.3. Procedimientos. 1.4. Tecnologías. Objetivo: Entender la necesidad de hacer auditorias informáticas que garanticen la seguridad de la información. Conocer

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

CONTROL INTERNO DEFINICIÓN

CONTROL INTERNO DEFINICIÓN CONTROL INTERNO DEFINICIÓN Es el conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin de asegurar que: Los activos estén debidamente protegidos Los registros contables

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Normas De Auditoria Generalmente Aceptadas (Nagas)

Normas De Auditoria Generalmente Aceptadas (Nagas) LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS (NAGAS) 1. Concepto Las Norma de Auditoría Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoría a los que deben enmarcarse su desempeño

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Manual de la Calidad MC-SGC

Manual de la Calidad MC-SGC MC-SGC Elaborado por: Revisado por: Aprobado por: Nombre Cargo Firma Fecha Encargado Alejandro Jara la 10-12-2008 calidad Claudia Ramírez Mariana Schkolnik Representante de la Dirección Directora 10-12-2008

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO 1.1 PROYECTO - Auditoría Informática de los sistemas de información de la ESPE Dominio de Planeación y Organización. 1.2 INTRODUCCIÓN - La evolución

Más detalles

CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION

CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION CONCEPTOS DE AUDITORIA DE SISTEMAS DE LA INFORMACION INTRODUCCIÓN A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

AUDITORIA INFORMATICA

AUDITORIA INFORMATICA INSTITUTO TECNOLOGICO DE LAS AMERICAS CARRERA DE TECNOLOGO EN DESARROLLO DE SOFTWARE AUDITORIA INFORMATICA Nombre de la asignatura: Nomenclatura del Curso: Prerrequisitos: Nomenclatura del prerrequisito

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 0 Introducción Generalidades La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización. El diseño y la implementación

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7 LINEAMIENTOS GENERALES PARA LA ESTRUCTURACIÓN DE UN DOCUMENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA APLICACIÓN DE LAS AUDITORÍAS DE SEGURIDAD VIAL EN COLOMBIA 1 PRINCIPIOS GENERALES DE AUDITORÍA DE

Más detalles

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Normas y Procedimientos de auditoria y Normas para atestiguar Boletín 3050 Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Generalidades El estudio y evaluación del control interno se efectúa con

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL I. Datos Generales de la Calificación CINF0286.01 Título Análisis y diseño de redes de datos Propósito Proporcionar un referente para evaluar la competencia en las funciones relativas al análisis y diseño

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

MANUAL DE AUDITORIA GUBERNAMENTAL

MANUAL DE AUDITORIA GUBERNAMENTAL CONTRALORIA GENERAL DE LA REPUBLICA MANUAL DE AUDITORIA GUBERNAMENTAL PARTE Nº VIII AUDITORIA INFORMATICA PROYECTO BID/CGR MANAGUA NICARAGUA JULIO, 2009 I N D I C E Capítulo XXVI Visión general de la Auditoría

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

2. Las funciones de control interno y auditoría informáticos.

2. Las funciones de control interno y auditoría informáticos. TEMA 9 AUDITORIA DE PROYECTO 1. Auditoría: Procedimiento reglado para analizar cualitativamente y cuantitativamente la eficiencia de un proceso, una tarea o un sistema. Las auditorias pueden ser internas

Más detalles

La Seguridad Informática de las aplicaciones y el Control Interno.

La Seguridad Informática de las aplicaciones y el Control Interno. La Seguridad Informática de las aplicaciones y el Control Interno. AUTORA: MSc. Concepción Casal González Especialista en Ciencias Computacionales Gerencia de Auditoria. Dirección de Control Corporativo.

Más detalles

Master en Gestion de la Calidad

Master en Gestion de la Calidad Master en Gestion de la Calidad Implantacion Sistema de Gestion de Calidad Implantacion de Sistemas de Gestion de Calidad 1 / 14 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer los pasos

Más detalles

Aseguramiento de la Calidad en Equipos de Laboratorio. Temas Selectos de Calidad en Serología BIO-RAD

Aseguramiento de la Calidad en Equipos de Laboratorio. Temas Selectos de Calidad en Serología BIO-RAD Aseguramiento de la Calidad en Equipos de Laboratorio Temas Selectos de Calidad en Serología BIO-RAD México, DF. 09-dic-2009 Enfoque Integral de un Sistema de Gestión n de Calidad. SGC PLANEAR el SGC mediante:

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements

NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements Systèmes de management de la qualité Exigences Publicado

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R-839-2009

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R-839-2009 1 RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R-839-2009 Lineamientos Generales para la aplicación del Reglamento sobre la Gestión de la Tecnología de Información, Acuerdo SUGEF 14-09 A. FORMULARIOS DEL PERFIL

Más detalles

INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL.

INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL. INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL. ANALISIS En la UNAD sede regional, se llevará a cabo una interventoría privada de tipo teleinformático en el

Más detalles

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,

Más detalles

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO Lima, Noviembre de 2014 CONSTITUCIÓN POLÍTICA DEL ESTADO Artículo

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Ges3ón de Proyectos So9ware

Ges3ón de Proyectos So9ware Ges3ón de Proyectos So9ware Tema 2.1 Integración Carlos Blanco Bueno Félix Óscar García Rubio Este tema se publica bajo Licencia: Crea5ve Commons BY- NC- ND 4.0 Objetivos Ampliar los conocimientos básicos

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Ingeniería del Software III Gabriel Buades 2.002

Ingeniería del Software III Gabriel Buades 2.002 Ingeniería del Software III Gabriel Buades 2.002 Auditoría Informática 1 Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de

Más detalles

NORMA INTERNACIONAL ISO 9001: 2008 Traducción Certificada Sistemas de gestión de la calidad Requisitos

NORMA INTERNACIONAL ISO 9001: 2008 Traducción Certificada Sistemas de gestión de la calidad Requisitos Norma Internacional ISO 9001:2008 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han

Más detalles

Aprobación del plan estratégico de sistemas de información. Aprobación de la grades inversiones en tecnología de la información.

Aprobación del plan estratégico de sistemas de información. Aprobación de la grades inversiones en tecnología de la información. Organizar y Coordinar El proceso de organizar sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos mercados durante la planeación. Comité de

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003 2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC EC-15189- IMNC-2006 / ISO 15189:2003 4. REQUISITOS DE GESTIÓN 4.1 Organización y gestión 4.2 Sistema de gestión de la calidad 4.3 Control de los documentos

Más detalles

ANEXO LECCIÓN 9. Dra. Elizabeth Alves

ANEXO LECCIÓN 9. Dra. Elizabeth Alves ANEXO LECCIÓN 9 Dra. Elizabeth Alves Caracas, 1998 ANEXO LECCIÓN 9 CUESTIONARIO 1 1. Existe una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedan

Más detalles

PERFIL DEL INGENIERO DE SISTEMAS FUSM

PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS DE LA FUSM El perfil del Ingeniero de Sistemas presencial de la Fundación Universitaria San Martín, Bogotá, está en capacidad de modelar

Más detalles

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL I. Datos Generales de la Calificación CINF0283.01 Título Análisis y diseño de centro de datos Propósito Proporcionar un referente para la evaluación de la competencia en el análisis y diseño de centro

Más detalles

FORMULACIÓN DEL PLAN ESTRATÉGICO DE AUDITORÍA INTERNA

FORMULACIÓN DEL PLAN ESTRATÉGICO DE AUDITORÍA INTERNA DOCUMENTO TÉCNICO N 83 Versión 0.1 + FORMULACIÓN DEL PLAN ESTRATÉGICO DE AUDITORÍA INTERNA Este documento técnico describe los principales pasos para desarrollar la etapa de planificación estratégica en

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones.

Tema: Manual de Auditoría de Gestión a las Tecnologías de Información y Comunicaciones. CORTE DE CUENTAS DE LA REPÚBLICA El Salvador, C.A. XIV Concurso Anual de Investigación de OLACEFs 2011, denominado Auditoria de Gestión a las Tecnologías de Información y Comunicaciones. Tema: Manual de

Más detalles

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS Una vez realizada la auditoría a los directivos y a los gerentes de la Agencia de Conferencistas Divulga, se encontró una serie

Más detalles

MANUAL DE PROCESOS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA

MANUAL DE PROCESOS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA MANUAL DE PROCESOS Y PROCEDIMIENTOS DE AUDITORÍA INTERNA Elaborado Por: Lic. Licda Nory Álvarez Betancourth/Auditora Interna SE La Educación Popular es el Alma de las Naciones Libres Francisco Morazán

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Versión 2015 SOFTWARE DE AUDITORÍA BASADA EN RIESGOS CRITICOS Derechos de autor reservados por AUDISIS PRESENTACION DEL PRODUCTO AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN AUDISIS Servicios

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 22 Elaborado por: Revisado por: PLANEACIÓN Y EJECUCION AUDITORIAS Aprobado por: Profesional de la Jefe de la TABLA DE CONTENIDO 1. OBJETIVO... 4 2. ALCANCE... 4 3. DEFINICIONES... 4 3.1. Auditorías

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

A UDITORÍA DE LA TECNOLOGÍA DE INFORMACIÓN Y

A UDITORÍA DE LA TECNOLOGÍA DE INFORMACIÓN Y A UDITORÍA DE LA TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DE CAC S I. INTRODUCCIÓN...3 II. OBJETIVO...5 III. CONCEPTOS GENERALES...6 A. AUDITORIA DE SISTEMAS...6 B. ADMINISTRACIÓN INFORMÁTICA...6 C. CONTROL

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

Auditoría Computacional

Auditoría Computacional Auditoría Computacional Modulo 4 : Tipos y Clases de Auditorías Informáticas 4.1 Areas Generales y Especificas de la Auditoría Informática 4.1.1 Areas Generales de la Auditoría Informática. 4.1.2 Areas

Más detalles

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

USO DE HERRAMIENTAS TECNOLÓGICAS

USO DE HERRAMIENTAS TECNOLÓGICAS USO DE HERRAMIENTAS TECNOLÓGICAS POR LA AUDITORÍA Preparado por Ricardo Arce Sandí, CIA, CISA. Objetivo Dar a conocer de manera general las grandes posibilidades tecnológicas que hoy día tiene un Auditor

Más detalles

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA

CONTROL INTERNO ALCALDIA MUNICIPAL DE HERVEO- TOLIMA INFORME ANUAL DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO CONTABLE ALCALDIA MUNICIPAL DE HERVEO- TOLIMA VIGENCIA 2013 OFICINA DE CONTROL INTERNO INGRID PAOLA NAVARRO VARGAS Jefe de Control interno Herveo,

Más detalles

Lista de verificación para una auditoría a la seguridad informática

Lista de verificación para una auditoría a la seguridad informática Lista de verificación para una auditoría a la seguridad informática Seguridad en la protección y conservación de locales, instalaciones, mobiliario y equipos. Seguridad para el personal informático y los

Más detalles

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI NOMBRE DE LA ASIGNATURA: SEGURIDAD FÍSICA Y LÓGICA FECHA DE ELABORACIÓN: ENERO 2005 ÁREA DEL PLAN DE ESTUDIOS: AS ( )

Más detalles

Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computarizados.

Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computarizados. Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computarizados. CONTENIDO PRESENTACION 300 NORMAS GENERALES 301 PREISTALACION 301.01 Estudio preliminar 301.02 Estudio

Más detalles

Norma Internacional ISO 9001:2000

Norma Internacional ISO 9001:2000 Norma Internacional ISO 9001:2000 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han

Más detalles

BANCO CENTRAL DE LA REPUBLICA ARGENTINA COMUNICACION "A " 3605 09/05/02

BANCO CENTRAL DE LA REPUBLICA ARGENTINA COMUNICACION A  3605 09/05/02 BANCO CENTRAL DE LA REPUBLICA ARGENTINA COMUNICACION "A " 3605 09/05/02 A LAS ENTIDADES FINANCIERAS: Ref.: Circular CONAU 1 455 Comité de Auditoría Síndico o Consejo de Vigilancia. Procedimientos a ser

Más detalles

QM SISTEMAS DE GESTIÓN DE LA CALIDAD

QM SISTEMAS DE GESTIÓN DE LA CALIDAD CURSO AUDITOR LÍDER, RABQSA TPECS Unidad de Competencia: QM QM SISTEMAS DE GESTIÓN DE LA CALIDAD COTECNA QUALITY RESOURCES, CQR INC. QM (TPECS) V 3, Mar, 2012/p.1 OBJETIVOS DEL CURSO 1. Entender la aplicación

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles