AUDITORIA DE SISTEMAS CON ENFOQUE EN PROCESOS (SUSTANTIVOS Y DE APOYO) RIESGOS Y CONTROLES

Tamaño: px
Comenzar la demostración a partir de la página:

Download "AUDITORIA DE SISTEMAS CON ENFOQUE EN PROCESOS (SUSTANTIVOS Y DE APOYO) RIESGOS Y CONTROLES"

Transcripción

1 AUDITORIA DE SISTEMAS CON ENFOQUE EN PROCESOS (SUSTANTIVOS Y DE APOYO) RIESGOS Y CONTROLES Área V: Administración y Sistemas Área v.2: Sistemas de Información y Gestión Tema: 2. Auditoría y seguridad: auditoría en ambientes computarizados Congreso Nacional de Profesionales de Ciencias Económicas, Ciudad Autónoma de Buenos Aires, 16 al 18 de junio de 2010 Código de Identificación:

2 Índice Procesos. Riesgos y Controles...3 Introducción Conceptual...3 Los Procesos...3 Los Procesos y el Auditor de Sistemas...6 Desarrollo Conceptual...8 Relevamiento y Evaluación de Cumplimiento...12 Sistemas Aplicativos...16 Introducción Conceptual...16 Los Sistemas Aplicativos...16 Desarrollo Conceptual...17 Relevamiento y Evaluación de Cumplimiento...19 Relación Procesos y Sistemas de Aplicación...21 Transacciones...22 Introducción Conceptual...22 Las transacciones...22 Desarrollo Conceptual...24 Análisis de Riesgos según la modalidad en el ingreso y según el tipo de Transacciones y volumen...26 Relación Procesos, Sistemas de Aplicación y Transacciones...28 Pruebas sustantivas...29 Desarrollo Conceptual...29 Planificación de las pruebas sustantivas...31 Procedimientos de auditoría...32 Diseño de Pruebas Sustantivas...33 Pasos para diseñar Pruebas Sustantivas...35 Conclusiones

3 Procesos. Riesgos y Controles Introducción Conceptual Los Procesos La norma internacional ISO-9001 define al proceso como una actividad que utiliza recursos, y que se gestiona con el fin de permitir que los elementos de entrada se transformen en resultados 1. En ellos se observan numerosas actividades que en realidad están interrelacionadas según una secuencia predeterminada. Estas actividades se realizan de un modo determinado en cada organización, es decir con una determinada metodología. Esa forma de realizarse cada una de esas actividades es lo que se denomina procedimiento en sí. Se dice que cuando el mismo se formaliza en algún medio esta documentado. Este conjunto de procedimientos es la base de una organización para el logro de sus objetivos. Se destaca en esa definición el concepto de resultado esperado, y en base a éste es que se deberán evaluar todos los eventos que pudieran generar (con determinada probabilidad de ocurrencia) desvíos con relación a ese resultado, es decir el objetivo del proceso en sí. De este modo, se incorpora el concepto de riesgo subyacente en cada proceso. Se focaliza por lo tanto en esos resultados esperados y en base a ellos deberá estimarse y evaluarse el riesgo. Se ha definido el control como el proceso de ejercitar una influencia directiva o restrictiva sobre las actividades de un objeto, organismo o sistema 2. Cuando se refiere a directiva apunta al modo en que deben realizarse las actividades para que produzcan un resultado deseado, y al mencionar restrictiva refiere al impedimento que esas actividades produzcan resultados no deseados. Asociando los conceptos de procesos (y procedimientos) con riesgos y controles, nos encontramos con que algunas de las actividades que componen un proceso tienen funciones puntualmente de control para mitigar el nivel de 1 ISO (2000) Norma Internacional ISO Sistemas de gestión de la calidad Requisitos - Impreso en la Secretaría Central de ISO en Ginebra, Suiza. 2 Cushing, Barry E.: Accounting Information Systems and Business Organizations. 2 da edición. Addison Wesley Publishing Company, Pág. 1 3

4 riesgo que subyace en alguna parte del proceso y que impediría obtener los resultados esperados o disminuir los beneficios de los mismos (si ocurriera alguno de los eventos que origina dicho riesgo). Este conjunto de procedimientos de control son la base sobre la que descansa una organización para el cumplimiento de los objetivos del sistema de control interno 3, a saber: Eficiencia y Eficacia de las Operaciones Cumplimiento del Marco Normativo (Leyes, Decretos y Normas vigentes y aplicables) Confiabilidad de la Información producida por su sistema de información. Para finalizar esta introducción quisiéramos mencionar una clasificación de los procesos por considerar que clarifican el enfoque que intentamos dar a lo largo de todo el escrito. Los procesos se pueden agrupar del siguiente modo: Aquellos cuyas actividades se relacionan directamente con el core (núcleo) del negocio. Son los que se denominan primarios o sustantivos. El objetivo de estos procesos se vincula de modo directo con el producto (bien o servicio) que una organización provee. El producto del proceso está orientado al cliente externo. Aquellos cuyas actividades proveen apoyo para el cumplimiento de los objetivos de los procesos referidos anteriormente. Las actividades que componen estos procesos apuntan a lograr con mayor eficiencia y eficacia las actividades sustantivas que se realizan para brindar un producto. Son los procesos que suelen denominarse de apoyo o secundarios. Apuntan al cliente interno mayoritariamente. 3 Internal Control Integrated Framework. Committee of Sponsoring Organizations of the threadway Commission. 4

5 Aquellos que se realizan para dar orientación a la organización - como unidad - en plazos de tiempo prolongados. Definen los aspectos mas generales de una organización como la misión, objetivos estratégicos, planes y políticas. Son la base de los dos procesos mencionados anteriormente y les condicionan fuertemente. Son los denominados de gestión aunque preferimos denominarles procesos de orientación estratégica. Se incluyen en esta clase también aquellos que se vinculan directamente con el Área de Sistemas y TI que tienen fines de orientación estratégicamente obviamente. Ejemplo El Dr. Leopoldo Caller trabaja en el área de Recaudación Tributaria de un organismo. Es especialista en todo lo referido a Administración Tributaria. Necesita una PC para trabajar. Y con determinados programas instalados. Necesita un acceso a la red corporativa y a un servidor de archivos donde almacena toda la información de su gestión. A un servidor de aplicaciones donde están las aplicaciones que alguien desarrollo para que realice sus actividades. Y que alguien mantiene cuando Leopoldo requiere alguna modificación por alguna nueva ley o cambio en la normativa aplicable. Esta aplicación almacena información de la cual él es propietario y que no puede perder. También tiene que tener certeza que solo el puede acceder o en todo caso, a quien el designe. Necesita una impresora en su estación de trabajo para imprimir listados de cuentas corrientes de los contribuyentes o acceso a un servidor de impresión donde podrá localizar alguna de las impresoras a las cuales enviar su solicitud de impresión. Necesita una cuenta de correo electrónico. Leopoldo necesita poder realizar sus operaciones de modo eficiente y eficaz. Este proceso primario ( Recaudar tributos ) necesita del apoyo de otros tipos de procesos: pero son de incumbencia del área de Sistemas y TI. Algunos de éstos de apoyo pero no todos - procesos podrían ser 5

6 Administrar los Bienes Informáticos: le brinda la PC con todos los componentes, incluyendo lo intangible: licencias de software, Administrar antivirus: le asegura que ningún antivirus este desactualizado y por ende funcione eficazmente ante cualquier ataque malintencionado, Atender requerimientos de Hardware del usuario: le asegura que personal de soporte especializado pueda instalarle y configurarle de modo correcta una impresora, Administrar los usuarios: le asegura que tendrá una cuenta de usuario y serán protegidos todos los recursos del cual es propietario este usuario, Existirán mecanismos eficaces para autenticar a este usuario, y por ende asegurarle que no cualquiera puede acceder con su cuenta de usuario y realizar actividades no permitidas., Administrar los resguardos y la recuperación de la información crítica: le aseguraran que ante cualquier evento contingente su información podrá ser recuperada. En tiempo. Y en forma, Desarrollar y Mantener Aplicaciones. Existen procesos. Pero también existen servicios brindados por el área de Sistemas Informáticos. Nosotros adherimos al enfoque propuesto por las normas ISO (Requisitos) e ISO Códigos de Práctica 4 cuando promueven la adopción de un enfoque hacia procesos integrados y cuyo fin es prestar eficazmente servicios gestionados a fin de cumplir con los requerimientos de las empresas y de los clientes. Los Procesos y el Auditor de Sistemas El ciclo de Edward Deming Plan, Do, Check, Act aplica en su totalidad para reflejar las actividades que realiza el auditor de sistemas. Es decir: 1) Planificación de sus actividades basado en un enfoque de procesos con sus respectivos riesgos. El evento disparador será el acuerdo de 4 Information Technology Service Management Part 1: Specification. Part 2. Code of practice. ISO IEC

7 realización de actividades de auditoria en una fecha pautada para inicio de las actividades. El input para este proceso es el análisis que el auditor realice de los procesos sustantivos y de apoyo y los riesgos estimados. Además de por supuesto todo otro conocimiento que obtenga del ente (estructura, sector industrial, tamaño, marco normativo aplicable, etc.). En esta instancia se definen los objetivos y el alcance de la auditoria. Y también se explicitan los procedimientos que habrán de ser utilizados. El output es un documento donde se comunica a los máximos directivos de la organización auditada las actividades que han de ser llevadas a cabo en un plazo de tiempo determinado y acordado previamente. Se incluye el plan detallado de trabajo. 2) Ejecutar las actividades focalizando en los procesos mas críticos para la organización auditada, es decir aquellos vitales para el desempeño normal de la operatoria. Algunos de los procedimientos (como se explicará posteriormente) tienen fines de control mientras que otros serán operativos. En esta instancia, se realizan las actividades de relevamiento y evaluación de cumplimiento de esos procedimientos de control. El objetivo es emitir una opinión sobre cuan razonablemente mitigan los riesgos a los cuales está expuesto el proceso. La naturaleza, oportunidad y alcance de sus procedimientos dependerán del análisis de riesgos de los procesos sustantivos que hubiera realizado previamente, y más puntualmente en aquellas actividades críticas del proceso. El input es el plan de auditoria y los recursos necesarios para cumplir con los objetivos de la auditoria. El output es el conjunto de elementos de prueba válidos y suficientes que permiten respaldar la opinión del auditor de sistemas. El informe de auditoria de sistemas (con las observaciones y recomendaciones) es otro de los outputs y el que se constituye en el producto final principal de todo el proceso de auditoria visto integralmente. 3) Controlar lo planificado vs. Lo realizado. El output del primero de los procesos y el detalle de las actividades realizadas con sus resultados generarán el input para este proceso. El resultado será un informe de control de auditoría con la explicitación de los desvíos, constituyéndose en el output. 7

8 4) Mejora continúa de los propios procesos de auditoría y respectivas actividades (procedimientos). El input de este proceso lo constituye todo el análisis realizado en el proceso anterior y la transformación consiste en el propio rediseño de actividades que permitan incrementar la efectividad. El output lo constituye el rediseño de los propios procesos de auditoría. Sintetizando y desde una perspectiva integral, el auditor debe abordar el conocimiento y dominio de todos los procesos con las actividades de control incorporadas a los mismos; como así también las responsabilidades de quienes intervienen y roles, las acciones o eventos que disparan el inicio de cada proceso como los que lo finalizan, y todas las excepciones que se pudieran observar y debieran por ende considerar. Si puede de ese modo comprender la secuencia de actividades que componen cada proceso, con aquellas actividades que tienen funciones de control, le permitirá en primer lugar planificar sus actividades basadas en un enfoque de procesos y riesgos, ejecutar (hacer) de modo correcto sus actividades de auditoría a través de la prueba de los controles y realizar las observaciones y recomendaciones adecuadas y pertinentes. De este modo, se generará un proceso de mejora continua donde el auditor contribuye a través de sus observaciones y recomendaciones a todo el proceso integral, involucrando a varias áreas (tanto del área de Sistemas Informáticos como generales, como se explicará a continuación) de la organización auditada. E incluyendo sus propios procesos. Desarrollo Conceptual A modo de ejemplo de un modo sintetizado y bajo un enfoque tradicional 5, el auditor de sistemas realiza las siguientes actividades: 5 Se basa en el procedimiento del Auditor reglado en la Resolución Técnica Nro. 7 FACPCE (la Federación Argentina de Consejos Profesionales de Ciencias Económicas )y Internal Control Integrated Framework. Committee of Sponsoring Organizations of the threadway Commission. 8

9 I. Conocimiento del Ente (Estructura y Operaciones). Estimación de Riesgos. Planificación, definición de objetivos y alcance de la Auditoria de Sistemas. II. Relevamiento y Evaluación de todos los Controles Generales del Área de Sistemas y TI. III. Relevamiento y Evaluación de todos los sistemas Aplicativos implementados en las diversas áreas (agrupadas funcionalmente) de la organización auditada. Es decir, desde una perspectiva funcional vertical. IV. Evaluaciones Sustantivas de los Datos según criterios de criticidad y sensibilidad, significación económica. V. Control de lo ejecutado. Análisis de Evidencias. VI. Emisión de Opinión. Informes Preliminares y Especiales finales (incluyendo el descargo del auditado). El enfoque que deseamos dar se realiza desde una perspectiva transversal de las actividades y no ya desde una visión funcional de las actividades que se desarrollan en cada área de la organización auditada (la visión funcional vertical). Como se mencionó anteriormente, los procesos se clasifican en 1) Primarios o Sustantivos 2) De Apoyo o Secundarios 3) De Orientación Estratégica o de conducción El auditor inicia sus actividades solicitando y procediendo al análisis del mapa de procesos de la organización y del área de Sistemas y TI. Así también el análisis de la matriz de procesos y áreas (donde podrá visualizar rápidamente la participación de las áreas en cada uno de los procesos). Luego, debería estimar el riesgo inherente a cada uno de estos procesos y construir su matriz de riesgos. Una vez realizadas estas actividades, podrá proceder a la planificación de sus actividades de auditoria dado que ya tiene conocimiento de las áreas de riesgos mayores en las cuales reforzar sus pruebas. Entonces, retomando el enfoque de auditoría por procesos, el auditor de sistemas focalizará su conocimiento inicial del siguiente modo: 9

10 1) Procesos Primarios o Sustantivos. Es decir, la revisión objetiva de todos los procesos de negocios que atraviesan distintas áreas funcionales y por donde fluye información y/o bienes. Todo lo referido a éstos procesos del negocio (Por ejemplo el otorgamiento de un préstamo de consumo o de una tarjeta de crédito por parte de una organización) que pudieran ser soportados por las tecnologías de información y mas concretamente por sistemas de aplicación deben ser objeto de examen por el auditor de sistemas, dado que algunos de éstos procesos tienen áreas de riesgos mayores y por lo tanto deberán relevarse (localizarse) y evaluarse los niveles de riesgos y los controles implantados dentro los aplicativos que les soportan. En este caso especial el auditor de sistemas deberá tomar un conocimiento preliminar (como modo de relevamiento) de los procesos de negocios, de los flujos de información entre cada subproceso, quienes son sus propietarios, evaluar la criticidad de los mismos y focalizar su atención en aquellos con mayores niveles de riesgo. Toda esta información podrá obtenerse del inventario tecnológico de la organización auditada si lo tuviera y estuviere actualizado. A partir de este conocimiento del proceso de inicio a fin, continuará analizando cuales componentes del sistema deberán ser objeto de revisión. Merece la aclaración que aquellos procedimientos de control que no estuvieran automatizados o soportados por alguna aplicación pero que integran el sistema de información también están alcanzados por las revisiones. 2) Procesos de Apoyo o Secundarios. Nos encontramos con procesos compuestos por todas aquellas actividades que se realizan en el área de Sistema que poseen cortes de control y que insertos en dichos procesos también existen determinadas actividades que tienen funciones de control que han de ser relevadas y evaluadas por el auditor de sistemas. En este caso nos referimos a los procesos del área de Sistemas y TI. Muchos de estos objetivos de control están especificados por leyes, resoluciones, normas y decretos y son mandatarios en cuanto su existencia. Como sostiene el Reporte Coso, la existencia de los mismos tiene su razón de ser en el cumplimiento del marco normativo por parte de la organización auditada. 10

11 Estos procesos dan soporte a los procesos primarios y en consecuencia también deben ser verificados por el auditor en cuanto la efectividad de los controles insertos en cada parte del proceso integral. Siguiendo el enfoque de Cobit 4.0 6, los procesos de TI serían los siguientes: Planear y Organizar Adquirir e Implementar Entregar y Dar Soporte Monitorear y Evaluar Es importante volver a resaltar que el área de Sistemas y TI brindan servicios fundamentalmente a las áreas para que puedan realizar sus actividades sustantivas y para ello diseñan sus procesos de modo que sus operaciones se realicen de modo eficiente y eficaz. Y por supuesto aportando sus activos. La norma española MAGERIT 7 en Metodología de Análisis y Gestión de Riesgos en Sistemas de Información detalla cuales son los activos que componen un sistema información y que consideramos importante tener presente. A saber: 1) Datos (Información) 2) Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. 3) Las aplicaciones informáticas (software) que permiten manejar los datos. 4) Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. 5) Los soportes de información que son dispositivos de almacenamiento de datos. 6) El equipamiento auxiliar que complementa el material informático. 7) Las redes de comunicaciones que permiten intercambiar datos. 8) Las instalaciones que acogen equipos informáticos y de comunicaciones. 6 Cobit 4.0 IT Governance Institute. ISBN MAGERIT Metodología de Análisis y Gestión de Riesgos de IT. Ministerio de Administraciones Públicas. 11

12 9) Las personas que explotan u operan todos los elementos anteriormente citados. 3) Procesos de Orientación Estratégica, de conducción o Gestión: Interesan a los fines de la auditoría de sistemas aquellas actividades referidas a la planificación de los procesos y actividades dentro del área de Sistemas y TI y la organización que se realiza para el cumplimiento de los objetivos definidos. En esta instancia, se relevarán los siguientes objetivos de control: Existencia de Plan Estratégico, con listado de proyectos con un horizonte de planeamiento de 4/5 años. El mismo debe estar en consonancia con el Plan Estratégico Organizacional. Debe estar actualizado. Debe contemplar el presupuesto. Existencia de un Plan Operativo Anual. El mismo debe estar en consonancia con el Plan Estratégico de Sistemas y TI. Debe contemplar proyectos, responsabilidades, plazos de cumplimiento y revisión, costos. Planificación y Organización de los servicios, procesos y procedimientos del área de Sistema y su estructuración (delimitación precisa de posiciones y funciones, separación de funciones por oposición de intereses, contemplar que no se sobre asignen funciones en un mismo puesto). Relevamiento y Evaluación de Cumplimiento El auditor de sistemas deberá por lo tanto relevar tanto los procesos de negocios de la organización auditada, es decir los procesos sustantivos, como así también todos los procesos existentes en el área de Sistemas y TI (apoyo y de orientación estratégica) y respecto los de apoyo focalizar sus esfuerzos en aquellos considerados críticos. Una vez tomado este conocimiento inicial continuará con el relevamiento de todos aquellos eventos que puedan afectar negativamente el cumplimiento del fin del proceso relevado y luego analizar y evaluar las actividades de control que existan y su nivel de efectividad en ese momento. Según sea el tratamiento observado realizará sus recomendaciones, 12

13 siempre teniendo en cuenta que deberá evaluar si el nivel de riesgo residual (en caso de existencia de controles implantados) es menor o igual que el que debiera haber sido aceptado como dispuesto a tolerar por los máximos niveles jerárquicos. Se deduce lógicamente que si fuese mayor, debiera el auditor emitir una recomendación para que se tomen las acciones preventivas o correctivas pertinentes. El auditor inicia sus actividades de relevamiento de información utilizando algunas técnicas que son pertinentes a los fines de esta primera parte de sus procedimientos de auditoria: Encuestas (con cuestionarios cerrados y abiertos). Entrevistas Análisis de Documentación de Procesos, incluyendo toda la documentación asociada a cada uno de los procedimientos involucrados Se incluye la lectura que da marco referencial y normativo a los procesos como por ejemplo, Planes, Políticas y Manuales de Normas y procedimientos, Manual de Misiones y Funciones, Leyes y Decretos aplicables. Uno de los elementos documentales fundamentales es el proceso propiamente dicho documentado, de donde se analizará entre otros aspectos los siguientes: o Narrativa de los procesos, con las actividades que se realizan en cada uno de ellos, focalizando en las actividades de control; como así también tomando un conocimiento de quienes son los responsables y los roles que intervienen en cada actividad. Análisis de las situaciones excepcionales. Esto inicialmente puede ser logrado entrevistando a los niveles gerenciales quienes darán una narrativa con un nivel de detalle general de cada proceso. Y luego bajar en el nivel de detalle. o Diagramas de Flujos de Procesos (cursogramas), donde gráficamente puede tener una noción sobre todos los procesos, las interrelaciones, los puntos de control, los 13

14 mecanismos de entrada y salida, medios de almacenamiento, operaciones manuales y automatizadas, etc. Observación Directa de las actividades. La primera parte de las actividades se centra en la recopilación de información sobre la documentación de los procesos y el grado de actualización de los elementos documentales. Si se encuentra debidamente aprobado por todos los responsables (incluyendo los máximos responsables de la organización en cuanto nivel jerárquico) y versionado. Si se encuentra correctamente comunicado. Se focaliza tanto en la forma como en el contenido del documento. El auditor podrá realizar las recomendaciones que considere pertinentes según las buenas prácticas pero debe tenerse en mente que la documentación puede no reflejar el estado real de las actividades de control, que en la realidad (que lo verificara en una instancia posterior) se estén realizando correctamente, sean efectivas pero no haya sido actualizada la documentación. Sintetizando entonces, desde lo general, se debe relevar la existencia de un mapa de todos los procesos y la relación de cada uno de los procesos con los sectores implicados. Desde lo particular, cada proceso documentado debe contemplar mínimamente los siguientes aspectos: Datos Generales Nombre del Proceso. Objetivos y Alcance del Proceso. Responsable Operativo. Roles en el proceso. Marco Normativo cuyo cumplimiento es mandatario; entre ellos las políticas a las cuales debe estar alineado o en consonancia. Eventos o Acciones Disparadoras (punto de inicio del proceso) Narrativa del Proceso: Áreas que intervienen con las actividades de control. Secuencia de Actividades e interfaz entre actividades. Acciones o Eventos Finales (punto de finalización del proceso) Documentos Relacionados. Por ejemplo la referencia a los procedimientos documentados que aplican en cada una de sus 14

15 actividades. Estos tendrán un mayor nivel de detalle en cuanto como se realiza cada operación, documentos y registros que se utilizan, etc. Sistemas de Aplicación Involucrados. Diagramas de Procesos (cursogramas) con las actividades que tienen finalidad de control. Tomado conocimiento de las actividades de control y recolectado los elementos de pruebas válidos, pertinentes y suficientes, el auditor continúa con la comprobación que la información recopilada con relación a los controles que intervienen en cada proceso funciona como lo define la documentación. Estamos entonces en una etapa de pruebas de cumplimiento. Las técnicas para evaluar cumplimiento que puede utilizar el auditor a su criterio son: Realizando una prueba integral de cada proceso, de inicio a fin. Es aconsejable que se obtenga la autorización correspondiente y tomar todas las medidas pertinentes para que la prueba del auditor no afecte la operatoria normal de la organización. El auditor verificará el funcionamiento de todos los controles (políticas y procedimientos). Observando como se ejecuta un proceso (inspección visual) y recopilando evidencias válidas, pertinentes y suficientes. El auditor también puede analizar como se ha ejecutado un proceso en el pasado y emitir un juicio sobre el funcionamiento de los controles o puede realizar visitas de modo sorpresivo (lo aconsejable) o con aviso previo en una fecha actual y observar como ejecuta cada actividad el responsable. Entrevistas con todos los responsables para obtener una explicación de cómo realizan sus actividades y obtener evidencias de formularios y documentos en general que se utilicen en cada actividad del proceso. Independientemente del modo en que evalúe la efectividad de los controles el auditor se debe asegurar que su intervención sea influenciada en el menor grado posible por los responsables o involucrados en el proceso. Es esperable 15

16 que una persona que sabe que esta siendo observada y evaluada realizará sus actividades como cada uno de los procedimientos especifica. A continuación analizaremos como es el tratamiento de los procesos para con aquellas actividades que son realizadas con ayuda de soluciones tecnológicas. Sistemas Aplicativos Introducción Conceptual Los Sistemas Aplicativos Las aplicaciones pueden ser: Sistemas Integrados (de todos los módulos) y desarrollados por la organización auditada. Las interfaces son entre módulos del mismo sistema. El mantenimiento puede ser realizado internamente o por proveedor externo. Sistemas Integrados (de todos los módulos) y desarrollados externamente (personal ajeno a la organización auditada). Las interfaces son también entre módulos del mismo sistema. El mantenimiento puede ser realizado internamente o por proveedor externo. Varios Sistemas desarrollados con fines determinados, con o sin interrelación entre sí. En el caso de que exista interrelación cobra relevancia la interfaz entre los mismos (por ejemplo el intercambio de datos a través de web services ). Pueden ser mantenidos internamente o por proveedor externo. Con seguridad administrada desde cada aplicación o integrada. Sistemas Enlatados o Paquetes, sin customización para la organización auditada. Puede ser considerado software de terceros por ser la propiedad de los fuentes de una organización distinta a la auditada. Aplicativos utilitarios o paquetes ofimáticas (para las funciones de sistemas como para los empleados para la realización de funciones cotidianas). Una aclaración y a modo de ejemplo, un procesador de texto lo consideramos un utilitario de éste último tipo y un aplicativo como el 16

17 toad (administración de bases de datos) un aplicativo utilizado en el área de Sistemas. Pueden ser incluidos también dentro de la categoría software de terceros. Aplicativos que no aportan valor tanto para los procesos primarios, secundarios o de orientación estratégica y que de hecho hasta pueden atentar contra políticas organizacionales. Por ejemplo, el kazaa o emule utilizados por lo general para descargar archivos ilegales (software propietario y no gratuito) desde internet. Los aplicativos constituyen uno de los aspectos principales que han de ser verificados de modo objetivo y crítico por el auditor de sistemas. Estos pueden soportar cualquiera de los tres tipos de procesos pero se priorizará el análisis de los sistemas que apoyen los procesos sustantivos, es decir los procesos del negocio. Desarrollo Conceptual Las aplicaciones con los controles existentes en cada uno de los sub módulos que se relatan a continuación tienen absoluta relevancia dentro de cada uno de los procesos primarios. Como sostiene el Reporte COSO el funcionamiento de los controles de aplicación es más eficaz cuando descansan o se ejecutan en un entorno de controles generales fuerte y donde los riesgos se encuentran tratados de modo razonable. En nuestro trabajo focalizaremos en la consideración de aquellos sistemas aplicativos involucrados en los procesos sustantivos. A los fines del análisis dentro estos sistemas aplicativos existirán distintos subsistemas con sus controles que han de ser relevados y evaluados por el auditor, a saber: Controles en la documentación de los sistemas Controles en el Ingreso de datos y para la salida de información del sistema 17

18 Controles en interfaces de módulos del mismo sistema o de distintos sistemas (se incluyen los denominados Web Services para el intercambio de datos y consultas). Controles implantados para la administración de la seguridad lógica a nivel aplicativo Controles para el procesamiento de los datos Los aplicativos interactúan con las bases de datos a la cual realizan peticiones de conexión con el fin de realizar determinadas operaciones con los datos almacenados como una lectura, modificaciones o eliminaciones. Sin embargo el auditor debe tener en cuenta a la hora de sus verificaciones que también hay lógica a nivel base de datos. Es muy frecuente que se invoquen determinados procedimientos (los denominados Stored procedures ) que ejecutan determinadas operaciones. En otros casos el sistema de administración de base de datos es quien realiza determinadas operaciones como por ejemplo el registro de actividades por parte de determinados usuarios cuando por medio de un disparador o triggers actualiza una o varias tablas ante la ocurrencia de algún evento (por ejemplo, la modificación de un dato sensible en una tabla o el alta de un nuevo registro genera el alta en otra tabla que tiene fines de control posterior). Es común que los denominados logs de auditoria se generen bajo esta modalidad última. Dada entonces esta situación los controles que han de ser verificados ya no son únicamente los que están implantados a modo de rutinas en el sistema aplicativo sino también en la base de datos a modo de procedimientos almacenados y/o de triggers (que también son procedimientos complejos). Por lo tanto, también deberán ser punto de atención por parte del auditor, y entre otros, los siguientes controles: Controles en Procedimientos Almacenados en Bases de datos Controles implementados a través de Disparadores para asegurar que cumplen correctamente con su cometido ante la ocurrencia del evento disparador. 18

19 Controles que aseguren la integridad de los datos (cuando ya no por parte de rutinas en el aplicativo sino por parte del Sistema de Administración de la base de datos) a nivel entidad, referencial, etc. Relevamiento y Evaluación de Cumplimiento Cuando el auditor de sistemas realizó inicialmente el relevamiento de los procesos recabó la información sobre el catalogo de aplicaciones que estaban involucradas en cada uno de los procesos. En esta segunda instancia de sus actividades inicia la recopilación de información mas detallada de las aplicaciones y los controles que interesa verificar en cuanto efectividad. Para ésta última actividad facilitaría su tarea si existieran en la organización auditada cursogramas de donde pueda identificar rápidamente donde se localizan éstas actividades de control. Si no existiera un diagrama de éste tipo, deberá recurrir a otros elementos documentales que citaremos posteriormente. El auditor de sistemas debiera solicitar mínimamente los siguientes documentos: Manuales del Sistema: Técnicos, de Administración, Funcionales y de Usuario. Permitirá verificar tanto la documentación en sí como tomar conocimiento de la aplicación a verificar en cuanto el diseño y funcionamiento de sus controles (ingreso de datos, procesamiento, salida de datos, almacenamiento, etc.) Todo elemento documentado en la etapa de Análisis, como requerimientos formales, casos de uso, etc.) y de Diseño (diagramas conceptuales, lógicos y físicos, diagramas de flujo de datos, etc.) que le permita inferir los controles que debieran haber sido diseñados e implementados. Todo registro de pruebas realizadas tanto por el área de Testing de Aplicaciones como del usuario final al momento de aceptación del desarrollo, mantenimiento o paquete. 19

20 Informes de Auditoria pasados cuyo alcance sean los aplicativos a revisar: ello permitirá tener una noción de controles que ya hubieran sido revisados y no hubieran sido satisfactorias las pruebas y debieran haber sido mejorados. Entrevistas con usuarios claves y finales. Documentación donde se reflejen las reglas de negocios. Reportes, reclamos, quejas y sugerencias realizadas y que consten en registros o en algún sistema de incidentes si existiera. Políticas de Seguridad Lógica y toda otra documentación que permita tomar conocimiento de los controles que deben existir en cuanto la implementación en la aplicación de los mecanismos de seguridad. Cualquier otra documentación que el sentido común del auditor le dicte como pertinente a los fines de recabar información. Una vez realizada la recopilación de los elementos documentales y el análisis de todos ellos, el auditor ya estará en condiciones de pasar a la siguiente instancia en su procedimiento: la realización de las pruebas de cumplimiento. Existen aplicaciones que permiten la automatización de las pruebas pero usualmente el auditor de sistemas realiza la confección de sus casos de prueba documentando todos los valores que ha de ingresar reflejando cual es el resultado esperado. En la experiencia de quienes escriben la prueba de aplicaciones desarrolladas en lenguajes estructurados (como cobol por ejemplo) tiene menos complejidad que las aplicaciones desarrolladas en lenguajes orientados a objetos (como Visual Basic 6 o Microsoft.Net). En todo caso el auditor podrá utilizar la técnica de lote de prueba entonces donde planifica cuidadosamente todos los controles que ha de validar en cuanto su funcionamiento esperado. Otra de las técnicas usualmente utilizadas es la denominada lagging que se complementa con la de tracing. El denominado tagging consiste en la marca según determinado criterio (por ejemplo una transacción con un monto superior a uno predefinido donde se desee validar si funcionan correctamente 20

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA... 7 Tarea DSI 1.1: Definición de Niveles de Arquitectura... 9 Tarea DSI

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

CONTROL INTERNO DEFINICIÓN

CONTROL INTERNO DEFINICIÓN CONTROL INTERNO DEFINICIÓN Es el conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin de asegurar que: Los activos estén debidamente protegidos Los registros contables

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO

DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO DOCUMENTO TÉCNICO N 71 Versión 0.1 ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS EN EL SECTOR PÚBLICO Este documento está orientado a entregar directrices a los auditores internos para el aseguramiento

Más detalles

CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS

CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS CONTROL INTERNO DEL REPORTE DE LA INFORMACION FINANCIERA GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS Volumen I: Resumen Ejecutivo Junio 2006 En 1992 el Comité de Organizaciones Patrocinadoras de la Comisión

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

NORMA INTERNACIONAL DE AUDITORÍA 330 RESPUESTAS DEL AUDITOR A LOS RIESGOS VALORADOS (NIA-ES 330)

NORMA INTERNACIONAL DE AUDITORÍA 330 RESPUESTAS DEL AUDITOR A LOS RIESGOS VALORADOS (NIA-ES 330) NORMA INTERNACIONAL DE AUDITORÍA 330 RESPUESTAS DEL AUDITOR A LOS RIESGOS VALORADOS (NIA-ES 330) (adaptada para su aplicación en España mediante Resolución del Instituto de Contabilidad y Auditoría de

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Metodología de Ingeniería del Software para el desarrollo y mantenimiento de sistemas de información del Gobierno de Extremadura

Metodología de Ingeniería del Software para el desarrollo y mantenimiento de sistemas de información del Gobierno de Extremadura Metodología de Ingeniería del Software para el desarrollo y mantenimiento de sistemas de información del Gobierno de Extremadura Página 1 de 23 Índice del Documento 1.- Introducción... Página 4 2.- Propuesta

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

MANUAL DE GESTIÓN DE PROCESOS

MANUAL DE GESTIÓN DE PROCESOS MANUAL DE GESTIÓN DE PROCESOS SISTEMA DE GESTIÓN DE CALIDAD UPV Octubre 2011 Versión 1 Elaborado por: Aprobado el 31 de octubre por: Servicio de Evaluación, Planificación y Calidad Gerencia UPV INDICE

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA

CAPITULO PLANIFICACION INSTITUCIONAL DE LA AUDITORIA CAPITULO II PLANIFICACION INSTITUCIONAL DE LA AUDITORIA 1. Generalidades La Contraloría General del Estado inmersa en el proceso estratégico de cambio que tiende a mejorar los servicios de auditoría que

Más detalles

Análisis del Sistema de Información

Análisis del Sistema de Información Análisis del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD ASI 1: DEFINICIÓN DEL SISTEMA... 6 Tarea ASI 1.1: Determinación del Alcance del Sistema... 6 Tarea ASI 1.2: Identificación

Más detalles

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO

CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO. Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO CURSO : AUDITORÍA GUBERNAMENTAL Y NORMAS DE CONTROL INTERNO Sesión 1: Plan de Auditoría Gubernamental. PROFESOR: MBA CARLOS LOYOLA ESCAJADILLO Lima, Noviembre de 2014 CONSTITUCIÓN POLÍTICA DEL ESTADO Artículo

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles

Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD

Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD Índice... 1 Indice... 2 Objetivo:... 3 Introducción:... 3 Componentes GRC... 3 Funcionalidad Risk Management... 4 Planeación del riesgo.... 5 Identificación

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS OBJETIVO: Conocer el marco conceptual de la auditoría informática CONCEPTO Es un examen crítico con carácter objetivo para evaluar la eficiencia y eficacia en el uso de los recursos

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

Manual de Preparación para la Certificación Bajo la Norma ISO 9001:2000, Orientado a Empresas del Sector Servicios en El Salvador

Manual de Preparación para la Certificación Bajo la Norma ISO 9001:2000, Orientado a Empresas del Sector Servicios en El Salvador CAPITULO V GLOSARIO DE TERMINOS Acción Correctiva Acción tomada para eliminar las causas de una no conformidad detectada u otra situación indeseable existente o defecto, para evitar su repetición. Acción

Más detalles

COBIT. Marco Referencial de Auditoría para la Gobernabilidad de T.I.

COBIT. Marco Referencial de Auditoría para la Gobernabilidad de T.I. COBIT Marco Referencial de Auditoría para la Gobernabilidad de T.I. Guerrero Auditor de Tecnologías de la Información Saltar a la primera página Control objetives for information and related Technology

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

Manual de la Calidad MC-SGC

Manual de la Calidad MC-SGC MC-SGC Elaborado por: Revisado por: Aprobado por: Nombre Cargo Firma Fecha Encargado Alejandro Jara la 10-12-2008 calidad Claudia Ramírez Mariana Schkolnik Representante de la Dirección Directora 10-12-2008

Más detalles

UNIDAD No. 6 Auditoria de Aplicaciones

UNIDAD No. 6 Auditoria de Aplicaciones Auditoria V UNIDAD No. 6 Auditoria de Aplicaciones Definiciones SOFTWARE/ PROGRAMA: Conjunto de instrucciones que dirigen al Hardware. Software/Programas del Sistema Llamados Programas Supervisorios, realizan

Más detalles

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO 1.1 PROYECTO - Auditoría Informática de los sistemas de información de la ESPE Dominio de Planeación y Organización. 1.2 INTRODUCCIÓN - La evolución

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen de muestra EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA Gabinete de Sistema Servicio de Producción Dirección General de Sistemas de Información

Más detalles

BASES DE DATOS. 1.1 Funciones de un DBMS

BASES DE DATOS. 1.1 Funciones de un DBMS BASES DE DATOS Un DBMS, son programas denominados Sistemas Gestores de Base de Datos, abreviado SGBD, en inglés Data Base Management System (DBMS) que permiten almacenar y posteriormente acceder a los

Más detalles

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP Índice 1. Razones para su emisión 2. Principales características 3. Introducción 4. Consideraciones claves 5. Elementos básicos Anexos

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Hoja 1 CAPITULO 1-7 TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

PROCESO DE AUDITORÍA

PROCESO DE AUDITORÍA PROCESO DE AUDITORÍA Cartilla básica para auditores AUDITORÍAS AL SISTEMA DE GESTIÓN INTEGRAL Dentro de los nuevos contextos, la actividad de la auditoría integral a los Sistemas de Gestión se ha convertido

Más detalles

Sistemas de Información y procesos de Auditoría

Sistemas de Información y procesos de Auditoría Sistemas de Información y procesos de Auditoría Marivi Martínez Sistemas de Información y procesos de Auditoría: 1. La Medición al Servicio de la Gestión 2. Sistemas de Información: 2.1. Indicadores. Ejemplos

Más detalles

Auditoría de sistemas de información

Auditoría de sistemas de información Auditoría de sistemas de información La auditoría de sistemas como apoyo a la Revisoría Fiscal Néstor Orlando Velandia Sosa Página 1 CONTENIDO: 1. La función de la revisoría fiscal 2. Definición de auditoría

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Normas y Procedimientos de auditoria y Normas para atestiguar Boletín 3050 Boletín 3050 ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO Generalidades El estudio y evaluación del control interno se efectúa con

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 3 Formación de auditores Directrices para auditoría Objetivo del módulo Aprender y entender: El rol y responsabilidades del auditor

Más detalles

MANUAL SISTEMA GESTIÓN DE CALIDAD

MANUAL SISTEMA GESTIÓN DE CALIDAD MANUAL SISTEMA GESTIÓN DE CALIDAD ÍNDICE 1.- PRÓLOGO... 4 2.- DEL SISTEMA DE GESTIÓN DE CALIDAD... 6 3.- PUNTOS DE EXCLUSIÓN A LA NORMA ISO 9001 2000... 7 4.- REQUISITOS DEL SISTEMA GESTIÓN DE CALIDAD

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

DOCUMENTO ORIENTADOR: METODOLOGÍA PARA LA IMPLEMENTACIÓN DE LA GESTIÓN POR PROCESOS EN LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA EN EL MARCO DEL D.

DOCUMENTO ORIENTADOR: METODOLOGÍA PARA LA IMPLEMENTACIÓN DE LA GESTIÓN POR PROCESOS EN LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA EN EL MARCO DEL D. DOCUMENTO ORIENTADOR: METODOLOGÍA PARA LA IMPLEMENTACIÓN DE LA GESTIÓN POR PROCESOS EN LAS ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA EN EL MARCO DEL D.S. N 004-2013-PCM POLÍTICA NACIONAL DE MODERNIZACIÓN

Más detalles

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías UD 8. Auditorías Requisitos de seguridade do sistema e dos datos. Obxectivos da auditoría. Ámbito da auditoría. Aspectos auditables. Mecanismos de auditoría. Alarmas e accións correctivas. Información

Más detalles

Sistema de Gestión de Arquitectura Empresarial para la Banca

Sistema de Gestión de Arquitectura Empresarial para la Banca 2015 Sistema de Gestión de Arquitectura Empresarial para la Banca El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación con los principales framework del mercado

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

Estructura de la Familia ISO 9000 Definiciones básicas Principios de Gestión de la Calidad. Requerimientos de la Norma

Estructura de la Familia ISO 9000 Definiciones básicas Principios de Gestión de la Calidad. Requerimientos de la Norma CONTENIDO 1. OBJETIVO 2. INTRODUCCIÓN N A LAS SERIES ISO 9000 Estructura de la Familia ISO 9000 Definiciones básicas Principios de Gestión de la Calidad 3. ANÁLISIS DE LA NORMA ISO 9001:2008 Requerimientos

Más detalles

Enterprise Risk Management Integrated Framework

Enterprise Risk Management Integrated Framework Enterprise Risk Management Integrated Framework Marco Integrado de Administración de Riesgos Corporativos* * * * * * Cra. Patricia Kirschenbaum Cra. Jennifer Manguian *connectedthinking Agenda Importancia

Más detalles

La Seguridad Informática de las aplicaciones y el Control Interno.

La Seguridad Informática de las aplicaciones y el Control Interno. La Seguridad Informática de las aplicaciones y el Control Interno. AUTORA: MSc. Concepción Casal González Especialista en Ciencias Computacionales Gerencia de Auditoria. Dirección de Control Corporativo.

Más detalles

GLOSARIO DE TÉRMINOS

GLOSARIO DE TÉRMINOS GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

Índice. Introducción Modelo de GC CI Control Interno Metodología COSO Conceptos COSO Componentes COSO Aplicaciones COSO Beneficios

Índice. Introducción Modelo de GC CI Control Interno Metodología COSO Conceptos COSO Componentes COSO Aplicaciones COSO Beneficios Índice Introducción Modelo de GC CI Control Interno Metodología COSO Conceptos COSO Componentes COSO Aplicaciones COSO Beneficios Índice Introducción Modelo de GC CI Control Interno Metodología COSO Conceptos

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Metodología para el Monitoreo de la Implementación del Sistema de Control Interno en las Empresas de la Corporación FONAFE

Metodología para el Monitoreo de la Implementación del Sistema de Control Interno en las Empresas de la Corporación FONAFE Metodología para el Monitoreo de la Implementación del Sistema de Control Interno en las Empresas de la Corporación FONAFE ÍNDICE 1. Objetivos 2. Alcance 3. Roles y responsabilidades 4. Definiciones 5.

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo

Boletín de Asesoría Gerencial* Desarrollo de un plan de continuidad del Negocio: Aplicando un enfoque rápido, económico y efectivo Espiñeira, Sheldon y Asociados No. 9-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS

DEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 17 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements

NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements Systèmes de management de la qualité Exigences Publicado

Más detalles

Tema 2: Sistemas de Información

Tema 2: Sistemas de Información Tema 2: Sistemas de Información Profesores: Andrés Montoyo Manuel Marco 2011-2012 Grado en Ingeniería Informática Índice Definición de sistemas de Componentes de un SI Clasificación de los SI Principios

Más detalles

Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes

Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión de Relaciones con Clientes Titulación certificada por EUROINNOVA BUSINESS SCHOOL Máster en Instalación, Gestión y Mantenimiento de CRM: Gestión

Más detalles

Aplicación de las Normas Internacionales de Auditoría (NIA) en Venezuela

Aplicación de las Normas Internacionales de Auditoría (NIA) en Venezuela www.pwc.com/ve Alerta Técnica N 7 Aplicación de las Normas Internacionales de Auditoría (NIA) en Venezuela Resolución del Directorio de la Federación de Colegios de Contadores Públicos de Venezuela (FCCPV)

Más detalles

Introducción. El sistema de control interno abarca las mismas cuestiones a las que se refieren las funciones del sistema contable y comprende:

Introducción. El sistema de control interno abarca las mismas cuestiones a las que se refieren las funciones del sistema contable y comprende: Introducción 1. El propósito de esta Norma Internacional de Contabilidad (NIA) es establecer reglas y suministrar criterios en la obtención del necesario conocimiento de los sistemas contable y de control

Más detalles

Enterprise Risk Management

Enterprise Risk Management Enterprise Risk Management E.R.M. ERM ERM describe un marco conceptual que establece: La definición de riesgos empresariales Los componentes del proceso de administración de riesgos empresariales Criterios

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

1.3. Procedimientos. 1.4. Tecnologías.

1.3. Procedimientos. 1.4. Tecnologías. INGENIERÍA DE SOFTWARE AVANZADA (SESIÓN 3) 1.3. Procedimientos. 1.4. Tecnologías. Objetivo: Entender la necesidad de hacer auditorias informáticas que garanticen la seguridad de la información. Conocer

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

INSTRUCTIVO PARA LLENAR EL MANUAL DE PROCESOS V 1.0

INSTRUCTIVO PARA LLENAR EL MANUAL DE PROCESOS V 1.0 INSTRUCTIVO PARA LLENAR EL MANUAL DE PROCESOS V 1.0 Página 1 de 12 FIRMAS DE REVISIÓN Y APROBACIÓN Nombre / Cargo Firma Fecha Elaborado por: Equipo de Proyectos 26/08/2013 Revisado por: Aprobado por: Dirección

Más detalles

P1 Elaboración de un plan de proyecto utilizando MS Project G3

P1 Elaboración de un plan de proyecto utilizando MS Project G3 UNIVERSIDAD DE CASTILLA-LA MANCHA ESCUELA SUPERIOR DE INFORMÁTICA P1 Elaboración de un plan de proyecto utilizando MS Project G3 José Luís Espinosa Aranda Noelia Vállez Enano Manuel Ramón Guerrero Álvarez

Más detalles

Calidad del Software. Índice de contenidos. Octubre - 2010. Introducción. Calidad y Administración Pública. Normas y estándares

Calidad del Software. Índice de contenidos. Octubre - 2010. Introducción. Calidad y Administración Pública. Normas y estándares Calidad del Software Octubre - 2010 Índice de contenidos Introducción Calidad y Administración Pública Normas y estándares 2 Octubre - 2010 1 Índice de contenidos Introducción Calidad y Administración

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles