41
PLAN DE AUDITORÍA Auditoría Basada en Riesgos

PLAN DE AUDITORIA.doc

Embed Size (px)

Citation preview

AUDITORIA DE INFORMACIN

PLAN DE AUDITORA

Auditora Basada en Riesgos

Contenido

3Introduccin:

5Concepto general de la auditoria de la informacin

6Perfil del auditor

8Auditoria interna y externa

11TIPOS Y CLASES DE AUDITORIA

11AUDITORIA INFORMTICA DE EXPLOTACIN

13AUDITORIA DE INFORMTICA DE DESARROLLO DE PROYECTOS O APLICACIONES

15AUDITORIA DE INFORMACIN APLICADA A LA GESTIN DE DOCUMENTOS

17Auditoria informtica de sistemas

18Auditoria de la seguridad informtica

21Auditora informtica de comunicacin y redes

24PROCESOS Y HERRAMIENTAS QUE DEFINEN LA AUDITORIA DE LA INFORMACIN:

24PROCESOS:

24HERRAMIENTAS:

26OBJETIVOS

27MOTIVOS DE USO

PLAN DE AUDITORIA INFORMATICA30

Introduccin:

El desarrollo a pasos agigantados de los medios de comunicacin, nos lleva a concluir en que los sistemas informticos, con el paso de los aos se han convertido en herramientas muy poderosas para la organizacin en un nivel empresarial, materializando conceptos que son totalmente vitales, los cuales forman los Sistemas de Informacin de las Empresas, convirtindose a finales del ltimo siglo en pilares fundamentales para el desarrollo empresarial en general.

La gestin empresarial cumple un rol muy importante hoy en da, estando la informtica involucrada en todos los procesos que se requieren para una buena gestin, el management o gestin de la empresa se denomina as a la forma como las organizaciones estn afrontando el mercado. La informtica no es quin maneja las empresas, tiene un poder de decisin pero no decide por s misma. Y de acuerdo cmo se tome su importancia dentro del mbito empresarial, se da la existencia de la Auditoria de Informacin.

Hasta hace relativamente poco, el trmino Auditoria ha tenido un uso incorrecto, ya que se le encasill en el concepto de evaluacin el cual est equivocado, porque se considera que tiene un solo fin y es el de detectar errores y sealar fallos. Por ello se debe corregir y decir que la auditoria es un examen crtico que se lleva a cabo con la finalidad de evaluar la eficiencia y la eficacia de una seccin, organismo, entidad, etc.

La auditoria de informacin se define como un diagnstico global que ofrece una fotografa area del modo en que se utiliza la informacin en un sistema de interaccin. Adems permite tener una comprensin general del funcionamiento y caractersticas del sistema, antes de que ste sea utilizado. Puede evaluar elementos como recursos de informacin, usos que se pueden hacer del sistema, flujos de informacin, caractersticas del soporte y tipos de interaccin que permite el sistema, entre otros.

A la hora de realizar una auditoria de informacin, debemos identificar el uso de la informacin que se hace en la organizacin y el flujo que sigue. Para ello debemos identificar los recursos de los que la organizacin a estudiar dispone, qu uso efectivo se hace de ellos y los resultados que se obtienen. Tambin debemos tener en cuenta el equipamiento del que se dispone, quin hace uso de l, el coste, el valor que aporta a la organizacin y qu tipo de profesional desempea estas funciones.

La auditoria de informacin debe relacionar lo que se encuentra con los objetivos de la organizacin, as como relacionarlos con la cultura organizativa, adems de ayudar a decidir cmo la organizacin debe desarrollar una poltica informativa. Se persigue realizar una diagnosis de las carencias de la situacin actual, ya se por duplicaciones de la informacin como falta de sta, subutilizacin de recurso, incompatibilidad o/u obsolescencia de sistemas, carencias formativas dentro del conjunto de los miembros de la organizacin, necesidades extraordinarias de recursos e insuficiencia del personal.

Por ello y como consecuencia se ha convertido en una excelente herramienta que evala los parmetros sobre los que se ha de construir el sistema de gestin de la informacin de las organizaciones.

Concepto general de la auditoria de la informacin

Hasta hace relativamente poco tiempo, el termino Auditoria tenia un uso incorrecto, ya que se le asociaba al concepto de evaluacin el cual est equivocado, porque se considera que tiene un solo fin que es el de detectar errores y sealar fallos. Por ello se debe corregir y decir que la auditoria es un examen crtico que se lleva a cabo con la finalidad de evaluar la eficiencia y la eficacia de una seccin, organismo, etc.

La auditoria de informacin es un proceso interno al que se someten los sistemas de las organizaciones que optan por intentar mejorar sus circunstancias. La auditoria de la informacin ofrece una visin global o una fotografa area del modo en que se utiliza la informacin en un sistema de interaccin.

Adems este sistema tambin analiza el funcionamiento general y las caractersticas del sistema, antes de que ste sea utilizado. Puede evaluar elementos como recursos de informacin, usos que se pueden hacer del sistema, flujos de informacin, caractersticas del soporte y tipos de interaccin que permite el sistema entre otros.

La funcin de la auditoria es independiente y sus conclusiones no son vinculantes, estas son plasmadas en el informe final y se las llama recomendaciones. En dicho informe final aparece el alcance de la auditoria (precisin del entorno y los limites en los que se desarrolla sta), quedando as determinados no solo los puntos a los que se quiere llegar (objetivos) sino, que materias han sido eliminadas.Perfil del auditor

El auditor informtico ha de tener los conocimientos tcnicos sobre el rea a examinar.

Entonces podemos decir que el auditor informtico ha de tener conocimientos que abarquen los siguientes temas:

Estructura del sistema de aplicacin.

Esto incluye un conocimiento amplio del hardware (unidades de almacenamiento, terminales, perifricos, procesadores...); tambin de sistemas y tcnicas de mantenimiento; programacin y uso de tablas de decisin y matrices.

Controles y procedimientos del sistema de aplicaciones.

El mtodo de aplicar los controles de aplicacin y las tcnicas para anlisis del control interno. Las actividades en la aplicacin del proceso de datos, comunicacin de datos y otras reas pertenecientes al procesamiento de aplicaciones, as como el uso de bases de datos y diccionario de datos. Tambin la identificacin de los terminales, los procesos de autorizacin (permisos) sobre los usuarios y terminales y transacciones que pueden ser realizadas por los usuarios. Las tcnicas que empleadas para asistir en el control de acceso a los datos y los programas tambin son incluidas en los conocimientos necesarios.

Gerencia de datos.

En este campo debemos incluir el almacenamiento de datos en cinta y discos; sellos internos y externos, preparacin de boletines de acceso, generacin de archivo acceso y control; extraccin de datos de las bases centrales de datos.Controles de instalacin.

Este rea abarca controles de entrada y salida, inventario de produccin, controles de instalacin, manejo de los controles de produccin, control sobre las cintas y otras bibliotecas de almacenamiento, respaldo(back-up) y recuperacin, y almacenamiento fuera de sitio (off-site) y retencin de archivos. Tambin incluye el propsito y uso de lenguajes de control, sistemas de operacin, software del sistema y programas de utilidad. Adems, de la familiarizacin con aspectos de las operaciones computarizadas, funciones de biblioteca, sistema y programacin, servicios tcnicos, manejo de archivos y, el origen y autorizacin de las transacciones.

Desarrollo de sistemas y controles sobre los procesos de mantenimiento.

Ha de tener conocimiento sobre los controles de desarrollo y mantenimiento de los procesos y de su aplicacin durante los proyectos. Tambin incluimos la exposicin para el diseo e implementacin del estndar de sistemas. Controles especficos que se pueden implementar en nuevos sistemas: controles de entrada, procesamiento, salida, correccin de errores, cambios de sistema, recuperacin de desastres, retencin de OED (procesamiento Electrnico de Datos). En instalaciones complejas se debera de conocer la programacin modular como el luso de tcnicas de programacin interactiva.

Controles de sistemas En-Lnea y software.

Cuando los termnales, equipos de entrada remota, sistemas de transferencia electrnica de fondos u otros estn en uso, el auditor necesita conocimiento adicional sobre un sistema en lnea como de los controles que pueden ser usados con ellos.

Controles sobre el sistema manejador de base de datos y software.

Si hay un sistema manejador de base de datos (ODBMS), el auditor ha de conocer el diseo total y el uso del diccionario de datos. Tambin ha de conocer los atributos especficos del DBMS en uso en la empresa y sobre los controles de manejo.

Minicomputadoras y procesamiento distribuido.

Conocimiento bsico sobre el control de hardware y software en uso. Las minicomputadoras se usan para aplicaciones especficas. Por esto el auditor debe conocer los conceptos relacionados con el procesamiento distribuido y el control de procesamiento distribuido.

Aspectos especficos de las instalaciones u sistemas bajo auditoria.

El auditor necesita informacin adicional por cada una de las aplicaciones de software y hardware que la empresa emplea.

La pregunta que nos hacemos ahora es Cmo formar a un auditor?

Lo principal para obtener estos conocimientos es identificar los aspectos del PED y su organizacin, que sean importantes dentro de la empresa. Despus hay que saber el nivel de conocimiento necesario sobre estas reas, para que el auditor del sistema pueda evaluar correctamente las sugerencias, que los usuarios del procesamiento de datos puedan ofrecerle. El auditor necesita una base de todos estos aspectos, no para trabajar si no para entender el funcionamiento.

Los aspectos que debe conocer el auditor son bastante amplios por que en una empresa mediana o una gran organizacin, necesitara entre dos das y una semana o una cantidad de horas bastante grande repartida en varios aos antes de estar totalmente preparado. Muchos proyectos de sistemas de una empresa pueden durar mas de un ao, pueden incluso alcanzar los dos y tres aos, por lo que los auditores son retenidos durante el desarrollo de proyectos

En funcin de los estos cocimientos el auditor informtico se encarga de revisar los siguientes puntos: los controles en las aplicaciones instaladas con el fin de determinas si producen informacin exacta, oportuna y significativa. la integridad de los datos.

1. el ciclo de desarrollo de nuevos sistemas.

2. auditoria de datos reales y resultados de los sistemas que ya estn implantados.

3. procedimientos de operacin

4. seguridad

5. mantenimiento de sistemas

6. procedimientos de adquisicin de hardware y software.

7. practicas gerenciales del departamento de sistemas o informtica.

En realidad la auditoria informtica se divide en varios tipos de auditoria: de produccin y explotacin, de gestin de documentos, de desarrollo de proyectos, de sistemas, de comunicacin y redes y de seguridad. Es posible que dentro de las labores de auditoria informtica participe ms de un auditor si no se encuentra una persona que pueda cubrir todos los tipos de auditoria.

5 grandes peligros

Los incendios

Puede destruir datos almacenados en cintas, disquetes y dems. Tambin destruye hardware. Teniendo en cuenta que en las oficinas hay otros tipos de materiales en abundancia altamente inflamables: cajas, papel, plstico.

Robos.

Los recursos materiales de una empresa pueden de gran valor y por tanto un objetivo para robar. O simplemente robar su tiempo de uso para fines ajenos a la empresa.

Fraude.

Los ordenadores potencian el fraude dificultando la prevencin y el descubrimiento. Hay cuatro mtodos bsicos que el desfalcador utiliza:

Manipulacin de datos de entrada.

Desarrollo de programas o rutinas impropias.

Alteracin o creacin de archivos de daos ficticios.

Transmitir ilegalmente, interceptar o desviar informacin teleprocesada.

Sabotaje.

Por algunas razones los centros de computacin en la educacin y los negocios son los blancos llamativos para destrozos, como ejemplo de tenemos:

En la Universidad Sir George Williams en Montreal, los estudiantes ocuparon el centro de computacin y cuando atacaron, destrozaron dos grandes computadoras con hachas.

En la Universidad de Boston, vagos destruyeron una computadora con pinzas de cortar alambre y cido.

En Londres, dos computadoras compartidoras de tiempo en un buro de servicio fueron saboteadas por un empleado que saba que cortar para prevenir un fcil diagnstico.

Auditora interna y externa

Hablaremos de dos tipos distintos de auditoria la Interna y la Externa, la Auditoria interna se lleva a cabo con recursos propios de la empresa, tanto como humanos como materiales, todos estos pertenecen a la empresa auditada. Los empleados que realizan la auditoria obtienen una remuneracin econmica.

La auditoria existe por decisin de la Empresa, esto quiere decir que la empresa puede prescindir de esta actividad en cualquier momento.

En la auditoria externa el personal debe de ser afn a la empresa auditada, este tipo de auditoria es el ms empleado por la mayor aportacin de objetividad conseguida por la poca relacin, o inexistente entre los auditores y los auditados.

La Auditoria informtica interna tiene una ventaja respecto la externa, ya que puede ser realizada de forma peridica, incluyndola en el plan anual de trabajo realizando una revisin a fondo de los sistemas y todos los equipos utilizados en la empresa.

Esto permite al los empleados de la empresa adecuarse al plan de trabajo, incluyendo la auditoria realizada de forma anual, apoyado por el beneficio que aportan las distintas mejoras obtenidas como resultado de realizar la auditoria.

Los empleados informticos tienen el deber de informar y tambin escuchar las opiniones tcnicas positivas o negativas que estn relacionadas con el sistema, as como de los costos que ste requiera. Estas opiniones no cuentan con voto dentro de la direccin de la empresa. En cambio si que son importantes, como consecuencia de la atencin de estas opiniones, se obtienen resultados que satisfacen las necesidades ms inmediatas de los empleados.

La mayor parte de las empresas, por no decir todas, desearan ejercer mayor control sobre sus sistemas informticos. Las empresas grandes son la que se pueden permitir el lujo de tener una oficina de auditoria, ya que mantener este servicio de forma permanente es muy costoso y caro. Como consecuencia las pequeas empresas acuden a auditorias externas.

Si la empresa decide mantener de forma permanente el servicio de auditoria interna, habr que trasladar parte del personal informtico, ya existente en la empresa, al nuevo departamento para realizar la nueva activad teniendo conocimientos de los sistemas informticos de la empresa.

Tambin hay distintas razones por las que una empresa, teniendo este servicio se apoyara, tambin, en los servicios de una auditoria externa:

1. Falta de capacidad tcnica, para realizar la auditora de materia especializada en gran cantidad.

2. Comparar las informaciones de ambas auditorias, para asegurar el xito de las mejoras, aplicadas como consecuencia del resultado de la auditoria.

3. Obtener una visin externa y objetiva de la empresa.

Ambos tipos de auditorias han de estar libres de toda posible influencia poltica. Este tipo de influencias afectan a los resultados de la auditoria y como consecuencia es posible que daen la poltica general y la estrategia de la empresa. El departamento de auditoria ha de tener autonoma para tomar decisiones y actuar de acuerdo a stas. Este departamento puede recibir solicitudes tanto de la direccin de la empresa como del cliente, es un rgano independiente dentro de la empresa.

Hemos de asegurarnos de las responsabilidades asignadas a la fusin de auditoria interna de la organizacin incluyen la revisin peridica de todos los aspectos de las actividades del departamento de informtica, en concreto:

1. gestin y administracin

2. desarrollo y mantenimiento de sistemas

3. explotacin de proceso de datos y apoyo a explotacin

4. servicios tcnicos

TIPOS Y CLASES DE AUDITORIA

El departamento de informtica, tiene una actividad pensada para el usuario (exterior), aunque sta siga siendo la misma organizacin, de aqu se obtiene la Auditoria de Usuario diferencindose as de la interna. Por lo tanto, tambin tendremos una Auditoria Informtica de actividades internas.

El funcionamiento de la Auditoria de Informtica De Usuario, se realiza por medio de la Direccin. Una informtica eficiente y eficaz, requiere el apoyo de la Direccin frente al exterior, el objetivo de la Auditoria Informtica de Direccin es revisar estas relaciones.

Estas tres auditorias (usuario, actividades internas y direccin), junto con la Auditoria de Seguridad, son las cuatro reas generales de la Auditoria Informtica ms importantes. Dentro de estas reas generales, existen tambin divisiones. (Cuadro).

Cada rea especfica puede ser auditada de diferentes formas;

1. Desde el interior.

2. Desde el apoyo que recibe de la Direccin.

3. Desde el punto de vista del usuario.

4. Desde la perspectiva de la informtica, en cuanto a seguridad.

AUDITORIA INFORMTICA DE EXPLOTACIN

La explotacin informtica se ocupa de producir resultados informticos de todo tipo. Para realizar la explotacin informtica, se dispone de unos datos que hay que transformar y someter previamente a controles de integridad y calidad. El proceso informtico es el medio encargado de esta transformacin gobernada por programas. La explotacin informtica est dividida en tres reas:

1. Planificacin.

2. Produccin.

3. Soporte Tcnico de Explotacin Informtica.

De este modo, se obtienen resultados en forma de listados impresos, ficheros soportados magnticamente para otros informticos, rdenes autmatas para lanzar o modificar procesos, etc.

Las funciones que se realizan son las siguientes:

Control de entrada de datos: Se analizar la informacin obtenida para verificar su compatibilidad con el sistema, teniendo en cuenta los plazos establecidos de entrega de datos y la correcta entrega de informacin. Se realizarn los procedimientos, de acuerdo a las normas vigentes.

Planificacin y Recepcin de Aplicaciones: Las normas de entrega de Aplicaciones sern auditadas, comprobando su cumplimiento y su calidad. Una forma de evaluar la informacin, es recogiendo muestras representativas de la documentacin de las aplicaciones de explotacin.

Centro de Control y Seguimiento de Trabajos: A la produccin diaria se le realiza un examen exhaustivo. La explotacin informtica dar ejecucin a procesos por cadenas o lotes (batch), o en tiempo real (Tiempo Real). Las aplicaciones de teleproceso se encuentran en permanente actividad limitando a las funciones de explotacin a vigilar, as como recuperar incidencias, adems batch absorbe una buena parte de los efectivos de explotacin. Si todo ello se lleva a cabo sin dificultad ni inconvenientes, el xito de la explotacin est garantizado, as como el mantenimiento de la produccin.

Debe de existir adems, una sala de ordenadores, donde llevar a cabo las operaciones necesarias en la Auditoria de Explotacin, como un Centro de Control de Red y un Centro de Diagnosis (Help Desk).

1. Sala de ordenadores. Operacin: Se analizarn relaciones personales, coherencia de cargos y salarios, as como la igualdad en la asignacin de turnos de trabajo. Se verificar la existencia de un responsable de sala en cada turno de trabajo, se analizar el grado de automatizacin de comandos, la existencia y el grado de uso de los Manuales de Operacin y no slo la existencia de planes de formacin, sino tambin su cumplimiento y el tiempo transcurrido de cada operador desde el ltimo curso recibido. Adems se estudiarn el desarrollo diario y por horas de cualquier procedimiento.

2. Centro de Control de Red y Centro de Diagnosis (Help Desk): Se suele ubicar en reas de produccin de explotacin. Sus funciones se basan exclusivamente en la comunicacin, estando relacionadas con la organizacin del software de Comunicaciones Tcnicas de Sistemas. Debe de haber fluidez y coordinacin entre ambos.

El Centro de Diagnosis es el centro de llamadas de los usuarios-clientes, que tienen problemas o averas, tanto de software como de hardware. Est enfocado para informticos grandes y con usuarios dispersos en un territorio amplio. Es uno de lo elementos que ms contribuyen a configurar la imagen de la Informtica de la Organizacin.

Debe de ser auditada desde el usuario y sobre el servicio que se le dispone, no slo comprobando la eficiencia tcnica del Centro, sino tambin analizarlo simultneamente en el mbito de Usuario.

AUDITORIA DE INFORMTICA DE DESARROLLO DE PROYECTOS O APLICACIONES

La funcin de desarrollo viene del llamado Anlisis de Sistemas y Aplicaciones, que engloba diversas reas, tantas como sectores informatizables con que cuenta la organizacin. Una aplicacin sigue las siguientes fases:

1. Requisitos del usuario y del entorno.

2. Anlisis funcional.

3. Diseo.

4. Anlisis orgnico (reprogramacin y programacin).

5. Pruebas.

6. Entrega de explotacin y alta del proceso.

Estas fases son sometidas a control interno, o de lo contrario si no fuera as, adems del disparo en los costes, pude producirse la insatisfaccin del usuario. La auditoria tambin deber comprobar la seguridad de los programas en el sentido de garantizar su correcta ejecucin y no de lo contrario.

La Auditoria de Desarrollo de Proyectos, analiza las siguientes cuatro consideraciones:

Revisin de las metodologas utilizadas: Se analizan las metodologas existentes, facilitando la ampliacin de la Aplicacin en el futuro y su mejor mantenimiento.

Control Interno de las Aplicaciones:

Estudio de viabilidad de la Aplicacin (importante en aplicaciones

largas, complejas y caras).

Definicin lgica de la Aplicacin (se analiza el seguimiento lgico de

actuacin, en funcin de la metodologa elegida y finalidad que persigue

el proyecto).

Desarrollo Tcnico de la Aplicacin (ordenado y correcto, con

herramientas tcnicas compatibles, utilizadas en los diversos programas).

Diseo de Programas (mxima sencillez, modularidad y economa de

recursos).

Mtodos de Pruebas (se realizarn sobre las normas de la instalacin,

utilizando juegos de ensayo de datos).

Documentacin (cumpliendo la normativa establecida en la instalacin,

tanto la de Desarrollo, como de Aplicaciones a Explotacin).

Equipo de programacin (en aplicaciones complejas, se producirn

variaciones en las composiciones de los grupos, que deben estar

previstos, fijando las tareas de anlisis, de programacin e intermedias).

Satisfaccin de usuarios: Siendo una aplicacin tcnicamente eficiente y bien desarrollada, ser un fracaso si no se satisface las necesidades o intereses del usuario que la solicita.

Control de Procesos y Ejecuciones de Programas Crticos: Puede que se de el caso, de que se est ejecutando un mdulo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones. El auditor no debe descartar esta posibilidad y debe comprobar la correspondencia exclusiva entre el programa codificado y su compilacin. Si los programas fuente y los programas mdulo no se corresponden, provocaran altos costes de mantenimiento, por crear errores de bulto, hasta fraudes, acciones de sabotaje, espionaje informtico, etc. Por ello, se debe de tener en cuenta las Normas de Librera de Programas, en las que los programas fuente que sean correctos por Desarrollo, sern entregados e Explotacin con el fin de que:

-Copie el programa fuente en la librera de Fuentes de Explotacin, a la

que nadie ms tiene acceso.

-Compile y monte el programa, llevndolo a librera de Mdulos de

Explotacin, a la que nadie ms tiene acceso.

-Copie los programas fuente que les sean solicitados para modificar,

arreglar, etc. Cualquier cambio implica volver al paso primero.

Como este mtodo para auditar y dar de alta a una aplicacin es bastante laborioso y complicado, hay algunas empresas, no todas, que usan un sistema llamado U.A.T (User Aceptable Test). Consiste en que el nuevo usuario de la Aplicacin la use como si estuviera en Produccin y detectara as los errores de la misma. Los defectos que se encuentran, se van corrigiendo a medida que se realiza el U.A.T.

Una vez que se consigue, el usuario da el Sign Off (esto est bien), testeo que tiene que controlar la auditoria y evaluarlo para que sea el correcto, estando involucrados tanto el cliente como el desarrollador en ste. Cuando el U.A.T. finaliza, la auditoria comprueba que el Sign Off del usuario est bien y el funcionamiento es el correcto.

Es aconsejable, adems, que las organizaciones cuenten con un Departamento QA (Quality Assurance Aseguramiento de la Calidad), con la funcin de controlar que el producto llegue al usuario adecuadamente, en cuanto al funcionamiento y prestaciones, antes de realizar el U.A.T.

AUDITORIA DE INFORMACIN APLICADA A LA GESTIN DE DOCUMENTOS

Se puede definir la Auditoria de Informacin, dentro del campo de gestin de documentos, como un examen sistemtico, planteado y organizado, que determina si las actividades y los resultados que tienen relacin con la gestin de documentos, cumplan con los mtodos establecidos y que aplicndose de forma adecuada, alcancen los objetivos estipulados, no slo por los responsables de la unidad de gestin documental, sino por la organizacin en general.

Por su finalidad, la Auditoria de Informacin aplicada a la gestin de documentos, se presenta en tres categoras:

1. Relacionada con la evaluacin de la situacin actual de gestin de documentos en la organizacin, con el objetivo de realizar un diagnstico de gestin documental y un plan de accin.

2. Encaminada a identificar los procedimientos de gestin de documentos, con la intencin de establecer mejoras en los procesos de la organizacin, evaluando tres aspectos:

Diseo y estructura de la documentacin de la organizacin (en papel o electrnicamente), que sean flexibles a posibles cambios.

Base procedimental, en la que se establecen responsabilidades y actividades de los responsables de produccin, uso y administracin de documentos.

Herramientas tecnolgicas usadas para el mejor rendimiento de documentos (ofimtica, sistemas de informacin, correo electrnico, Intranet e Internet, entre otros).

3. Identificar la efectividad de recursos documentales de la organizacin.

En realizacin de esta auditoria, se deben de tener en cuenta las siguientes cuestiones:

Dispone la organizacin de la informacin que se necesita?-Acceso.

Est distribuida adecuadamente la informacin?-Flujo.

Se utiliza adecuadamente para la toma de decisiones?-Rentabilidad.

Teniendo en cuenta siempre las necesidades de la organizacin, o el objetivo que busca, se aplicar un tipo de auditoria especfica, incluso aplicndola a toda la organizacin en s, o simplemente a reas especficas que la necesiten porque muestran carencias, que se han de solucionar. Adems, se puede aplicar una auditoria, a las herramientas tecnolgicas tambin, involucradas en la gestin de documentos como en los Sistemas de Comunicacin, en Intranet o Internet, etc.

Los resultados que obtenemos al aplicar dicha auditoria son:

Balance de los procesos y actividades de gestin de documentos en la organizacin.

Identifica puntos crticos y cuellos de botella, lo que permite aplicar soluciones para minimizarlos.

Da prioridad a las reas ms perjudicadas o problemticas y a los problemas como tal.

Disea distintos mapas documentales.

Permite la identificacin de expertos en temas determinados.

Verifica el cumplimiento de la normativa legal.

Identifica necesidades y expectativas de la organizacin, relacionado con la gestin de documentos.

Establece estrategias de inters, como implementar las tecnologas de informacin, bases de datos, etc.

Elabora el plan de accin y proyectos, relacionado con la gestin de documentos.

Los beneficios que la organizacin auditada en la gestin documental, obtiene son:

Identifica obstculos y riesgos en documentos y sobrecostos que incurren en la organizacin (reproceso, duplicacin, errores, prdidas, etc.).

Tiene en cuenta la situacin actual de gestin de documentos en la organizacin, por lo que implementa las estrategias y la puesta en marcha del plan de accin en la gestin de documentos, que son necesidades de vital importancia.

Ayuda a comprender y conocer los flujos de documentos a la organizacin con los que cuenta y les muestra lo que ganaran al contar con una eficiente gestin documental.

Establece la relacin entre la informacin interna con la que cuenta la organizacin, con los documentos que satisfacen a esa informacin, haciendo de sta que sea ms efectiva.

Muestra el logro de los objetivos que desea la organizacin, a travs de una buena gestin de documentos, adems de poder agregar ms valor al negocio.

Auditoria informtica de sistemas

Este tipo de auditoria se encarga de analizar las actividades relacionadas con la tcnica de sistemas en todos sus campos. En los tiempos que corren las telecomunicaciones tienen gran importancia por lo que las comunicaciones, redes y lneas de las instalaciones informticas se analizan por separado.

Sistemas operativos:

Lo primero que se debe comprobar es que los sistemas estn actualizados con las ltimas versiones del fabricante, e investigando, si hubiera, la falta de estas actualizaciones Podremos descubrir posibles incompatibilidades con otros productos de software.

Software bsico

El software realizado por el personal informtico de la empresa no debe daar el sistema ni causarle ningn efecto negativo. Hay que tener en cuenta los costes y las alternativas ms econmicas.

Tunning

Conjunto de tcnicas y de medidas relacionadas con la evaluacin del funcionamiento de los subsistemas y del sistema en conjunto. Este tipo de acciones han de ser diferenciadas de los habituales controles que realiza el personal de tcnica de sistemas de forma peridica. El tunning es ms exhaustivo y metdico, puesto que previamente se establecen planes y programas de actuacin desacuerdo los distintos sntomas que se pueden observar. Se pueda realizar:

si se sospecha del deterioro de forma parcial o total del sistema.

De forma sistemtica y peridica, en cuyo caso las acciones son repetitivas y estn planificadas y organizadas previamente.

El auditor deber saber el nmero de tunning llevados a cabo en el periodo deseado, as como los resultados obtenidos.

Optimizacin de los sistemas y subsistemas:

Hay que mantener la optimizacin de forma permanente

Debido a la realizacin de tunnings preprogramados o especficos se consigue una optimizacion* de forma permanente. El auditor debe comprobar que las acciones de optimizacin son efectivas y no afectan la operatividad de los sistemas ni el plan critico de produccin diaria de explotacin.

*un ejemplo de optimizacin es la instalacin de una aplicacin, normalmente al principio esta vaca, pero a medida que se utiliza se va cargando u esta se vuelve ms pesada y ms lenta, la informacin que mueve cada vez es mayor. Es entonces cuando hay que realizar un anlisis de performance, para poder optimizarla, y as conseguir una mejora en el rendimiento de la aplicacin.

Administracin de bases de datos

El diseo de bases de datos es algo complejo y sofisticado, ya sean relaciones o jerarquas, desarrolladas en funcin de las areas y usuarios de la empresa. Los auditores pueden observa disfunciones debido a la escasa experiencia de los usuarios de las bases de datos.

La administracin de las bases de datos debe de estar a cargo de explotacin y que las conoce, de esto ha de asegurarse el auditor de base de datos. Analizara los sistemas de salvaguarda en uso y finalmente la integridad y consistencia de los datos, comprobando la ausencia de redundancias entre ellos.

Investigacin y desarrollo

Las empresas que usan y necesitan tecnologa y aplicaciones informticas desarrolladas, deben tener en cuenta en todo momento que sus empleados desarrollan aplicaciones y diversas utilidades, que inicialmente fueron creadas para la empresa pero que pueden resultar interesantes para otras empresas de la competencia.

Auditoria de la seguridad informtica

La auditoria en este campo abarca distintas reas relacionadas con la seguridad fsica y lgica.

La seguridad lgica se relaciona con el uso adecuado del software, la proteccin de aplicaciones, procesos y datos tanto como del acceso ordenado y una jerarquizacin correcta de permisos para el acceso a la informacin.

La seguridad fsica se refiere a la proteccin del hardware y los soportes de datos. Tambin tenemos que tener en cuenta la seguridad de los edificios e instalaciones que los albergan. El auditor informtico debe tener en cuenta situaciones no relacionadas con la tecnologa pero que si afectan a sta. Estas situaciones pueden ser de origen natural, incendios, inundaciones, catstrofes naturales o llevadas a cabo por el hombre, robos, sabotajes

La seguridad informtica debido a los rpidos cambios que se producen de forma continua en las plataformas y condiciones y la posibilidad de interconectarse a travs de redes, permite a las empresas mejorar su productividad y expandirse de forma internacional, lo cual tambin supone la aparicin de nuevas amenazas para los sistemas informticos de las empresas.

Estos riesgos han llevado a que muchas empresas realicen documentos y directrices que den conocimiento del uso adecuado de estas novedades tecnolgicas y recomendaciones para sacar un provecho ventajoso, y evitar el uso incorrecto ocasionando problemas a los equipos los servicios que estos prestan, que pueden desencadenar graves consecuencias y desastres dentro de la empresa.

Generalidades

Se debe conocer adecuadamente como desarrollar y ejecutar la implantacin de un sistema de seguridad para realizar una evaluacin correcta.

Para desarrollar un sistema de seguridad hay que planear, organizar, coordinar, dirigir y controlar todo lo que este relacionado con el mantenimiento de la integridad fsica de los recursos implicados en la funcin informtica, teniendo en cuenta el resguardo de los activos de la empresa.

Hay diversos puntos que hay que tener en cuenta en un sistema integral de seguridad:

definir elementos administrativos.Definir elementos administrativos

Definir polticas de seguridad

A nivel departamental

A nivel institucional

Organizar y dividir las responsabilidades

Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.)

Definir prcticas de seguridad para el personal.

Definir elementos tcnicos de procedimientos.

Definir las necesidades de sistemas de seguridad para hardware y software

Flujo de energa.

Cableados locales y externos

Aplicacin de los sistemas de seguridad incluyendo datos y archivos.

Planificacin de los papeles de los auditores internos y externos.

Planificacin de programas de desastre y sus pruebas (simulacin).

Planificacin de equipos de contingencia con carcter peridico.

Control de desechos de los nodos importantes del sistema.

Poltica de destruccin de basura, copias, fotocopias, etc.

Un sistema ha de tener todos lo medios necesarios para su correcto funcionamiento. Las consideraciones ha tener en cuenta son:

Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.

Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos y ambientales.

Elaborar un plan para un programa de seguridad.

Polticas de seguridad informtica (SEG)

Las polticas de seguridad informtica son una nueva herramienta para hacer valer, a los empleados, la importancia de la informacin y servicios primarios de la empresa, sin los cuales no saldra adelante, no podra expandirse y ser competitiva. Mantener una poltica de seguridad requiere un gran compromiso son la empresa, y una buena tcnica para hallar errores y puntes dbiles, tambin un trabajo duro para mantener actualizada esa poltica en funcin del cambiante mundo de la tecnologa y la informtica, en concreto.

definicin de polticas de seguridad informtica

La poltica de seguridad es una descripcin de cmo reconocer la informacin como uno de los principales activos, un motor de intercambio y desarrollo en el mbito de sus negocios.

elementos de una poltica de seguridad informtica

Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes elementos:

Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin.

Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica.

Definicin de violaciones y sanciones por no cumplir con las polticas.

Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.

La poltica de seguridad informtica ha de explicar por que se deben tomar decisiones y explicar la importancia de stas

Etapas para Implantar un Sistema de SeguridadPara que el plan de seguridad entre en funcionamiento y todo funcione correctamente y se empiece a respetar las nuevas normas de la empresa como parte del plan del nuevo sistema de seguridad ha de llevarse a cabo los siguientes pasos.

Introducir la seguridad en el entorno de la empresa.

Capacitar a los gerentes y directivos, contemplando el enfoque global.

Designar y capacitar supervisores de rea.

Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas.

Mejorar las comunicaciones internas.

Identificar claramente las reas de mayor riesgo y trabajar con ellas planteando soluciones.

Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware.

Beneficios de un Sistema de SeguridadDe forma inmediata se pueden apreciar los beneficios de un sistema de seguridad:

Aumento de la productividad.

Aumento de la motivacin del personal.

Compromiso con la misin de la compaa.

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.

Mejora de los climas laborales para los RR.HH.

Acciones que Acompaan a un sistema de Seguridad El sistema de seguridad de una empresa ha de contar con una serie acciones especificadas de antemano para llevarse a cabo en caso de una situacin de emergencia:

Obtener una especificacin de las aplicaciones, los programas y archivos de datos.

Medidas en caso de desastre como la prdida total de datos y los planes necesarios para cada caso.

Prioridades en cuanto a acciones de seguridad de corto y largo plazo.

Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin y viceversa.

Que los operadores no sean los nicos en resolver los problemas que se presentan.Hay que tener en cuenta otras cosas menos tcnicas pero no por ello menos importantes. Las polticas de seguridad han de redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y palabras que impidan la fcil comprensin.

Tambin debemos considerar que las polticas de seguridad deben de ser actualizadas de forma peridica, relacionadas con el aumento de personal, cambios en la infraestructura, alta rotacin de personal, desarrollo de nuevos servicios, cambio del rea de negocios, etc.

Parmetros para establecer polticas de seguridad

A la hora de formular las polticas de seguridad hay que tener en cuenta los siguientes aspectos:

Efectuar un anlisis de riesgos informticos, para valorar los activos.

hablar con los departamentos.

identificar quien tiene la autoridad para tomar decisiones en cada departamento.

Monitorear los procedimientos y operaciones de la empresa, para que ante cambios en las polticas puedan actualizarse.

Detallar y concretar el alcance las polticas.

Razones que impiden la aplicacin de las polticas de seguridad informtica.

Aunque las empresas realizan grandes esfuerzos ejecutar las polticas de seguridad y concretarlas en documentos, pocas son las que alcanzan el xito.

Un inconveniente es convencer a los altos ejecutivos de la necesidad de estas; al igual que puede ser lo los tecnicismos informticos.

Auditora informtica de comunicacin y redes

Para un informtico y para un auditor, las redes nodales, lneas, concentradores, multiplexores y dems solo son el soporte fsico-lgico del tiempo real. El auditor debe tener en cuenta las deficiencias del entorno. Se necesitan de especialistas que presten servicio simultneo de redes locales y comunicaciones. Entorno a las comunicaciones se deber estudiar el uso de las lneas centrndose en la gran cantidad de informacin en relacin con los tiempos de desuso. La topologa de red utilizada para las comunicaciones tanto externas como internas ha de ser la ms actualizada posible, si no podra ser un serio problema de efectividad y seguridad. La falta de informacin conlleva perdida de tiempo para la empresa, pero tambin existen disfunciones organizativas, la contratacin e instalacin de lneas esta asociada a la instalacin de los puestos de trabajo correspondientes (pantallas, servidores de redes locales, computadoras con tarjetas de comunicaciones, impresoras).

Las comunicaciones son la base de los negocios modernos, por ello para las empresas es muy importante mantener sus servidores, datos y dems fuera del alcance de los hackers.

Las empresas se sienten amenazadas y quieren tecnologas que las protejan, por ello parte de sus presupuestos estn destinados a fortalecer la seguridad de las comunicaciones y con ello la de los datos e informacin.

Definicin de privacidad en la red.

Las redes almacenan procesan y transmiten datos que. stas compuestas de elementos de transmisin (cables, enlaces inalmbricos, satlites, encaminadores, pasarelas,) y servicios de apoyo (sistema de nombres de dominio incluidos los servidores raz, servicio de identificacin de llamadas, servicios de autenticacin, etc.).

Cada vez mas hay un numero mayor de aplicaciones conectadas a las redes (sistemas de entrega de correo electrnico, navegadores, etc.) y equipos terminales (servidores, telfonos, computadoras personales, telfonos mviles, etc.).

Para las empresas son importantes porque permiten la comunicacin pero tambin pueden ser accedidas por personas no autorizadas. Cuando hablamos de privacidad nos referimos al cuidado o medidas establecidas para que la informacin no sea consultada por personas no autorizadas.

Requisitos para mantener la privacidad de las redes.

Las redes han de cumplir una serie de requisitos para mantener su privacidad:

1. Disponibilidad: quiere decir que los datos son accesibles, incluso en casos de alteraciones, cortes de corriente, catstrofes naturales, accidentes o ataques. Esto muy importante cuando una avera de la red provoca interrupciones por las cuales no se pueda operar de forma habitual.

2. Autentificacin: confirmar la identidad de los usuarios. Se necesitan los mtodos adecuados para cada servicio y o aplicaciones, como autentificacin de los sitios web

3. Integridad: confirmacin de que los datos han sido enviados, recibidos o almacenados son correctos y no se han modificado.Elaborar un Protocolo de Seguridad Antivirus

Un protocolo de seguridad consiste en una serie de pasos que deber seguir con el fin de crear un hbito al operar normalmente con programas y archivos en sus computadoras. Le aseguramos que un protocolo puede ser muy efectivo pero si es complicado, no ser puesto en funcionamiento nunca por el operador. El protocolo de seguridad antivirus consiste en:1. Instalar el antivirus y asegurar cada 15 das su actualizacin.

2. Chequear los CD-Roms ingresados en nuestra PC slo una vez, al comprarlos o adquirirlos y marcarlos para certificar el chequeo.

3. Formatear todo diskette virgen que compremos.

4. Revisar todo diskette que provenga del exterior.

5. Si nos entregan un diskette y nos dicen que est revisado, no confiar nunca en los procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos si esa persona sabe operar correctamente su antivirus

6. Para bajar pginas de internet, archivos ejecutables, etc., definir siempre en nuestra PC una carpeta o directorio para recibir el material. De ese modo sabemos que todo lo que bajemos de internet siempre estar en una sola carpeta.7. Nunca abrir un adjunto de un e.mail sin antes chequearlo con nuestro antivirus.8. Al actualizar el antivirus, verificar nuestra PC completamente.9. Si por nuestras actividades generamos grandes bibliotecas de diskettes conteniendo informacin, al guardar los diskettes en la biblioteca, verificarlos por ltima vez, protegerlos contra escritura y fecharlos para saber cundo fue el ltimo escaneo.

10. Haga el backup peridico de sus archivos. Una vez cada 15 das es lo mnimo recomendado para un usuario domstico.PROCESOS Y HERRAMIENTAS QUE DEFINEN LA AUDITORIA DE LA INFORMACIN:

Procesos:

Hoy en da no existe una forma estndar para realizar una auditoria de la informacin aun as existen una serie de tcnicas que ayudan a realizarla:

Inventario fsicoProceso de identificacin y clasificacin de los recursos de informacin. De esta forma se muestra la realidad que posee la organizacin en cuanto a recursos de informacin.Mapeo de informacin

Representacin de los recursos de la informacin y la relacin que existe entre ellos, permitiendo as comprender lo flujos, los mecanismos de almacenamiento y el modo en que estos se actualizan.

El mapa de recursos indica hasta que punto los recursos son bsicos, su posicionamiento, quien los utiliza, quien es el responsable, etc.

Anlisis de las necesidades de informacin

La funcin principal es determinar qu informacin necesitan los empleados y la direccin de la organizacin para que puedan trabajar y alcanzar sus objetivos.

Procesos de control

Consiste en identificar los mecanismos de autorregulacin, verificacin y control con que cuenta el sistema de informacin a estudiar.

HERRAMIENTAS:

Las herramientas usadas para realizar una auditoria de la informacin son:

Cuestionarios: las auditorias informticas se crean recopilando informacin de todo tipo. El trabajo del auditor consiste en recoger toda la informacin para despus emitir el juicio sobre la situacin de la organizacin. Para ello lo habitual es comenzar con cuestionarios que se enviaran a las personas que el auditor crea adecuadas o a personas que sean las responsables de las reas a auditar, estos cuestionarios debern de ser especficos para cada rea.

Despus de tener los cuestionarios contestados, se estudia y analiza la informacin recopilada. Dicha informacin (cuestionarios) junto con la que deber de elaborar el auditor es la base fundamental de la auditoria.

Esta fase puede ser suprimida si los auditores ya han recopilado esta informacin a travs de otros medios.

Entrevistas: en esta fase el auditor comienza las relaciones personales con el auditado mediante tres formas:

1- Peticin de informacin sobre algunas materias determinadas

2- Mediante entrevistas en las que ni se sigue ningun metodo de cuestionario especifico.

3- Mediante entrevistas siguiendo un mtodo ya establecido anteriormente.

La entrevista es una de las actividades mas importantes, ya que se recoge mas informacin y mas detallada. Esta se basa fundamentalmente en el interrogatorio, siguiendo unas pautas previamente establecidas.

Checklist: el profesionalismo del auditor pasa por poseer preguntas muy estudiadas que se formulan al personal. El conjunto de estas preguntas recibe el nombre de checklist. Salvo excepciones las checklist deben de ser contestadas oralmente, ya que superan en riqueza a las escritas.

Las empresas externas de auditoria informtica guardan sus checklist, pero no sirven si el auditor no las usa adecuadamente. El auditor aplicara la checklist para que le auditado responda claramente y se le deber interrumpir lo menos posible y nicamente en lo casos en que las respuestas se desven de la pregunta.

Las checklist se clasifican de dos formas, dependiendo del modo de evaluacin:

1- Checklist de rango: contiene preguntas que el auditor debe puntuar del 1 al 5, siendo el 1 la respuesta mas negativa y el 5 la mas positiva.

2- Checklist binario: son preguntas con respuestas nicas ( si o no ) que aritmticamente equivalen a un 1 y un 0.

Se usaran las checklist de rango si el personal de la organizacin no es muy grande ya que permiten mayor precisin de evaluacin.

Trazas y/o huellas: Las trazas se usa para comprobar la ejecucin de los datos previstos, estos no modifican el sistema.

Software de interrogacin: hasta hace algunos aos se han usado softwares llamados paquetes de auditoria, que generan programas para auditores poco cualificados. Mas tarde estos productos evolucionaron obteniendo hiptesis de las situaciones reales de las instalaciones.

En la actualidad estos productos se orientan hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos solo los usan los auditores externos ya que los internos usan softwares propios de las instalaciones.

OBJETIVOS

El objetivo principal es la operatividad, esta consiste en que la organizacin pueda funcionar con la cantidad mnima de recursos. No se puede permitir que se detengan las actividades, para detectar fallos, esto es, la actividad debe llevarse a cabo estando los sistemas en marcha. El auditor debe conseguir que los sistemas se encuentren en total operatividad, para lograr esto se deben realizar una serie de controles tcnicos generales de operatividad y dentro de ellos unos controles tcnicos especficos de operatividad.

Controles tcnicos generales: son los controles que verifican la compatibilidad que existe entre un sistema operativo y el software de base, as como la compatibilidad entre el hardware y el sistema instalado.

Controles tcnicos especficos: igual de importantes que los generales aunque estos se encargan de verificar el funcionamiento correcto de partes especificas del sistema, como parmetros de asignacin automtica de espacio en el disco, los cuales pueden crear dificultad o impedir su uso posterior.

-Parmetros de asignacin automtica de espacio en el disco: todas las aplicaciones que se desarrollan tienen muchos parmetros (superparametrizadas) que permiten configurar el comportamiento del sistema. Cada aplicacin se usara para una determinada funcin y va a ocupar una cierta capacidad de espacio en el disco, si uno no analiza cual es la operatoria y el tiempo que le va a llevar ocupar el espacio asignado y adems pone un valor muy pequeo puede ocurrir que un da la aplicacin reviente.

A parte de la operatividad tenemos otros objetivos que queremos conseguir al aplicar la auditoria de la informacin en una organizacin como:

-El control de la funcin informtica

-El anlisis de la eficacia del sistema informatico

-La verificacin de la implantacin de la normativa

-La revisin de la gestin de los recursos informaticos

-Establecer los puntos de los procesos de la auditoria

-Determinar los procesos para verificar el control interno de la funcin informtica

-Asegurar que la informacin que llega a las reas de las empresas es la necesaria y fiable

-Saber eliminar o reducir al mximo las posibilidades de perdida de informacin por fallos en los equipos

-Ensear como detectar y prevenir fraudes por la manipulacin de la informacin

-Prestar colaboracin a la auditoria de cuentas

-Poltica de compra

-Negociacin con clientes

-Deteccin de nuevos clientes

-Internacionalizacin / Explotacin

-Anlisis de morosidad

MOTIVOS DE USO

Las organizaciones acuden a auditorias externas cuando existen sntomas de debilidad, estos sntomas se agrupan en diferentes clases:

1- Sntomas de descoordinacin y desorganizacin: Cuando los objetivos de la informtica de la compaa no coinciden con los objetivos propios de esta.

El promedio de productividad se desva de lo que normalmente se consigue.

2- Sntomas de mala imagen e insatisfaccin de los usuarios: falta de actualizacin en ficheros, software y falta de actualizacin en las propias peticiones de los usuarios. El usuario percibe que esta abandonado y desatendido porque las averas no se reparan en los plazos previstos.Retrasos en los plazos de entrega que causan desajustes importantes en la actividad del usuario.

3- Sntomas de debilidades econmico-financieras: Incremento de los costes y necesidad de justificacin de alguna inversin informtica de la que la empresa no esta del todo convencida.

4- Sntomas de inseguridad: Evaluacin del nivel de riesgo: los datos del personal inicialmente son confidenciales y de la organizacin.

La organizacin debe asegurar la continuidad del servicio y establecer estrategias ante fallos mediante planes de contingencia (si un proveedor falla tener otro previsto para acudir a el ).1- Anexos

ANEXO 1

PRIVATEPROGRAMA DE AUDITORIA EN SISTEMAS

INSTITUCION________________________ HOJA No.__________________ DE_____________

FECHA DE FORMULACION____________

PRIVATEFASEDESCRIPCIONACTIVIDADNUMERO DE PERSONALPERIODO ESTIMADODIAS

HABEST.DIAS

HOM.EST.

PARTICIPANTEINICIOTERMINO

PRIVATE

ANEXO 2

PRIVATEAVANCE DEL CUMPLIMIENTO DEL PROGRAMADE AUDITORIA EN SISTEMAS

INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______

PERIODO QUE REPORTA____________________________

PRIVATEFASESITUACION DE LA AUDITORIAPERIODO REAL DE LA AUDITORIADIAS REALES UTILIZADOSGRADO DE AVANCEDIAS HOM. EST.EXPLICACION DE LAS VARIACIONES EN RELACION CON LO PROGRAMADO

NO INICIADAEN PROCESOTERMINADAINICIADATERMINADA

PRIVATE

7


Carlos H.Jaramillo EAFIT Alcaldes deAntioquia. · PLAN DE ORDENAMIENTO TERRITORIAL PLAN DE DESARROLLO PLAN DE DESARROLLO PLAN DE DESARROLLO Plan de Desarrollo Nacional Plan de Desarrollo

Carlos H.Jaramillo EAFIT Alcaldes deAntioquia. · PLAN DE ORDENAMIENTO TERRITORIAL PLAN DE DESARROLLO PLAN DE DESARROLLO PLAN DE DESARROLLO Plan de Desarrollo Nacional Plan de Desarrollo

Documents
Guía Plan de Negocios Macro Plan

Guía Plan de Negocios Macro Plan

Documents
Plan de Acción PLAN DE MANEJO AMBIENTAL

Plan de Acción PLAN DE MANEJO AMBIENTAL

Documents
UNIDAD 4 TAREA 2 AUDITORIA.doc

UNIDAD 4 TAREA 2 AUDITORIA.doc

Documents
PREGUNTAS AUDITORIA.doc

PREGUNTAS AUDITORIA.doc

Documents
Plan: SH Plan de Acción - Modelo Integrado de Planeación ... · Responsable del Plan: Veronica Basto Mendez Plan: SH Plan de Acción - Modelo Integrado de Planeación y Gestión

Plan: SH Plan de Acción - Modelo Integrado de Planeación ... · Responsable del Plan: Veronica Basto Mendez Plan: SH Plan de Acción - Modelo Integrado de Planeación y Gestión

Documents
Plan de Negocio Plan de Comercializacion

Plan de Negocio Plan de Comercializacion

Documents
Plan De Acción Plan de Acción 2021

Plan De Acción Plan de Acción 2021

Documents
PLAN PRESUPUESTO - PLAN ANUAL DE CONTRATACIONES

PLAN PRESUPUESTO - PLAN ANUAL DE CONTRATACIONES

Economy & Finance
Plan comercial y Plan de Ventas

Plan comercial y Plan de Ventas

Documents
Plan de negocio (Business Plan)

Plan de negocio (Business Plan)

Documents
Plan Nacer Catamarca - Conceptos De Plan

Plan Nacer Catamarca - Conceptos De Plan

Education
PLAN ESTRATÉGICO, PLAN MULTIANUAL Y PLAN …

PLAN ESTRATÉGICO, PLAN MULTIANUAL Y PLAN …

Documents
PLAN DE ACCIÓN TITORIAL · 2020. 11. 19. · - Plan de Convivencia. - Plan de Acollida. - Plan de Orientación. - Plan de Atención á diversidade . Para a súa elaboración tomouse,

PLAN DE ACCIÓN TITORIAL · 2020. 11. 19. · - Plan de Convivencia. - Plan de Acollida. - Plan de Orientación. - Plan de Atención á diversidade . Para a súa elaboración tomouse,

Documents
MANUAL PLAN DE INFORMÁTICA / PLAN …intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co... · 1 de 27 manual plan de informÁtica / plan estratÉgico de sistemas de

MANUAL PLAN DE INFORMÁTICA / PLAN …intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co... · 1 de 27 manual plan de informÁtica / plan estratÉgico de sistemas de

Documents
Plan de empresa - Plan de negocio

Plan de empresa - Plan de negocio

Business
TRABAJO AUDITORIA.doc

TRABAJO AUDITORIA.doc

Documents
CONTINUACIÓN PLAN DE AUTOPROTECCIÓN 6. PLAN DE …

CONTINUACIÓN PLAN DE AUTOPROTECCIÓN 6. PLAN DE …

Documents
Plan de Inversiones Financieramente Sostenibles PLAN

Plan de Inversiones Financieramente Sostenibles PLAN

Documents
PLAN DE RECUPERACIÓN DE DESASTRES GUIA PLAN DE

PLAN DE RECUPERACIÓN DE DESASTRES GUIA PLAN DE

Documents
Guia Plan Del Plan de Negocios

Guia Plan Del Plan de Negocios

Documents
Plan de Emergencia y Plan de Evacuación

Plan de Emergencia y Plan de Evacuación

Documents
PLAN DE VIGILANCIA EPIDEMIOLÓGICA PLAN DE …

PLAN DE VIGILANCIA EPIDEMIOLÓGICA PLAN DE …

Documents
PLAN DE DESARROLLO PLAN DE DESARROLLO COMUNAL DE …

PLAN DE DESARROLLO PLAN DE DESARROLLO COMUNAL DE …

Documents
Caso_Practico_Auditoria_master auditoria.doc

Caso_Practico_Auditoria_master auditoria.doc

Documents
CARTILLA: PLAN DE EMPRESA - aplicaciones.ceipa.edu.coaplicaciones.ceipa.edu.co/.../cartilla_plan_de_empresa_posgrado.pdf · cartilla: plan de empresa plan de empresa posgrados

CARTILLA: PLAN DE EMPRESA - aplicaciones.ceipa.edu.coaplicaciones.ceipa.edu.co/.../cartilla_plan_de_empresa_posgrado.pdf · cartilla: plan de empresa plan de empresa posgrados

Documents
Plan%de%Trabajo · Plan&de&Trabajo&2017&–2018!En%dónde%estamos!Plan%Estratégico!Plan%de%Trabajo!ActividadesPropuestas 2

Plan%de%Trabajo · Plan&de&Trabajo&2017&–2018!En%dónde%estamos!Plan%Estratégico!Plan%de%Trabajo!ActividadesPropuestas 2

Documents
PLAN DE DESARROLLO 2012 - 2015 - files.asoediles.webnode.esfiles.asoediles.webnode.es/200000473-b7327b82c7/Plan de Desarrollo... · plan de desarrollo 2012 – 2015 comuna 18 plan

PLAN DE DESARROLLO 2012 - 2015 - files.asoediles.webnode.esfiles.asoediles.webnode.es/200000473-b7327b82c7/Plan de Desarrollo... · plan de desarrollo 2012 – 2015 comuna 18 plan

Documents
Plan Director de Turismo de Santa Cruz de Tenerife y Plan ...€¦ · El Plan Operativo es la culminación del detalle de un plan estratégico y de un plan director. Así, el Plan

Plan Director de Turismo de Santa Cruz de Tenerife y Plan ...€¦ · El Plan Operativo es la culminación del detalle de un plan estratégico y de un plan director. Así, el Plan

Documents
PLAN DE DESARROLLO YPLAN DE ACCION WILGER MEDINA REBOLLEDO ADMINISTRADOR PÚBLICO PLAN DE DESARROLLO PLAN DE ACCIÒN PLAN FINANCIERO PLAN OPERATIVO ANUAL

PLAN DE DESARROLLO YPLAN DE ACCION WILGER MEDINA REBOLLEDO ADMINISTRADOR PÚBLICO PLAN DE DESARROLLO PLAN DE ACCIÒN PLAN FINANCIERO PLAN OPERATIVO ANUAL

Documents