View
119
Download
0
Embed Size (px)
Citation preview
Auditoriacutea informaacutetica
Organizacioacuten del departamento de auditoriacutea
informaacutetica
Capiacutetulo 2
Antecedentes
Anaacutelisis del nacimiento y
existencia de la auditoriacutea
informaacutetica desde el
punto de vista
empresarial
Anaacutelisis del contexto
organizativo y ambiental
de desenvolvimiento
empezamos
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Contexto Estrateacutegico y Operativo de la Organizacioacuten
SI y la arquitectura que los soporta desempentildean un papel
importante como uno de los soportes baacutesicos para la
gestioacuten y control del negocio
Sistemas de Informacioacuten de la organizacioacuten da lugar
Antecedentes
Auditoriacutea
informaacutetica
Auditoriacutea
en general
Auditoriacutea
interna
bull contabilidad
bullControl
bullVeracidad de
operaciones
bulletc
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Como consecuencia
de la necesidad de
controlar y registrar
operaciones
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
AUDITORIacuteA INFORMATICA
SI
Recursos que manejan
inversiones que se ponen a
disposicioacuten de estos recursos para
el funcionamiento y obtencioacuten
de resultados esperados
Departamento
de Sistemas de
Informacioacuten Gestiona
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Auditoriacutea ldquoalrededor del ordenadorrdquo
O Auditor verificaba los documentos de entrada al ordenador y los informes producidos sin entender lo que pasaba dentro del ordenador
O Auditor verificaba la seguridad fiacutesica (incendios copias de seguridad etc)
O Auditor financiero
Auditoriacutea ldquoa traveacutes del ordenadorrdquo
O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a traveacutes de paquetes)
Auditoriacutea ldquocon el ordenadorrdquo
O Utilizando sus posibilidades utilidades etc
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
iquestQueacute aacutereas de una Institucioacuten se
puede aplicar la Auditoria
Informaacutetica
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Antecedentes
Anaacutelisis del nacimiento y
existencia de la auditoriacutea
informaacutetica desde el
punto de vista
empresarial
Anaacutelisis del contexto
organizativo y ambiental
de desenvolvimiento
empezamos
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Contexto Estrateacutegico y Operativo de la Organizacioacuten
SI y la arquitectura que los soporta desempentildean un papel
importante como uno de los soportes baacutesicos para la
gestioacuten y control del negocio
Sistemas de Informacioacuten de la organizacioacuten da lugar
Antecedentes
Auditoriacutea
informaacutetica
Auditoriacutea
en general
Auditoriacutea
interna
bull contabilidad
bullControl
bullVeracidad de
operaciones
bulletc
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Como consecuencia
de la necesidad de
controlar y registrar
operaciones
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
AUDITORIacuteA INFORMATICA
SI
Recursos que manejan
inversiones que se ponen a
disposicioacuten de estos recursos para
el funcionamiento y obtencioacuten
de resultados esperados
Departamento
de Sistemas de
Informacioacuten Gestiona
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Auditoriacutea ldquoalrededor del ordenadorrdquo
O Auditor verificaba los documentos de entrada al ordenador y los informes producidos sin entender lo que pasaba dentro del ordenador
O Auditor verificaba la seguridad fiacutesica (incendios copias de seguridad etc)
O Auditor financiero
Auditoriacutea ldquoa traveacutes del ordenadorrdquo
O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a traveacutes de paquetes)
Auditoriacutea ldquocon el ordenadorrdquo
O Utilizando sus posibilidades utilidades etc
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
iquestQueacute aacutereas de una Institucioacuten se
puede aplicar la Auditoria
Informaacutetica
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Antecedentes
Auditoriacutea
informaacutetica
Auditoriacutea
en general
Auditoriacutea
interna
bull contabilidad
bullControl
bullVeracidad de
operaciones
bulletc
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Como consecuencia
de la necesidad de
controlar y registrar
operaciones
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
AUDITORIacuteA INFORMATICA
SI
Recursos que manejan
inversiones que se ponen a
disposicioacuten de estos recursos para
el funcionamiento y obtencioacuten
de resultados esperados
Departamento
de Sistemas de
Informacioacuten Gestiona
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Auditoriacutea ldquoalrededor del ordenadorrdquo
O Auditor verificaba los documentos de entrada al ordenador y los informes producidos sin entender lo que pasaba dentro del ordenador
O Auditor verificaba la seguridad fiacutesica (incendios copias de seguridad etc)
O Auditor financiero
Auditoriacutea ldquoa traveacutes del ordenadorrdquo
O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a traveacutes de paquetes)
Auditoriacutea ldquocon el ordenadorrdquo
O Utilizando sus posibilidades utilidades etc
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
iquestQueacute aacutereas de una Institucioacuten se
puede aplicar la Auditoria
Informaacutetica
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
AUDITORIacuteA INFORMATICA
SI
Recursos que manejan
inversiones que se ponen a
disposicioacuten de estos recursos para
el funcionamiento y obtencioacuten
de resultados esperados
Departamento
de Sistemas de
Informacioacuten Gestiona
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Auditoriacutea ldquoalrededor del ordenadorrdquo
O Auditor verificaba los documentos de entrada al ordenador y los informes producidos sin entender lo que pasaba dentro del ordenador
O Auditor verificaba la seguridad fiacutesica (incendios copias de seguridad etc)
O Auditor financiero
Auditoriacutea ldquoa traveacutes del ordenadorrdquo
O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a traveacutes de paquetes)
Auditoriacutea ldquocon el ordenadorrdquo
O Utilizando sus posibilidades utilidades etc
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
iquestQueacute aacutereas de una Institucioacuten se
puede aplicar la Auditoria
Informaacutetica
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Auditoriacutea ldquoalrededor del ordenadorrdquo
O Auditor verificaba los documentos de entrada al ordenador y los informes producidos sin entender lo que pasaba dentro del ordenador
O Auditor verificaba la seguridad fiacutesica (incendios copias de seguridad etc)
O Auditor financiero
Auditoriacutea ldquoa traveacutes del ordenadorrdquo
O Auditor financiero utiliza el ordenador como medio para acceder a los datos (a traveacutes de paquetes)
Auditoriacutea ldquocon el ordenadorrdquo
O Utilizando sus posibilidades utilidades etc
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
iquestQueacute aacutereas de una Institucioacuten se
puede aplicar la Auditoria
Informaacutetica
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
iquestQueacute aacutereas de una Institucioacuten se
puede aplicar la Auditoria
Informaacutetica
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Antecedentes
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Las aacutereas donde se puede realizar la auditoria informaacutetica
pueden ser
O A toda la Entidad
O A un departamento
O A un aacuterea
O A una funcioacuten
O A una subfuncioacuten
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Clases de AUDITORIA INFORMAacuteTICA
1 iquestQueacute clases de Auditoriacuteas Informaacuteticas mencionamos la anterior clase
5 minutos de discusioacuten
Actividad para la clase
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Clases de AUDITORIA INFORMAacuteTICA
1 Auditoriacutea de la gestioacuten Referido a la contratacioacuten de bienes y servicios
documentacioacuten de los programas etc
2 Auditoriacutea legal del Reglamento de Proteccioacuten de Datos Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgaacutenica de Proteccioacuten de Datos
3 Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y
anaacutelisis de los flujogramas
4 Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de
integridad y calidad de los datos
5 Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando
disponibilidad integridad confidencialidad autenticacioacuten y no repudio
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
6 Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la organizacioacuten
evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica
de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad
CCTV vigilantes etc) y protecciones del entorno
7 Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los
sistemas de informacioacuten
8 Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de
autenticacioacuten en los sistemas de comunicacioacuten
9 Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Auditoriacutea Interna informaacutetica
Se define como una funcioacuten de valoracioacuten independiente establecida
dentro de una organizacioacuten para examinar y evaluar sus actividades como
un servicio a la organizacioacuten
Su objetivo es asistir a los miembros de la organizacioacuten en el cumplimiento
efectivo de sus responsabilidades
Proporciona anaacutelisis valoraciones recomendaciones consejo e
informacioacuten sobre las actividades revisadas
El alcance de la auditoriacutea interna debe abarcar el examen y evaluacioacuten de
la adecuacioacuten y efectividad del sistema de control interno y la calidad de la
de ejecucioacuten en la realizacioacuten de las responsabilidades asignadas
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Auditoriacutea Interna informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
No puede tomar parte en funciones de tipo operativo
1 Control de los controles
O Evaluar la adecuacioacuten grado de efectividad y eficiencia del sistema
de control interno de una empresa
2 Ayudar a la Direccioacuten en el cumplimiento de sus responsabilidades y
contribuir a que se logren en cada aacuterea resultados oacuteptimos
O Prestar un servicio de asistencia y de criacutetica constructiva
3 Funciones principales con respecto al control interno
O Determinar si los Controles Internos proporcionan la proteccioacuten
necesaria asiacute como la maacutexima eficacia operativa
O Comprobar si los procedimientos operativos y meacutetodos se utilizan
tal y como estaacute establecido en las normas de la empresa
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Auditoriacutea Interna informaacutetica NO eshellip
Clases de AUDITORIA INFORMAacuteTICA
Sitio de ldquoretirordquo para directivo en desgracia u obsoletos
Centro de inquisidores (auditoriacutea policiacuteaca)
Agrupacioacuten de ldquodelatoresrdquo
Proveedor de ldquomano de obrardquo para solucionar situaciones de
emergencia de otros departamentos
Departamento de filtraciones obtenidas a traveacutes de la actividad
auditora
Auxiliar de la auditoriacutea externa o un enemigo permanente de eacutesta
Un ldquoapaga fuegosrdquo para toda situacioacuten de emergencia
Un lugar de resentidos y descontentos que se creen los maacutes
capacitados y todo lo enjuician negativamente
Un departamento sin categoriacutea ni prestigio en la empresa
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Auditoriacutea Externa informaacutetica
La auditoriacutea externa se puede definir como un servicio puacuteblico o privado
prestado por profesionales calificados en Auditoriacutea Informaacutetica que
consiste en la realizacioacuten seguacuten normas y teacutecnicas especiacuteficas de una
revisioacuten de las TIC a fin de expresar su opinioacuten independiente sobre si lo
auditado presentan violaciones irregularidades fraudes u errores en un
momento dado sus resultados y hallazgos durante un periodo
determinado de acuerdo con las normas de control interno normas ISO
de la Contraloriacutea General de la Repuacuteblica y otras que sea de
competencias
Clases de AUDITORIA INFORMAacuteTICA
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Auditoriacutea Externa informaacutetica
Clases de AUDITORIA INFORMAacuteTICA
Realizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoriacutea interna
O Sujeto
O Profesional independiente Empleado de la empresa
O Objeto
O Opinioacuten independiente Control y sugerencias de mejora
O Informe
O Dictamen Soacutelo recomendaciones internas
O Responsabilidad
O Civil e incluso penal Laboral
O Continuidad
O Perioacutedica Continua
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluacioacuten verificacioacuten e implantacioacuten oportuna de los controles y
procedimientos que se requieren para el aseguramiento del buen uso y
aprovechamiento de la funcioacuten de informaacutetica
O Aseguramiento permanente de la existencia y cumplimiento de los controles
y procedimientos que regulan las actividades y utilizacioacuten de los recursos de
informaacutetica de acuerdo con las poliacuteticas de la organizacioacuten
O Desarrollar la auditoriacutea en informaacutetica conforme normas y poliacuteticas
estandarizadas a nivel nacional e internacional
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Evaluar las aacutereas de riesgo de la funcioacuten de informaacutetica y justificar su
evaluacioacuten con la alta direccioacuten del negocio
O Elaborar un plan de auditoria en informaacutetica en los plazos determinados por
el responsable de la funcioacuten
O Obtener la aprobacioacuten formal de los proyectos del plan y difundirlos entre
los involucrados para su compromiso
O Administrar o ejecutar de manera eficiente los proyectos contemplados en
el plan de la auditoriacutea en informaacutetica
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
elaborar un perfil de un profesional de auditoriacutea Informaacutetica
(10 min)
Luego armamos un perfil completo con todos ellos
Actividad para la clase
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
1 Ser experto auditor (Financiero)
2 Entender el disentildeo y modo de operar el sistema
3 Tener conocimientos baacutesicos de teacutecnicas y lenguajes de programacioacuten
4 Estar familiarizados con los sistemas operativos
5 Serle factible poder identificar problemas con los formatos y estructuras de bases de datos
6 Ser capaz de tender un puente entre en el profesional de tecnologias de la informacioacuten
7 Saber cuando pedir apoyo de un especialista
8 Responsabilidades O Auditar aplicaciones financieras y seguridad fiacutesica
O Ofrecer soporte con limitaciones a los auditores financieros y externos
9 Persona con alto grado de calificacioacuten teacutecnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Perfiles profesionales de la funcioacuten de auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
10 Perfil
O Formacioacuten baacutesica con una mezcla de conocimientos de auditoriacutea financiera y de informaacutetica en general (pe Desarrollo de aplicaciones CV gestioacuten de proyectos BD SO redes etc)
O Especializacioacuten en funcioacuten del entorno empresarial
O Gestioacuten del Cambio
O Calidad Total que haraacute que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Dimensiones del Trabajo del Auditor Informaacutetico
1 Revisioacuten de Controles de las Aplicaciones
O Determinar que los sistemas producen la informacioacuten a tiempo exacta y completa
2 Revisioacuten de Integridad de Datos
O Complecioacuten consistencia y exactitud
3 Revisioacuten de CV de Desarrollo
O Determinar la adherencia a los estaacutendares de CV de desarrollo aceptados
4 Revisioacuten de Controles Generales de los Procedimientos Operacionales
O Determinar que las aplicaciones se procesan en un entorno controlado
5 Revisioacuten de Seguridad
O Asegurar la proteccioacuten adecuada de los programas de los datos y de la instalacioacuten de procesamiento de datos
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
6 Revisioacuten Software de los Sistemas
O Determinar el cumplimiento con las poliacuteticas de la organizacioacuten
7 Revisioacuten de Mantenimiento
O Determinar que los sistemas se han modificado de acuerdo con las poliacuteticas de la organizacioacuten
8 Revisioacuten de Adquisicioacuten
O Determinar que los recursos de la organizacioacuten se estaacuten utilizando de forma econoacutemica
9 Revisioacuten de la Gestioacuten de Recursos del Procesamiento de Datos
O Determinar su adecuacioacuten en el cumplimiento de los objetivos organizativos
10 Gestioacuten de Auditoriacutea Informaacutetica
O Utilizar de forma efectiva los recursos disponibles de la funcioacuten de la auditoriacutea informaacutetica y para cumplir el requisito de auditoriacutea informaacutetica de la organizacioacuten
Dimensiones del Trabajo del Auditor Informaacutetico
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
O Verificacioacuten del control interno tanto de las aplicaciones como de los
sistemas informaacuteticos centrales y perifeacutericos
O Anaacutelisis de la gestioacuten de los sistemas de informacioacuten desde un vista de
riesgo de seguridad de gestioacuten y de efectividad de la gestioacuten
O Anaacutelisis de la integridad fiabilidad y certeza de la informacioacuten a
traveacutes del anaacutelisis de las aplicaciones Esta funcioacuten que la vienen
desempentildeando los auditores informaacuteticos estaacuten empezando ya a
desarrollarlas los auditores financieros
O Auditoriacutea del riesgo operativo de los circuitos de informacioacuten
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Funciones a desarrollar por la auditoriacutea informaacutetica
Carmelo Espantildea V -- Auditoriacutea Iformaacutetica
Anaacutelisis de la gestioacuten de los riesgos de la informacioacuten y de la
seguridad impliacutecita
Verificacioacuten del nivel de continuidad de las operaciones
(a realizar conjuntamente con los auditores financieros)
Anaacutelisis del estado del arte tecnoloacutegico de la instalacioacuten
revisada y de las consecuencias empresariales que un
desfase tecnoloacutegico pueda acarrear
Diagnoacutestico sobre el grado de cobertura que dan las
aplicaciones a las necesidades estrateacutegicas y operativas de
informacioacuten de la organizacioacuten
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La funcioacuten de auditoriacutea informaacutetica a pasado de ser una funcioacuten meramente de ayuda al auditor financiero a ser una funcioacuten que desarrolla un trabajo y lo seguiraacute haciendo en el futuro
O Pasa a ser auditor y consultor del ente empresarial en el que va a ser analista auditor y asesor en materia de
O Seguridad
O Control interno operativo
O Eficiencia y eficacia
O Tecnologiacutea informaacutetica
O Continuidad de operaciones
O Gestioacuten de negocios
O No solamente de los sistemas informaacuteticos objetos de estudio sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
O El tipo de papel que debe desempentildear el auditor dentro de una organizacioacuten son
O Su localizacioacuten debe estar ligada a la localizacioacuten de la auditoriacutea interna operativa y financiera pero con independencia de objetos de planes de formacioacuten y de presupuesto
O La organizacioacuten operativa tipo debe ser la de un grupo independiente del de auditoria interna con una accesibilidad total al de los sistemas informaacuteticos y de informacioacuten
O La dependencia en todo caso debe ser del maacuteximo responsable operativo de la organizacioacuten
O Este personal debe contemplar su titulacioacuten de la CISA como un elemento baacutesico para comenzar su carrera como auditor informaacutetico
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
O La organizacioacuten interna tipo de la organizacioacuten podriacutea ser
O Jefe de departamento
O Gerente o supervisor de auditoriacutea informaacutetica
O Auditor informaacutetico
O El tamantildeo solo se puede precisar un funcioacuten de los objetivos de la funcioacuten
O Se podriacutea considerar
O Especialista en el entorno informaacutetico a auditar
O Especialista en comunicacioacuten yo redes
O Responsables de gestioacuten de riesgos operativo y aplicaciones
O Responsables de la auditoria de sistemas de informacioacuten
O Especialista para la elaboracioacuten de programas de trabajo conjuntos con la auditoriacutea financiera
Organizacioacuten de la funcioacuten de auditoriacutea informaacutetica
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Resumidamente las funciones del Departamento de Auditoria Informaacutetica seraacuten
O Evaluar los sistemas que aseguran el cumplimiento de las poliacuteticas planes procedimientos normas y reglamentos emitiendo sugerencias de mejora en los controles internos establecidos
O Vigilar el cumplimiento de las normas e instrucciones establecidas por la Direccioacuten de la Sociedad realizando el seguimiento de las recomendaciones emitidas
O Revisar y evaluar la fiabilidad del sistema contable establecido y que eacuteste responde a la normativa legal e interna
O Evaluar asimismo a traveacutes de la auditoria informaacutetica la adecuacioacuten utilidad eficiencia fiabilidad y salvaguarda de la informacioacuten mecanizada de la Sociedad asiacute como la organizacioacuten de los servicios que la elaboran y procesan
Funciones del Departamento de Auditoria
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
O Verificar la existencia de los activos y revisar los medios de
salvaguarda de los mismos
O Colaborar con los auditores externos integrando su labor con los
objetivos del Departamento de Auditoria Interna El auditor externo
debe tener acceso a los informes de auditoriacutea interna y debe ser
informado de cualquier asunto que estando en conocimiento de
los auditores internos pueda afectar a su trabajo De igual manera
los auditores externos deberaacuten comunicarles cualquier asunto que
pudiera afectar a la auditoriacutea interna Deberaacuten estar coordinados
para evitar duplicidades en el trabajo a realizar por medio de
reuniones perioacutedicas y la puesta en comuacuten de teacutecnicas de
auditoria meacutetodos y terminologiacutea
O Asistir a los miembros de la organizacioacuten proporcionaacutendoles
anaacutelisis recomendaciones consejo e informacioacuten concerniente a
las actividades revisadas
Funciones del Departamento de Auditoria
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
O Evaluar la posibilidad de establecer (y en caso afirmativo implantarlo) un sistema de control a distancia para asegurar el mantenimiento de un seguimiento permanente por medios informaacuteticos de operaciones anoacutemalas al objeto de prevenir y detectar raacutepidamente incidencias de normativa mediante un modelo de indicadores ponderado que permita ejercer un seguimiento permanente sobre determinadas situaciones que por su gravedad pueden perjudicar sustancialmente a la organizacioacuten o pueden provocar peacuterdidas de rentabilidad o de negocio
O Sugerir las medidas de control interno necesarias para garantizar el cumplimiento de la normativa en la elaboracioacuten y publicacioacuten de la informacioacuten financiera proporcionando un grado razonable de control en el cumplimiento de fechas y plazos legales de la documentacioacuten a entregar por parte de Sociedad al Organismo Supervisor
Funciones del Departamento de Auditoria
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
O Proporcionar un grado razonable de seguridad acerca del cumplimiento
de las leyes y normativa en vigor aplicable
O Informar a la Direccioacuten de cuantas anomaliacuteas o irregularidades se
detecten recomendando las mejores acciones correctoras
O Evaluar que la organizacioacuten cuenta con los medios humanos y
materiales que garanticen la adecuada gestioacuten del negocio a traveacutes de
la oportuna segregacioacuten de funciones
O Elaborar un Coacutedigo de Conducta a nivel corporativo que sea aprobado
por el Consejo de Administracioacuten de la Sociedad y evaluar
perioacutedicamente el cumplimiento del mismo
O En caso preciso la ejecucioacuten de investigaciones especiales
Funciones del Departamento de Auditoria
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
iquestCuaacutel podriacutea ser la Organizacioacuten del departamento de
Auditoria Informaacutetica y las funciones de cada uno
Organizacioacuten del Departamento de Auditoria
Actividad para la clase
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
La organizacioacuten interna podriacutea ser
O Jefe del departamento
O Gerente o supervisor de auditoria informaacutetica
O Auditor informaacutetico
Organizacioacuten del Departamento de Auditoria
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Jefe del departamento
O Desarrolla el plan operativo del departamento las descripciones de los
puestos de trabajo del personal a su cargo las planificaciones de
actuacioacuten a un antildeo los meacutetodos de gestioacuten del cambio en su funcioacuten y
los programas de formacioacuten individualizados asiacute como gestiona los
programas de trabajo y los trabajos en si los cambios en los meacutetodos
de trabajo y evaluacutea la capacidad de las personas a su cargo
Organizacioacuten del Departamento de Auditoria
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Gerente o supervisor de auditoria informaacutetica
O Trabaja estrechamente con el jefe del departamento en las tareas
operativas diarias Ayuda en la evaluacioacuten del riesgo de cada uno de los
trabajos realiza los programas de trabajo dirige y supervisa directamente a
las personas en cada uno de los trabajos de los que es responsable
O Realiza la formacioacuten sobre el trabajo
O Es responsable junto con su jefe de la obtencioacuten del mejor resultado del
trabajo para el auditado entroncando los conceptos de valor antildeadido y
gestioacuten del cambio dentro de su trabajo
O Es el que mas ldquovenderdquo la funcioacuten con el auditado
Organizacioacuten del Departamento de Auditoria
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Auditor informaacutetico
O Son responsables para la ejecucioacuten directa del trabajo
O Deben tener una especializacioacuten geneacuterica pero tambieacuten una
especifica seguacuten se comento anteriormente
O Su trabajo consistiraacute en la obtencioacuten de informacioacuten realizacioacuten de
pruebas documentacioacuten del trabajo evaluacioacuten y diagnostico de
resultados
Organizacioacuten del Departamento de Auditoria
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
El tamantildeo del departamento solo se puede precisar en funcioacuten de los objetivos
de la funcioacuten para una organizacioacuten tipo el abanico de responsabilidades
O Deberiacutea cubrir
1048698 Especialista en el entorno informaacutetico a auditar y en gestioacuten de bases
de datos
1048698 Especialista en comunicaciones yo redes
1048698 Responsable de gestioacuten de riesgo operativo y aplicaciones
1048698 Responsable de la auditoria de sistemas de informacioacuten tanto en
explotacioacuten como en desarrollo
1048698 En su caso especialista para la elaboracioacuten de programas de trabajo
conjuntos con la Auditoria Financiera
Tamantildeo del Departamento de Auditoria
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Existe una pregunta que siempre se hace y es difiacutecil de
contestar
O Cuantos auditores necesitamos
O Existe una metodologiacutea que nos puede ayudar
La respuesta es SI y una de ellas es la Matriz de Riesgos
Tamantildeo del Departamento de Auditoria
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
Actividades
1 Crucigrama(15 min)
2 Cuestionario
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)
TAREA
1 Investigar sobre la Matriz de Riesgos (10 min)
2 Queacute es ISO 17799 ISO 15333 ISO 9000 BCP ERM ACL
WIN IDEA (exposicioacuten 20 minutos)
3 Resumen del tema 2 (5 min)