560 likes | 731 Views
El Auditor de Sistemas de Información. 1 Temas a Cubrir. El Auditor de Sistemas de Información Políticas, estándares, lineamientos y procedimientos Auditor VS Auditado El Auditor es un puesto ejecutivo Entendiendo la Estructura Organizacional de la Corporación Administrando Proyectos.
E N D
1 Temas a Cubrir • El Auditor de Sistemas de Información • Políticas, estándares, lineamientos y procedimientos • Auditor VS Auditado • El Auditor es un puesto ejecutivo • Entendiendo la Estructura Organizacional de la Corporación • Administrando Proyectos 3
1.1 El Auditor de Sistemas de Información • Entendiendo la Demanda de Auditorías de los Sistemas de Información • Activo • Amenaza • Vulnerabilidad • El Auditor debe verificar que los activos, amenazas, y vulnerabilidades estan identificadas y administradas apropiadamente para reducir el riesgo 4
1.2 Políticas, estándares, lineamientos y procedimientos • Código de Ética profesional ISACA • Prevención de Conflictos Éticos • Propósito de una Auditoría • Tipos Básicos de Auditoría • Responsabilidad del Auditor • Auditorías VS Valoraciones 5
1.2.1 Código de Ética profesional ISACA • Soportar la implementación de políticas, estándares y lineamientos • Realizar sus actividades con objetividad y cuidado profesional • Servir los intereses de los interesados de manera honesta y legal • Mantener la privacidad y confidencialidad de la información • Entregar resultados precisos sobre todos los hechos relevantes 7
1.2.2 Prevención de Conflictos Éticos • Violaciones de Derechos de Autor • Los culpables obtienen amnistía • Sigue tus propias reglas. No falles • Recuerda a todos los encarcelados • NO violes la ley • Reporta las violaciones rápido (el primero obtiene amnistía) 8
1.2.3 Propósito de una Auditoría • Una auditoría es sólo una revisión de la historia pasada • Se espera que el auditor siga un proceso definido para la auditoría, establezca un criterio para la auditoría, recopile evidencia significativa, y presente una opinión independiente sobre los controles internos. 9
1.2.4 Tipos Básicos de Auditoría • Auditorías Internas y Valoraciones • Auditorías Internas • Auditorías Independientes 10
1.2.4 Tipos Básicos de Auditoría (cont.) • Auditorías de Productos • Auditorías Financieras • Auditorías Operativas • Auditorías Integradas • Auditorías de Cumplimiento (de normas) • Auditorías Administrativas • Acreditación o certificación de Sistemas de Información 11
1.2.5 Responsabilidad del Auditor • Debe cumplir una relación fiduciaria • Una Relación Fiduciaria es una en la que se actúa por el beneficio de otra persona y colocando las responsabilidades antes de nuestro propio interés • El Auditor NO debe anteponer nunca los intereses del auditado a la verdad 12
1.2.6 Auditorías VS Valoraciones • Auditoría: genera un reporte considerado altamente confiable (en cuanto a la verdad) • Valoraciones (Assessment): Menos formal que la Auditoría. Su principal función es para que el personal pueda trabajar para mejorar. 13
1.3 Auditor VS Auditado • Aplicación de una prueba de Independencia • Estándares de Auditorías • Estándar de Auditoría de Sistemas de Información ISACA • Regulaciones Específicas que definen Mejores Prácticas 14
1.3.1 Aplicación de una prueba de Independencia • ¿Audita algo que Usted desarrolló? • ¿Está libre de influencias del auditado que puedan afectar su juicio? • ¿Tiene alguna relación de negocios o financiera con el auditado? • ¿Su posición en la empresa es bajo las órdenes del área auditada? • ¿Recibe regalos o favores especiales? 15
1.3.2 Estándares de Auditorías • American Institute of Certified Public Accountants (AICPA) • Financial Accounting Standards Board (FASB) • Generally Accepted Accounting Principles (GAAP). • Committee of Sponsoring Organizations of the Treadway Commission (COSO), • Public Company Accounting Oversight Board (PCAOB) • Organization for Economic Cooperation and Development (OECD) • U.S. National Institute of Standards and Technology (NIST) • U.S. Federal Information Security Management Act (FISMA) • IS Audit and Control Association (ISACA) • Basel Accord Standard II (Basel II) 16
TAREA # 1 • Investigar brevemente los Organismos de Estándares anteriores 17
1.3.3 Estándares de Auditoría de Sistemas de Información ISACA • S1 Audit Charter • S2 Independence • S3 Professional Ethics and Standards of Conduct • S4 Professional Competence • S5 Planning • S6 Performance of Audit Work • S7 Audit Reporting • S8 Follow-up Activities • S9 Irregularities and Illegal Acts • S10 IT Governance • S11 Use of Risk Analysis in Audit Planning • S12 Audit Materiality • S13 Using the Work of Other People • S14 Proper Audit Evidence • S15 Effective IT Controls • S16 Electronic Commerce Controls 18
1.3.4 Regulaciones Específicas que definen Mejores Prácticas 19
1.4 El Auditor es un puesto ejecutivo • La importancia de la confidencialidad del Auditor • Conservar la Documentación de la Auditoría • Proveer buena comunicación e integración • Responsabilidades de Liderazgo • Planear y fijar prioridades • Tratar con conflictos y fallas • El valor de Auditores Internos y Externos • Entender la regla de la Evidencia • Identificar a quién se necesita entrevistar 20
1.4.1 La importancia de la confidencialidad del Auditor • La información sensible no debe salir de las oficinas • El Auditor debe pedir consejo legal sobre las leyes de confidencialidad • Los “papeles de trabajo” deben estar protegidos con control de acceso y respaldos • Considerar seguridad en laptops • Se crea un archivo de documentos que debe retenerse durante cierto tiempo y debe dejarlos bajo custodia del cliente 21
1.4.2 Conservar la Documentación de la Auditoría • En muchos casos se debe retener la documentación por 7 años • Durante la planeación de la auditoría se debe saber si el período es mayor o menor • Si el cliente pierde la documentación es su problema 22
1.4.3 Proveer buena comunicación e integración • Establecer respeto mutuo • No culpar a un individuo • Apegarse a los hechos 23
1.4.4 Responsabilidades de Liderazgo • Su tipo de liderazgo debe identificar cuando sus direcciones son mandatorias o sujetas a comentarios • El líder debe desarrollar objetivos específicos para el éxito y compartir esos planes 24
1.4.5 Planear y fijar prioridades • Una buena auditoría es el resultado de una planeación apropiada • Responsabilidades del Auditor durante la fase de Planeación: • Entender el negocio del cliente • Respetar los ciclos del negocio (Anuales, semestrales, trimestrales) • Establecer prioridades • Seleccionar una estrategia con base en el riesgo y la información conocida • Encontrar a la gente para tu equipo de auditoría • Coordinar la logística de recursos y lugar de trabajo 25
Responsabilidades del Auditor durante la fase de Planeación: • Solicitar documentación • Programar el tiempo y disponibilidad de la gente • Coordinar viajes y alojamiento • Planear retrasos 26
1.4.6 Tratar con conflictos y fallas • Cierto nivel de conflicto es inevitable y las fallas son siempre posibles 27
1.4.7 El valor de Auditores Internos y Externos • A los Auditores Externos se les paga para ser revisores de una organización • Los Auditores Internos brindan un gran valor a la organización al ayudarla a prepararse para la auditoría externa 28
1.4.8 Entender la regla de la Evidencia • Sin evidencia una reclamación no se puede verificar. La evidencia soporta la reclamación • No se puede formular una opinión cuando falta evidencia en cantidad, relevancia y confiabilidad aceptables 29
1.4.9 Identificar a quién se necesita entrevistar • Es importante reconocer a quién entrevistar y durante cuánto tiempo • Prestar atención al costo del tiempo de los demás 30
1.5 Entendiendo la Estructura Organizacional de la Corporación • Es importante para el auditor entender las relaciones y responsabilidades en los diferentes niveles de una organización 31
1.5.1 Identificando Roles en la Estructura Organizacional de una Corporación 32
1.5.2 Identificando Roles en la Estructura Organizacional de una Firma de Consultoría 33
1.6 Administrando Proyectos • ¿Qué es un Proyecto? • ¿Qué es la Gestión de Proyectos? • Requisitos de un Project Manager • Autoridad del Project Manager • Referencia rápida de la Gestión de Proyectos 34
1.6.1 ¿Qué es un Proyecto? • Un proyecto es un esfuerzo temporal que se lleva a cabo para crear un producto, servicio o resultado único. • Temporal • Productos, servicios o resultados únicos • Elaboración gradual 35
1.6.2 ¿Qué es la Gestión ed Proyectos? • La Gestión de proyectos es la aplicación de conocimientos, habilidades, herramientas y técnicas para realizar las actividades necesarias para los requerimiento del proyecto 36
1.6.3 Requisitos de un Project Manager • Conocimientos y habilidades de gestión de proyectos • Conocimientos y habilidades de Administración general • Habilidades interpersonales • Conocimientos y habilidades en el área de aplicación 37
1.6.5 Referencia rápida de la Gestión de Proyectos • Gestión de la Integración del Proyecto • Gestión del Alcance del Proyecto • Gestión del Tiempo del Proyecto • Gestión de Costes del Proyecto • Gestión de la Calidad del Proyecto • Gestión de los Recursos Humanos del Proyecto • Gestión de las Comunicaciones del Proyecto • Gestión del Riesgo del Proyecto • Gestión de las Adquisiciones del Proyecto 39
1.6.5.1 Gestión de La Integración del Proyecto • Incluye los procesos y actividades necesarios para identificar, definir, combinar, unificar y coordinar los distintos procesos y actividades de dirección de proyectos 40
1.6.5.2 Gestión del Alcance del Proyecto • Incluye los procesos necesarios para asegurarse que el proyecto incluya todo el trabajo requerido, y sólo el trabajo requerido, para completar el proyecto satisfactoriamente 42
1.6.5.3 Gestión del Tiempo del Proyecto • Incluye los procesos necesarios para lograr la conclusión del proyecto a tiempo 44
1.6.5.4 Gestión de Costes del Proyecto • Incluye los procesos involucrados en la planificación, estimación, preparación del presupuesto y control de costes de forma que el proyecto se pueda completar dentro del presupuesto aprobado 46
1.6.5.5 Gestión de la Calidad del Proyecto • Incluyen todas las actividades de la organización ejecutante que determinan las políticas, los objetivos y las responsabilidades relativos a la calidad de modo que el proyecto satisfaga las necesidades por las cuales se emprendió 48
1.6.5.6 Gestión de los Recursos Humanos del Proyecto • Incluye los procesos que organizan y dirigen el equipo del proyecto. El equipo del proyecto está compuesto por las personas a quienes se les han asignado roles y responsabilidades para concluir el proyecto 50