Auditoria de sistemas resumen
- 2. Materia: Auditoria de Sistema Docente: MsC. Jenny Quiñonez jennyquinonez@ujgh.edu.ve
- 3. UNIDAD I: “AUDITORIA DE SISTEMAS O DE TECNOLOGÍA DE INFORMACIÓN” • Objetivo: Explicar la naturaleza y alcance del área de la auditoria de sistemas para la correcta evaluación de los mismos, definiendo el rol del auditor y el uso del computador como Herramienta para la auditoria.
- 4. Definición de Auditoria de sistemas Cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas. La auditoría es una verificación que realiza en una empresa u organización, que tiene la finalidad de cotejar y comprobar la situación financiera de la empresa así como también verificar el patrimonio de la misma y evaluar si los números de la contabilidad reflejan los resultados que dicha empresa ha obtenido en un determinado período de tiempo. Existen dos tipos de alcance de las auditorías: Alcance parcial. Cuando se debe auditar solo una parte de la empresa. Alcance global o total. Cuando la totalidad de la empresa debe ser auditada.
- 5. Formas de auditar • Existen, además, diferentes formas en que una auditoría se puede llevar a cabo. • Auditoría programada. Es una actividad que se planifica y es de conocimiento previo por la empresa que será auditada. • Auditoría extraordinaria. Surge sin aviso previo para la empresa vaya a recibir dicha auditoría. Tipos de Auditorias •Auditorías interna. Son efectuadas por los mismos miembros de la empresa. •Auditorías externas. Quienes realizan las auditorías son personas que no pertenecen a la empresa que se desea auditar. Aspectos deseables de un Auditor Ser imparcial, sincero y honesto. Ser discreto y comprender el concepto de confidencialidad. Tener la mente abierta para considerar ideas y puntos de vista alternativos. Ser diplomático y tener tacto con el trato con las distintas personas. Ser firme. En este punto es importante destacar que en la auditoría el auditor no debe negociar con el auditado sobre la inclusión o eliminación de un determinado hallazgo en el informe final ya que, de esta forma, desvirtúa la eficacia de esta. Tener una alta capacidad de observación. Tener instinto para ser consciente y comprender las situaciones. Adaptarse fácilmente a los distintos contextos, es decir, ser versátil. Tener una clara orientación hacia la consecución de los logros definidos como metas. Alcanzar conclusiones basadas en razonamientos lógicos y el análisis de las distintas evidencias. Estar seguro de sí mismo. No tener prejuicios que limiten o eliminen su objetividad. La Norma ISO 19011, Directrices para la auditoría de los sistemas de gestión, nos indica, cuáles son las competencias, criterios, mantenimiento y mejora de la capacidades del auditor, marcando la relevancia que ocupa éste dentro de la correcta ejecución de una auditoría.
- 6. Fases de la Auditoria Planificación Preparación Ejecución Finalización y Follow-up La planificación comienza con la elaboración de un plan, que orientará la ejecución de la auditoría. Ese plan deberá presentar todas las actividades en una línea del tiempo, además del alcance, con procesos, departamentos o productos que serán auditados. En esta etapa también es importante que el auditor identifique toda la documentación relacionada, tales como políticas o procedimientos de calidad. Aún en esta etapa, puede ser elaborada la lista preliminar de las personas que serán entrevistadas. Este es el momento en que los auditores podrán conocer un poco más sobre el SGQ de la empresa, analizando más profundamente la documentación del sistema. Es importante que cada miembro del equipo de auditoría esté preparado para la actividad, con acceso al checklist de verificación. El checklist es fundamental para orientar al auditor de modo que no se olvide ningún detalle a ser evaluado, así como para registrar las constataciones y observaciones. La ejecución de las auditorías se da a través de la colecta de informaciones, que determinan si el departamento en cuestión está siguiendo los estándares y procedimientos de control de calidad establecidos. En esta fase, el auditor entrevista a las personas, haciendo preguntas y tomando nota de las constataciones. De acuerdo con lo que sea constatado, los planes de auditoría y checklists pueden tener su alcance expandido, y pueden ser sometidos a una evaluación más profunda. Es en este momento que serán registradas las no conformidades, o sea, situaciones que ocurrieron en desacuerdo con el proceso y procedimiento estandarizado. Después de concluida la ejecución de la auditoría comienza el trabajo “real”. El equipo de auditores se reúne para revisar las áreas problemáticas, y para determinar las recomendaciones para corregir problemas de calidad. Esas informaciones compondrán el informe de Resultados de la Auditoría. Ese informe es un insumo importante para las reuniones estratégicas realizadas por los liderazgos. Ayuda a evaluar los resultados y a definir cómo implementar las acciones de mejora sugeridas por el equipo de auditores.
- 7. Fase de la Auditoria Fase De Conocimiento Fase de la Planeación de la Auditoria Fase de Ejecución de la Auditoria Fase de Resultados de la Auditoria
- 9. Normas o Estándares referentes a la auditoria • CobIT: Se utilizará por tratarse de una auditoría de tecnología de información y comunicaciones, Tratantándose de un proceso empresarial. • ITIL: Se implementarán algunos principios de mejora de servicio que ofrece este modelo de gestión. • Normas de la familia ISO – 27000: Se hará uso de normas específicas de esta familia, estableciendo las buenas prácticas de implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información. Al estar orientada a la seguridad la auditoría, se utilizará ISO/IEC 27001 que es la norma especializada de seguridad, ISO/IEC 27002, que son los controles alineados con la anterior, y la norma ISO/IEC 27005 que es el estándar de análisis de riesgos.
- 10. Actividades Unidad I. • Debate de “Auditoria de Sistemas” (Foro Virtual) 10% Fechas Serna discutidas en Chat según el periodo • Prueba corta (Cuestionario) 15% • Primer avance de proyecto (Tarea) 10% • Fechas serán discutidas en Chat según el Periodo Académico Dudas??… los Días de tutorías serán aclarados sus inquietudes