Post on 27-Dec-2015
________________________________________________________
Trabajo Colaborativo 1
AUDITORIA DE SISTEMAS
Unidad Uno: Conceptos generales de la auditoria de sistemas
TUTOR IRINA NARVAEZ ESPINOZA
ESTUDIANTE
JOSE LUIS ESPINOSA ROYERO CODIGO: 73198724
JUAN CARLOS FORERO A.
COD 79319421
MIGUEL ANGEL VILLARREAL COD 79690617
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA INGENIERÍA DE SISTEMAS
CEAD: JOSÉ ACEVEDO Y GOMÉZ BOGOTÁ 2014
________________________________________________________
Trabajo Colaborativo 1
INTRODUCCIÓN
El capítulo uno, nos presenta la visión general de auditoria, como son los conceptos, la
importancia la clasificación, las técnicas, los procedimientos, de auditoria.
La importancia de la auditoria radica en que ella busca hacer que las empresas sean más
eficientes, mediante el análisis y validación de procedimientos.
Otro aspecto muy importante de la auditoria, es la independencia que se debe tener de
las diferentes áreas de la empresa, si existe una auditoria interna en la empresa esta debe
reportarle únicamente a la gerencia, o a la junta directiva, o al dueño de la empresa, esto
con el fin de darle una mayor autonomía, e independencia.
el resultado final de toda auditoria debe ser un informe, donde se presente las evidencias
completas del objeto auditado, se presenta o no un comentario de la situación, pero si deben
entregar unas recomendaciones, de acuerdo con las información recolectada.
________________________________________________________
Trabajo Colaborativo 1
OBJETIVOS.
Reconocer e identificar el protocolo y la estructura del curso.
Interactuar con nuestros compañeros de grupo en el aula.
Desarrollar a finalidad las temáticas que nos presenta el curso.
________________________________________________________
Trabajo Colaborativo 1
TRABAJO COLABORATIVO 1
ACTIVIDADES
1. Elaborar un mapa mental, donde se explique detalladamente los temas a tratar en la
unidad 1. El mapa debe incluir el desarrollo del curso en campus virtual. En el informe final,
se debe presentar un solo mapa producto de la consolidación de los aportes individuales.
Conceptos Generales de
Auditoria
Revisaremos el Origen,
Conceptos generales, La
importancia, Objetivos y
clasificación de la auditoria
en el primer capitulo
Encontramos los temas del capitulo dos: Las Técnicas que se aplican en el trabajo de auditoría, la entrevista como una técnica de auditoría
Es un capitulo de gran importancia donde esta consignada toda la actividad de la auditoria, comprender el Desarrollo del programa de auditoria. Las Normas personales o generales, Relativas al trabajo de campo Y las normas relativas a la elaboración del Informe de Auditoría. La Metodología de la auditoria.
En el campus virtualencontramos la agenda del curso para la unidad 1 Evaluaciones: Fecha Entrega Act. 3 Pre saberes Ago. 9 Act. 4 Evaluativa Ago. 9 Act. 5 Quiz Ago. 9 Act. 6 Trabajo Colaborativo Jul. 20
El Programa de
Auditoria
Continuamos
con la Und. dos
________________________________________________________
Trabajo Colaborativo 1
2. Cada integrante del grupo debe formular sus expectativas de aprendizaje con
respecto al contenido de la unidad 1 y opinar de forma argumentada al menos en 2
de las participaciones de los compañeros.
En el módulo se evidencia la amplitud de la auditoria, cómo se presenta en la clasificación
hay tantas auditorias como tipos de empresas. Aunque los fundamentos se emplean en
cualquier tipo de auditoria, la especialización es importante porque un auditor no se debe
someter a la información que el usuario o cliente le quiera proporcionar, el auditor debe
tener un conocimiento profundo del objeto de la auditoria. Para evitar imprecisiones en la
información o recomendación incoherentes en el informe general.
Por esto mi interés en profundizar todo lo que respecta al tema de auditoria de sistemas,
así no sea para desarrollar mi parte profesional en esta área de la ingeniería, si considero
que es supremamente importante aprender a reconocer las debilidades de los sistemas de
información y las los procedimiento o técnicas para mejorar, los procesos.
noto que en esta unidad, se muestra la amplitud de la especialización ya que hay varios
objetos a auditar cuando se habla de sistemas de información, según se nombran en el
módulo: Auditoria informática, Auditoria con el computador, Auditoria sin el computador,
Auditoria a la gestión informática, Auditoria al sistema de cómputo, Auditoria en el entorno
del computador, Auditoria sobre la seguridad de sistemas computacionales, Auditoria a los
sistemas de redes, Auditoria integral a los centros de cómputo, Auditoria ergonómica de
sistemas computacionales. Como vemos de una especialidad hay un gran número de
objetivos a auditar, hecho que da relevancia a la idea que el auditor debe ser un
especialista según sea el área de apoyo.
También se muestra que una de las técnicas empleada por la auditoria se apoya en la
informática, lo que da una relevancia suprema o denota que la auditoria y la informática son
un equipo o un complemento a la hora de desarrollar estas actividades.
3. EL grupo debe consultar sobre las normas las normas COBIT. (Indicar la versión).
Una vez revisadas las normas, es importante que se explique y comprenda el cubo
COBIT.
COBIT 5.0
Cobit corresponde a las siglas en español de “Objetivos de Control para la Información
y Tecnologías Relacionadas”
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de
control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un
recurso crítico para la gerencia, los profesionales de control y los auditores.
________________________________________________________
Trabajo Colaborativo 1
Este es el alcance o la cobertura en la versión 5 a continuación vemos un cuadro donde
nos indica el alcance de acuerdo con la versión.
Porque utilizar COBIT? de todos es conocida la importancia que tiene hoy la información,
por esto es importante el buen manejo que de ella se realice en las empresas, cual es el
área que se encarga de la información? Sin lugar a dudas en el área de tecnología la
responsable de este activo invaluable. Adicionalmente cada dia, se complican más los
requisitos externos, tanto legales como de cumplimiento regulatorio y contractual,
relacionados con el uso de la información y la tecnología en la Organización, amenazando
el patrimonio con multas si no se cumplen. Es esta la necesidad de las empresas a
implementar COBIT5 proporcionando un marco integral que ayuda a las Organizaciones a
lograr sus metas y entregar valor mediante un gobierno y una administración efectivos de
la TI de la Organización.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la
filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos
Gobierno Corporativo de TI
COBIT 5
Gobierno de TI
COBIT4.0/4.1
Administración
COBIT3
Control
COBIT2
Auditoría
COBIT1
2005/7
2000 1998
Evo
lució
n d
el A
lca
nce
1996
Val IT 2.0
(2008)
Risk IT
(2009)
________________________________________________________
Trabajo Colaborativo 1
naturalmente agrupados para proveer la información pertinente y confiable que requiere
una organización para lograr sus objetivos.
Misión:
Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de
objetivos de control para tecnología de información que sea de uso cotidiano para gerentes
y auditores
Usuarios:
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control
de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de información del proceso, y por
todos aquellos con responsabilidades en el campo de la TI en las empresas.
Características:
Orientado al negocio
Alineado con estándares y regulaciones "de facto"
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Por la complejidad de aspectos que maneja COBIT es muy compleja su comprensión y
diseño, por esto hay múltiples niveles de capacitación de acuerdo al nivel de profundidad
que se quiera explorar, para esto se desarrolló el cubo COBIT que muestra de manera
gráfica la interacción de los diferentes componentes a analizar.
________________________________________________________
Trabajo Colaborativo 1
El cubo muestra inicialmente, cómo bajo la gestión de TI y la utilización eficiente de los
recursos se busca atender las expectativas o requerimientos del negocio.
1. Información de las necesidades del negocio o los criterios de la información
Eficacia: se refiere a la información relevante y pertinente para el proceso de
negocio, entregados con oportunidad.
Eficiencia: se refiere a la entrega de información a través de un mejor uso de los
recursos de forma más productiva y rentable.
Confidencialidad: la protección de confidencialidad con el fin de evitar que su
información de la divulgación indebida.
Integridad: se refiere a la fiabilidad de la información, y su validez.
Disponibilidad: se refiere a la oportunidad de la información cuando sea
requiera.
Conformidad: cumplimiento de las leyes, regulaciones y obligaciones
contractuales.
________________________________________________________
Trabajo Colaborativo 1
Fiabilidad: se refiere a la entrega de información adecuada para la toma de
decisiones.
2. Procesos de TI
COBIT describe el ciclo de vida de TI con la ayuda de 4 dominios:
Planeación y Organización
Adquisiciones e Implantación
Entrega y Soporte
Monitoreo y Evaluación
Los Procesos son actividades con controles naturales. Existen 34 procesos para los 4
dominios. Estos procesos especifican que requiere el negocio para alcanzar sus objetivos.
Las Actividades son acciones que son requeridas para lograr resultados medibles
3. Recursos de TI
Los procesos de TI administran los recursos de TI para generar, entregar y almacenar
información que las organizaciones requieren para lograr sus objetivos
Los 5 Principios de COBIT 5:
Satisfacer las necesidades de las Partes Interesadas (Crear parámetros de Valor
que son el cumplimiento de las metas específicas de cara una de las partes
involucradas )
Cubrir la Compañía de Forma Integral (el sistema de gobierno para la TI corporativa
propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de
gobierno corporativo)
Aplicar un solo Marco Integrado (está alineado con los últimos marcos legales y
normas relevantes usados por las organizaciones)
Habilitar un Enfoque Holístico (cubre todos los aspectos de la organización )
Separar el Gobierno de la Administración (Quienes fijan las metas, Quienes las
Buscan)
Procesos:
PO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y
los requerimientos de TI de negocio, para asegurar sus logros futuros.
Su realización se concreta a través un proceso de planeación estratégica emprendido en
________________________________________________________
Trabajo Colaborativo 1
intervalos regulares dando lugar a planes a largo plazo, los que deberán ser traducidos
periódicamente en planes operacionales estableciendo metas claras y concretas a corto
plazo, teniendo en cuenta:
La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la
responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan
la misión y las metas generales de la organización.
El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar
los sistemas existentes en términos de: nivel de automatización de negocio,
funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el
propósito de determinar el nivel de soporte que reciben los requerimientos del
negocio de los sistemas existentes.
Los cambios organizacionales, se deberá asegurar que se establezca un proceso
para modificar oportunamente y con precisión el plan a largo plazo de tecnología de
información con el fin de adaptar los cambios al plan a largo plazo de la organización
y los cambios en las condiciones de la TI
Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos.
PO2 Definición de la Arquitectura de Información
Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera
posible los sistemas de información, a través de la creación y mantenimiento de un modelo
de información de negocio, asegurándose que se definan los sistemas apropiados para
optimizar la utilización de esta información, tomando en consideración:
La documentación deberá conservar consistencia con las necesidades permitiendo a los
responsables llevar a cabo sus tareas eficiente y oportunamente.
El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización
y deberá ser continuamente actualizado.
La propiedad de la información y la clasificación de severidad con el que se establecerá un
marco de referencia de clasificación general relativo a la ubicación de datos en clases de
información.
PO3 Determinación de la dirección tecnológica
Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente,
satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un
plan de infraestructura tecnológica, tomando en consideración:
La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar
con los planes a largo y corto plazo de tecnología de información y debiendo abarcar
aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de
migración.
El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el
desarrollo y mantenimiento del plan de infraestructura tecnológica.
________________________________________________________
Trabajo Colaborativo 1
Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y
evolución de la infraestructura), con lo que se evaluará sistemáticamente el plan de
infraestructura tecnológica.
Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan
de infraestructura tecnológica.
PO4 Definición de la organización y de las relaciones de TI
Objetivo: Prestación de servicios de TI
Esto se realiza por medio de una organización conveniente en número y habilidades, con
tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:
El comité de dirección el cual se encargara de vigilar la función de servicios de
información y sus actividades.
Propiedad, custodia, la Gerencia deberá crear una estructura para designar
formalmente a los propietarios y custodios de los datos. Sus funciones y
responsabilidades deberán estar claramente definidas.
Supervisión, para asegurar que las funciones y responsabilidades sean llevadas a
cabo apropiadamente
Segregación de funciones, con la que se evitará la posibilidad de que un solo
individuo resuelva un proceso crítico.
Los roles y responsabilidades, la gerencia deberá asegurarse de que todo el
personal deberá conocer y contar con la autoridad suficiente para llevar a cabo las
funciones y responsabilidades que le hayan sido asignadas
La descripción de puestos, deberá delinear claramente tanto la responsabilidad
como la autoridad, incluyendo las definiciones de las habilidades y la experiencia
necesarias para el puesto, y ser adecuadas para su utilización en evaluaciones de
desempeño.
Los niveles de asignación de personal, deberán hacerse evaluaciones de
requerimientos regularmente para asegurar para asegurar una asignación de
personal adecuada en el presente y en el futuro.
El personal clave, la gerencia deberá definir e identificar al personal clave de
tecnología de información.
PO5 Manejo de la inversión
Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando
el financiamiento y el control de desembolsos de recursos financieros.
Su realización se concreta a través presupuestos periódicos sobre inversiones y
operaciones establecidas y aprobados por el negocio, teniendo en cuenta:
Las alternativas de financiamiento, se deberán investigar diferentes alternativas de
financiamiento.
________________________________________________________
Trabajo Colaborativo 1
El control del gasto real, se deberá tomar como base el sistema de contabilidad de la
organización, mismo que deberá registrar, procesar y reportar rutinariamente los costos
asociados con las actividades de la función de servicios de información
La justificación de costos y beneficios, deberá establecerse un control gerencial que
garantice que la prestación de servicios por parte de la función de servicios de información
se justifique en cuanto a costos. Los beneficios derivados de las actividades de TI deberán
ser analizados en forma similar.
PO6 Comunicación de la dirección y aspiraciones de la gerencia
Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones
del alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a la
comunidad de usuarios, necesitándose para esto estándares para traducir las opciones
estratégicas en reglas de usuario prácticas y utilizables. Toma en cuenta:
Los código de ética / conducta, el cumplimiento de las reglas de ética, conducta,
seguridad y estándares de control interno deberá ser establecido por la Alta Gerencia
y promoverse a través del ejemplo.
Las directrices tecnológicas
El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración de
la implementación de sus políticas.
El compromiso con la calidad, la Gerencia de la función de servicios de información
deberá definir, documentar y mantener una filosofía de calidad, debiendo ser
comprendidos, implementados y mantenidos por todos los niveles de la función de
servicios de información.
Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que
esta política de seguridad y de control interno especifique el propósito y los objetivos,
la estructura gerencial, el alcance dentro de la organización, la definición y
asignación de responsabilidades para su implementación a todos los niveles y la
definición de multas y de acciones disciplinarias asociadas con la falta de
cumplimiento de estas políticas.
PO7 Administración de recursos humanos
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así
los requerimientos de negocio, a través de técnicas sólidas para administración de personal,
tomando en consideración:
El reclutamiento y promoción, deberá tener como base criterios objetivos, considerando
factores como la educación, la experiencia y la responsabilidad.
Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como
base una educación, entrenamiento y o experiencia apropiados, según se requiera
La capacitación, los programas de educación y entrenamiento estarán dirigidos a
incrementar los niveles de habilidad técnica y administrativa del personal.
La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas
evaluaciones sean llevada a cabo regularmente según los estándares establecidos y las
________________________________________________________
Trabajo Colaborativo 1
responsabilidades específicas del puesto. Los empleados deberán recibir asesoría sobre su
desempeño o su conducta cuando esto sea apropiado.
PO8 Asegurar el cumplimiento con los requerimientos Externos
Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales. Para ello se
realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto
en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en
consideración:
Definición y mantenimiento de procedimientos para la revisión de requerimientos
externos, para la coordinación de estas actividades y para el cumplimiento continuo
de los mismos.
Leyes, regulaciones y contratos
Revisiones regulares en cuanto a cambios
Búsqueda de asistencia legal y modificaciones
Seguridad y ergonomía con respecto al ambiente de trabajo de los usuarios y el
personal de la función de servicios de información.
Privacidad
Propiedad intelectual
Flujo de datos externos y criptografía
PO9 Evaluación de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la
provisión de servicios de TI. Para ello se logra la participación de la propia organización en
la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas
para mitigar los riesgos y se toma en consideración:
Identificación, definición y actualización regular de los diferentes tipos de riesgos de
TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se pueda determinar
la manera en la que los riesgos deben ser manejados a un nivel aceptable.
Definición de alcances, limites de los riesgos y la metodología para las evaluaciones
de los riesgos.
Actualización de evaluación de riesgos
Metodología de evaluación de riesgos
Medición de riesgos cualitativos y/o cuantitativos
Definición de un plan de acción contra los riesgos para asegurar que existan
controles y medidas de seguridad económicas que mitiguen los riesgos en forma
continúa.
Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de
la política organizacional, de la incertidumbre incorporada al enfoque de evaluación
de riesgos y de que tan económico resulte implementar protecciones y controles.
PO10 Administración de proyectos
________________________________________________________
Trabajo Colaborativo 1
Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al
presupuesto de inversión
Para ello se realiza una identificación y priorización de los proyectos en línea con el plan
operacional por parte de la misma organización. Además, la organización deberá adoptar y
aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido y
se toma en consideración:
Definición de un marco de referencia general para la administración de proyectos
que defina el alcance y los límites del mismo, así como la metodología de
administración de proyectos a ser adoptada y aplicada para cada proyecto
emprendido. La metodología deberá cubrir, como mínimo, la asignación de
responsabilidades, la determinación de tareas, la realización de presupuestos de
tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.
El involucramiento de los usuarios en el desarrollo, implementación o modificación
de los proyectos.
Asignación de responsabilidades y autoridades a los miembros del personal
asignados al proyecto.
Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la
siguiente fase.
Presupuestos de costos y horas hombre
Planes y metodologías de aseguramiento de calidad que sean revisados y
acordados por las partes interesadas.
Plan de administración de riesgos para eliminar o minimizar los riesgos.
Planes de prueba, entrenamiento, revisión post-implementación.
PO11 Administración de calidad
Objetivo: Satisfacer los requerimientos del cliente
Para ello se realiza una planeación, implementación y mantenimiento de estándares y
sistemas de administración de calidad por parte de la organización y se toma en
consideración:
Definición y mantenimiento regular del plan de calidad, el cual deberá promover la
filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y
cómo.
Responsabilidades de aseguramiento de calidad que determine los tipos de
actividades de aseguramiento de calidad tales como revisiones, auditorias,
inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general
de calidad.
Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de
desarrollo, adquisición, implementación y mantenimiento de sistemas de
información.
Documentación de pruebas de sistemas y programas
Revisiones y reportes de aseguramiento de calidad
________________________________________________________
Trabajo Colaborativo 1
CONCLUSIONES.
La auditoría se apalanca de un método y un procedimiento exacto para conseguir los
objetivos.
La diversidad de auditorías radica en la diversidad de empresas. Pero todas pueden utiliar
cobit para desarrollar las actividades de control de procesos y operación.
Es de suma importancia la independencia de la auditoria con relación al ente auditado.
El informe final es el objetivo de la auditoria.
Reconocer Cobit como una herramienta para integrar IT con las necesidades o
expectativas de la empresa.
Uno de los ejes fundamentales de Cobit es el manejo de la Información ya queconsidera
que esta es el activomas valioso de cualquier empresa.
El gobierno de TI debe estar estrategicamente alineado con el gobierno Corporativo con el
fin de generar valor en cada uno de los procesos y operacionesde las empresas.
Dificilmente una empresa perdura y crece sin controles, politicas y procedimientos claros.
________________________________________________________
Trabajo Colaborativo 1
BIBLIOGRAFÍA
Modulo Auditoria de Sistemas. Adriana Aguirre Cabrera Directora Nacional, UNAD, 175 Pág.
Aula virtual programación lineal, www.unadvirtual.org.
http://pt.wikipedia.org/wiki/COBIT
http://www.google.com/url?sa=t&rct=j&q=que+es+cobit+5+espa%C3%B1ol&source=web&cd=3&ved=0CEcQFjAC&url=http%3A%2F%2Fwww.isaca.org%2FCOBIT%2FDocuments%2FCOBIT5-Introduction-Spanish.ppt&ei=dvXGU5ueLoPJsQS7-4DADQ&usg=AFQjCNHwaWjs0bKzkjEJ4dgoNAs1BrCKvA&sig2=uMCm2w5k5xs12Qo5TmPibg.
http://diagnosticos.iteraprocess.com/documentos/cobit.pdf