Auditoria informatica

Objetivos de la auditoría •Determinar qué medidas se están implementado para la asignación de costos. •Transparentar y entender los costos de TI y mejorar la rentabilidad a través del uso bien informado de los servicios de TI. Alcance     Con esta auditoría se pretende determinar que error es hay en la organización para la asignación de costos y determinar las mejores soluciones para que este objetivo tenga un punto de madurez alto. Estrategia de Auditoría Encuesta Punto A: para cada pregunta se pide la documentación necesaria para validar la información proporcionada con lo que está documentado 1. ¿Qué mecanismos utilizan para equiparar los costos a los servicios de TI? 2. ¿Cómo están alineando los servicios de TI con los procesos del negocio? 3. ¿Cuentan con una Inversión planeada para los próximos años siguientes ? 4. ¿Tienen referenciado el costo por partes? Punto B: para cada pregunta se pide una documentación que respalde l...

Objetivos de la auditoría Conocer qué planes de seguridad se están llevando dentro de la empresa Verificar si se garantiza la integridad y la disponibilidad de la información dentro de la empresa Corroborar si existe y cómo se maneja el plan de roles y usuarios. Detectar si constantemente se lleva a cabo pruebas de seguridad y detección de software malicioso Evidenciar si los planes de seguridad están alineados con el plan de negocio. Alcance Observar que controles o mecanismos están siendo empleados en la empresa para garantizar la seguridad de los sistemas y de la información de la empresa y si está documentada. Estrategia de Auditoría Encuesta 1. ¿Qué planes de seguridad de TI tiene implementados en la empresa? 2. ¿Qué riesgos están teniendo en cuenta para implementar esos planes? 3. ¿Qué formas de concientización están utilizando para informar a los usuarios sobre los riesgos de TI? 4. ¿Qué herramientas utilizan...

Objetivos de la auditoría Verificar si existen sistemas automatizados dentro de la empresa Revisar que las soluciones implementadas en la empresa hayan mejorado el desarrollo de los procesos. Conocer los requerimientos técnicos y funcionales de la empresa. Conocer los riesgos que se han evaluado y las soluciones que se han implementado para mitigarlos. Verificar la factibilidad de las soluciones actuales de la empresa y como fueron evaluadas estas al momento de su implementación. Alcance     En esta auditoría planeamos conocer como se ha realizado la definición de requerimientos técnicos y funcionales, en base a todas las operaciones del negocio, de modo que se pueda estudiar la efectividad y pertinencia de éstos. De este modo se necesitan recolectar los diferentes reportes de riesgos que se hayan hecho en base a los requerimientos antes mencionados, para identificar posibles problemas de base que puedan generar fa...

Ejemplo 1 – Origen de la auditoria – Visita preliminar – Establecer objetivos – Determinar puntos a evaluar – Elaborar planes, presupuestos, y programas – Identificar y seleccionar herramientas, métodos, técnicas y procedimientos – Asignar los recursos de auditoría y sistemas – Aplicar Auditoría – Identificar desviaciones y elaborar borrador de informe. – Presentar desviaciones a discusión. – Elaborar borrador final de desviaciones. – Presentar el informe de auditoría. Ejemplo 2 – Definición del alcance – Recopilación de información básica – Programa de trabajo – Identificación de riesgos potenciales – Identificación de controles débiles y fuertes – Pruebas y técnicas a utilizar – Identificación de controles alternativos – Realización de pruebas Ejemplo 3 – Planeación – Ejecución – Comunicación de resultados – Seguimiento Fases de la auditoría según la Contraloria – Encargo – Planeación – Ejecución – Informe – Seguimiento – Encargo – Planeación – Ejecución – Informe – Seguimie...

Guías de evaluación/auditoria : Instructivo para llevar a cabo la auditoria (ref., actividad a ser evaluada, procedimiento de auditoria, herramientas a usar, observación). Ponderación : Lista de factores a evaluar con peso, realizando la suma ponderada, los factores llevan un porcentaje de relevancia en la empresa en el que todos los factores sumen el 100%. Simulación : Modelado, gráficas, representación, la realidad tiene que comportarse igual al referente creado para poder que se tenga un funcionamiento equivalente Evaluación : Gestión, control, integral, con apoyo del computador, sin apoyo … Diagramas: Secuencia Paquetes Clases Actividades Casos de uso Procesos Arquitectura tecnológica Entidad relación Transición de estado Mocups Flujo Flujo de datos Topología de red Arquitectura de la información Módulos y componentes Matrices de evaluación : Evaluación servicios, dofa. Programas de verificación:  Deroteros para llegar a mirar si un proceso se e...

Muestreo: Tipos: Aleatorio simple: homogéneos, formula simple No probabilístico: intencional, experiencia, obvio Probabilístico: cada miembro tiene probabilidad/peso de ser elegido Con reemplazo (vuelve), sin reemplazo Análisis del grado de confianza: campana de gauss Simple al azar Estratificado: segmentos, grupos específicos (de acuerdo a una connotación especial) Proceso: Definir tipo de investigación a realizar Planteamiento del problema Definir método a utilizar Determinar el universo, población y muestra Definir herramientas de recopilación de datos Diseñar instrumentos Elaborar prueba piloto y ajustar Elaborar instrumentos de recopilación Recopilar los datos Tabular los datos Interpretar los datos Difundir/registrar los resultados Experimentación: observación de un fenómeno al cual se le van adaptando las variables y condiciones Tipos: Exploratorio: concebido para ver técnicas, métodos y procedimientos utilizados. Visitas, observación Confirma...

Controles Preventivos:  Anticipan eventos no deseados antes de que sucedan. Son más rentables Deben quedar incorporados en los sistemas Evitan costos de corrección o reproceso Ejemplo : El software de seguridad que evita el acceso a personal no autorizado, para tratar de evitar la producción de errores o hechos fraudulentos. Controles Detectivos:  Identifican los eventos en el momento en que se presentan. Son más costosos que los preventivos Miden la efectividad de los preventivos Algunos errores no pueden ser evitados en la etapa preventiva Incluyen revisiones y comparaciones (registro de desempeño) Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones, técnicas automatizadas Límites de transacciones, passwords, edición de reportes y auditoría interna. Ejemplo : Un programa de auditoría, para descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos:  As...