![Page 1: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/1.jpg)
¿Cómo Implementar Auditoría de TI que Agregue
Valor a la Organización?
![Page 2: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/2.jpg)
AGENDA• Concepto de valor• Evolución de la tecnología y la auditoría• Elementos necesarios para implementar una auditoría
de TI que agregue valor– Cambio de enfoque– Evaluación de riesgos– Mejores prácticas en auditoría de TI
• Condiciones para crear la auditoría de TI– Interna versus outsourcing– Perfil del auditor de TI– Funciones – Herramientas– Auditoría continua– Planeación del desarrollo profesional
![Page 3: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/3.jpg)
Concepto de valor
PlanificaciónConfiguración
Entrega
Soporte
Toma de Decisiones
“Grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”
![Page 4: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/4.jpg)
Concepto de valor
PlanificaciónConfiguración
Entrega
Soporte
Toma de Decisiones
Evaluación del Riesgo
Objetivos de Control
![Page 5: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/5.jpg)
Evolución de la Tecnología90 hasta hoy
Internet E-Commerce
Rápida difusión de la información
Rompe paradigmas
Nuevo estándar Internet compatible
Pérdida de intimidad
Seguridad la mayor preocupación
![Page 6: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/6.jpg)
Evolución del enfoque de auditoría
Enfoque en administración de riesgos
Va
lor
ha
cia
el n
eg
oci
o
Financiera
Operación
Tecnología de Información
Finanzas y Contabilidad
Económia, Eficiencia y
Eficacia de las operaciones
Alineación con la visión y
misión empresarial
X
![Page 7: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/7.jpg)
![Page 8: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/8.jpg)
Un elemento crítico para el éxito y supervivencia de las organizaciones es la administración efectiva de la información y de la Tecnología de Información TI relacionada. En esta sociedad global donde la información viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta criticidad emerge de:
•La creciente dependencia en información y en los sistemas que proporcionan dicha información
•La creciente vulnerabilidad y el amplio espectro de amenazas, tales como la “ciberamenazas” y la guerra de información
•La escala y el costo de las inversiones actuales y futuras en tecnología de información, y
•El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas del negocio, crear nuevas oportunidades y reducir costos
Un elemento crítico para el éxito y supervivencia de las organizaciones es la administración efectiva de la información y de la Tecnología de Información TI relacionada. En esta sociedad global donde la información viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta criticidad emerge de:
•La creciente dependencia en información y en los sistemas que proporcionan dicha información
•La creciente vulnerabilidad y el amplio espectro de amenazas, tales como la “ciberamenazas” y la guerra de información
•La escala y el costo de las inversiones actuales y futuras en tecnología de información, y
•El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas del negocio, crear nuevas oportunidades y reducir costos
![Page 9: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/9.jpg)
2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos
1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional
3. Auditoría que aplique las mejores prácticas de la industria
¿Cómo implementar auditoría de TI que agregue valor a la organización?
![Page 10: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/10.jpg)
2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos
1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional
3. Auditoría que aplique las mejores prácticas de la industria
¿Cómo implementar auditoría de TI que agregue valor a la organización?
![Page 11: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/11.jpg)
Entrada Proceso Salida
![Page 12: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/12.jpg)
Salida
![Page 13: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/13.jpg)
Entrada Proceso Salida
![Page 14: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/14.jpg)
2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos
1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional
3. Auditoría que aplique las mejores prácticas de la industria
¿Cómo implementar auditoría de TI que agregue valor a la organización?
![Page 15: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/15.jpg)
Riesgo
“La amenaza de que un evento, acción ó
falta de acción afecte
adversamente la habilidad de una
organización para lograr sus objetivos
y ejecutar sus estrategias
exitósamente”
![Page 16: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/16.jpg)
Niv
el d
e de
pend
enci
a
Nivel de utilización de TI
RIESGOSRIESGOS
Dependencia del negocio
![Page 17: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/17.jpg)
Principal riesgo en TI
GerenciaTecnología
Contabilidad
Auditoría
Car
ecer
de
un
a es
trat
egia
com
ún
![Page 18: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/18.jpg)
Riesgos de la tecnología de información
– Información errónea o inoportuna
– Tiempo laboral perdido por mal uso del e-mail e Internet
– Alteración de datos– Insatisfacción del
usuario– Acceso no autorizado– Ineficiente uso de los
recursos tecnológicos– Robo de información
![Page 19: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/19.jpg)
2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos
1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional
3. Auditoría que aplique las mejores prácticas de la industria
¿Cómo implementar auditoría de TI que agregue valor a la organización?
![Page 20: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/20.jpg)
Mejores prácticas de la industria
COBIT Control Objectives for Information and related Technology
www.isaca.org/cobit.htm
(Guías de Auditoría solo para miembros)
Standards
www.isaca.org/standards
Code of Practice for Information Security Management (ISO17799)
https://www.bspsl.com/secure/iso17799software/cvm.cfm
Generally Accepted Principles and Practices for Securing Information Technology Systems (NIST)
http://csrc.nist.gov/publications/nistpubs/
Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009)
www.ifac.org
COBIT Control Objectives for Information and related Technology
www.isaca.org/cobit.htm
(Guías de Auditoría solo para miembros)
Standards
www.isaca.org/standards
Code of Practice for Information Security Management (ISO17799)
https://www.bspsl.com/secure/iso17799software/cvm.cfm
Generally Accepted Principles and Practices for Securing Information Technology Systems (NIST)
http://csrc.nist.gov/publications/nistpubs/
Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009)
www.ifac.org
![Page 21: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/21.jpg)
1. Interna o Outsourcing
2. Pérfil del auditor o el equipo
3. Funciones4. Herramientas
para agregar valor
5. Auditoría Continua
6. Planeación del desarrollo profesional
¿Creando la función de Auditoría de Tecnología de Información en la organización?
![Page 22: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/22.jpg)
1. Auditoría Interna versus Outsourcing
Interna
Amplio conocimiento del negocio
Integración con otras disciplinas de la Auditoría Interna
Las brechas de seguridad y control no salen de la empresa
Mejor aprovechamiento del recurso humano capacitado
La experiencia adquirida queda en la organización
Interna
Amplio conocimiento del negocio
Integración con otras disciplinas de la Auditoría Interna
Las brechas de seguridad y control no salen de la empresa
Mejor aprovechamiento del recurso humano capacitado
La experiencia adquirida queda en la organización
Outsourcing
Disponibilidad de diferentes habilidades y profesionales
Economías de escala en la adquisición de herramientas y capacitación
Relación contractual puede causar costos ocultos
Requiere dar privilegios a personal externo
Outsourcing
Disponibilidad de diferentes habilidades y profesionales
Economías de escala en la adquisición de herramientas y capacitación
Relación contractual puede causar costos ocultos
Requiere dar privilegios a personal externo
Outsourcing no es sólo una decisión de costo, es también una decisión estratégica que tiene implicaciones de control para la gerencia. (Manual de preparación examen CISA)
Outsourcing no es sólo una decisión de costo, es también una decisión estratégica que tiene implicaciones de control para la gerencia. (Manual de preparación examen CISA)
![Page 23: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/23.jpg)
2. Perfil del auditor de TI
Visión de riesgos
Lenguaje de negocios
Proactivo y preventivo
Entendimiento del entorno
Conocimiento de metodologías y herramientas
![Page 24: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/24.jpg)
2. Perfil del auditor de TI
Contador Público Autorizado
o
Ingeniero en Informática
![Page 25: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/25.jpg)
• Aprender algún lenguaje de programación y técnicas de análisis y diseño
• Entender los riesgos tecnológicos
• Conocimiento de DBMS• Entender los riesgos de los
sistemas operativos• Contar con un
conocimiento general de infraestructura de telecomunicaciones
• Dominio de los objetivos de control para la información y la tecnología relacionada
2. Perfil del auditor de TI
![Page 26: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/26.jpg)
2. Perfil del auditor de TI• Comprender los conceptos
de riesgo de auditoría, riesgo de detección
• Entender los riesgos del negocio y riesgos operativos
• Aprender sobre las normas internacionales de auditoría
• Formarse en administración, contaduría y finanzas
• Contar con conocimiento sobre la metodología para llevar a cabo una auditoría
• Dominio de los objetivos de control para la información y la tecnología relacionada
![Page 27: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/27.jpg)
Misión de la Auditoría de TI
Visió
n y M
isió
n del
neg
ocio
Tecnología de Información
Brecha inaceptable
3. Funciones
![Page 28: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/28.jpg)
3. Funciones• Evaluar si los recursos tecnológicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio
•Verificar que en TI se cumpla con las políticas corporativas y con las regulaciones y normas
•Evaluar la información de la organización (Integridad, Confidencialidad, Disponibilidad y Completitud)
•Evaluar la fortaleza de los controles preventivos, detectivos y correctivos en TI
• Evaluar si los recursos tecnológicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio
•Verificar que en TI se cumpla con las políticas corporativas y con las regulaciones y normas
•Evaluar la información de la organización (Integridad, Confidencialidad, Disponibilidad y Completitud)
•Evaluar la fortaleza de los controles preventivos, detectivos y correctivos en TI
![Page 29: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/29.jpg)
3. Funciones•Verificar la salvaguarda de los activos de TI (tangibles e intangibles)
•Evaluar si las vulnerabilidades más conocidas en Internet son adecuadamente mitigadas en la organización
•Participar activamente en el ciclo de vida del desarrollo de sistemas
•Evaluar los planes de recuperación de desastres y continuidad del negocio
•Verificar la salvaguarda de los activos de TI (tangibles e intangibles)
•Evaluar si las vulnerabilidades más conocidas en Internet son adecuadamente mitigadas en la organización
•Participar activamente en el ciclo de vida del desarrollo de sistemas
•Evaluar los planes de recuperación de desastres y continuidad del negocio
![Page 30: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/30.jpg)
3. Funciones•Evaluar la seguridad física y lógica a los activos de TI
•Verificar la seguridad y suficiencia de los controles en la infraestructura de red y en las telecomunicaciones
•Evaluar el proceso de adquisiciones de recursos de TI
•Participar en auditorías integrales y facilitar la integración de la auditoría de TI con otras especialidades de la auditoría
•Evaluar la seguridad física y lógica a los activos de TI
•Verificar la seguridad y suficiencia de los controles en la infraestructura de red y en las telecomunicaciones
•Evaluar el proceso de adquisiciones de recursos de TI
•Participar en auditorías integrales y facilitar la integración de la auditoría de TI con otras especialidades de la auditoría
![Page 31: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/31.jpg)
4. Herramientas
UNIVERSO AUDITABLE
4.1 Para determinar los riesgos que más podrían afectar a la organización
![Page 32: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/32.jpg)
4.2 Herramientas que multiplican el alcance de la Auditoría de T I
4. Herramientas
Software de Análisis de Datos
Software para monitoreo de red
Software para monitoreo de cambios en las bases de datos (Alarmas)
Software para la detección de intrusos IDS
Software para evaluar logs
EAM Embedded Audit Modules
Software de Análisis de Datos
Software para monitoreo de red
Software para monitoreo de cambios en las bases de datos (Alarmas)
Software para la detección de intrusos IDS
Software para evaluar logs
EAM Embedded Audit Modules
![Page 33: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/33.jpg)
4.3 Herramientas para el soporte metodológico de la Auditoría de T I
4. Herramientas
Planeación anual y presupuesto
Calendarización de trabajos y control de tiempo
Desarrollo del programa de auditoría (Interacción con COBIT)
Papeles de trabajo y plantillas
Seguimiento de recomendaciones y respuestas de la administración
Planeación anual y presupuesto
Calendarización de trabajos y control de tiempo
Desarrollo del programa de auditoría (Interacción con COBIT)
Papeles de trabajo y plantillas
Seguimiento de recomendaciones y respuestas de la administración
![Page 34: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/34.jpg)
4.4 Reportes a la Gerencia en términos concisos y de valor
4. Herramientas
•Presentar razones y/o hechos
•Considerar que algunos directivos son más conscientes que otros
•Necesitan entender la información sobre riesgos y controles
•Presentar razones y/o hechos
•Considerar que algunos directivos son más conscientes que otros
•Necesitan entender la información sobre riesgos y controles
•No entendemos ni hablamos su lenguaje
•Informes de resultados demasiado técnicos
•Preocupados por costos y gastos
•Esperan el retorno de su inversión
•No entendemos ni hablamos su lenguaje
•Informes de resultados demasiado técnicos
•Preocupados por costos y gastos
•Esperan el retorno de su inversión
![Page 35: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/35.jpg)
• AuditNet www.auditnet.org
– ASAP (Auditors Sharing Audit Programs)• Programas financieros y operativos• Programas IT
– Lista de recursos de Auditoría– Directorio de Programas de Auditoría– AuditZine: compendio de artículos– ACNIA: Foro de discusión para Auditores
Internos (AuditBest, AuditTrain, AuditBooks, AuditJobs, etc)
• KNET www.isaca.org/knet
WWW y Auditoría
![Page 36: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/36.jpg)
Otras fuentes de información
www.isaca.org
www.itaudit.org
www.theiia.org
www.gao.gov
www.ignet.gov
www.anao.gov
www.cert.orgwww.intosai.org
www.isaudit.com
![Page 37: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/37.jpg)
5. Auditoría Continua
COSO
COBIT
COSO
COBITMonitoreoMonitoreo
Universo Auditable > Recursos de Auditoría
![Page 38: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/38.jpg)
• Un sistema con características apropiadas• Un sistema de información confiable que
incluya controles primarios y un sistema de recolección de datos
• Una auditoría o control secundario que esté altamente automatizado
• Auditores hábiles en tecnología de información
• Control sobre el proceso de reporte de la auditoría
5. Auditoría Continua
PRECONDICIONES
![Page 39: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/39.jpg)
5. Auditoría Continua
EAM Embedded Audit Modules(Modulos de Auditoría Integrados)
“Son modulos puestos en determinados puntos para obtener información acerca de las transacciones o eventos en los sistemas que los auditores pueden considerar materiales” Weber (1999)
Se implementan en los ambientes de DBMS como triggers o procedimientos almacenados
![Page 40: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/40.jpg)
6. Planeación del desarrollo profesional
International Federation of Accountants IFAC emitió desde el año
1993 el documento:
“Minimum Skill Levels in Information Technology for Professional
Accountants”
International Federation of Accountants IFAC emitió desde el año
1993 el documento:
“Minimum Skill Levels in Information Technology for Professional
Accountants”
Estándar Auditoría SI 040.020 Educación Profesional Continua
![Page 41: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/41.jpg)
• Es un camino para crecer y actualizarse en el nivel de servicio
• Incluye capacitación formal e informal (auto estudio)
• Define el conocimiento y las habilidades necesarias
• Define los métodos para el aseguramiento del desarrollo
• Establece los métodos para la actualización y retroalimentación
6. Planeación del desarrollo profesional
![Page 42: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/42.jpg)
Es una estrategia que garantiza el adecuado enfoque de educación continua
y desarrollo profesional es la Certificación CISA
Es una estrategia que garantiza el adecuado enfoque de educación continua
y desarrollo profesional es la Certificación CISA
6. Planeación del desarrollo profesional
![Page 43: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/43.jpg)
Establec
ida
Establec
ida
Estandari
zada
Estandari
zada
Indefinido
Indefinido
Calidad Total
Calidad Total
Índice de madurez de la Auditoría de Tecnología de Información
Índice de madurez de la Auditoría de Tecnología de Información
![Page 44: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/44.jpg)
Índice de madurez
Indefinido: En su mayoría los procesos claves no están definidos o posiblemente no existen, la capacidad de realizar auditoría de TI no existe o esta basada solamente en la experiencia individual por lo que se dificulta su administración
Indefinido: En su mayoría los procesos claves no están definidos o posiblemente no existen, la capacidad de realizar auditoría de TI no existe o esta basada solamente en la experiencia individual por lo que se dificulta su administración
![Page 45: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/45.jpg)
Índice de madurez
Establecida: Este ambiente incluye:
•Una infraestructura estable y soportada en TI
•Mediciones del desempeño efectivo de los sistemas son desarrolladas, permitiéndole a la Auditoría Interna tener entendimiento del impacto de la tecnología
•El resultado de las auditoría de TI se aplica exitósamente y está sustentado en normas de auditoría
•Se realizan auditorías por Outsourcing
Establecida: Este ambiente incluye:
•Una infraestructura estable y soportada en TI
•Mediciones del desempeño efectivo de los sistemas son desarrolladas, permitiéndole a la Auditoría Interna tener entendimiento del impacto de la tecnología
•El resultado de las auditoría de TI se aplica exitósamente y está sustentado en normas de auditoría
•Se realizan auditorías por Outsourcing
![Page 46: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/46.jpg)
Índice de madurez
Estandarizada: La auditoría se realiza en concordancia con los procesos estándares documentados.
Existe un proceso de auditoría integrado que es aplicado y administrado consistentemente (AC).
Hay programas de aseguramiento de la calidad de los sistemas
Existen programas de desarrollo profesional establecidos
Estandarizada: La auditoría se realiza en concordancia con los procesos estándares documentados.
Existe un proceso de auditoría integrado que es aplicado y administrado consistentemente (AC).
Hay programas de aseguramiento de la calidad de los sistemas
Existen programas de desarrollo profesional establecidos
![Page 47: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/47.jpg)
Índice de madurez
Calidad Total: Tiene un estatus de clase mundial
Se aplican procesos de mejoramiento continuo, mediante la evaluación del desempeño por parte de los usuarios de la auditoría.
Existe un proceso de calidad total en la auditoría de TI.
Calidad Total: Tiene un estatus de clase mundial
Se aplican procesos de mejoramiento continuo, mediante la evaluación del desempeño por parte de los usuarios de la auditoría.
Existe un proceso de calidad total en la auditoría de TI.
![Page 48: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/48.jpg)
Ejemplos de herramientas que ayudan al Auditor de
hoy
![Page 49: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/49.jpg)
ADM Plus – Audit Department Manager Plus www.pleier.com
Planificación, Administración de Riesgos, Reporte de Tiempos, gastos y costos, indicadores, asignación de tareas, seguimiento de recomendaciones y observaciones y administración de RRHH, y papeles de trabajo
AutoAudit www.paisleyconsulting.com
Control de tiempos y gastos, papeles de trabajo electrónicos, seguimiento de recomendaciones y observaciones, planificación y otros
Auditor Assistant www.auditorassistant.com
Workflow para trabajos colaborativos, programación y automatización de papeles de trabajo, generacion de reportes y seguimiento de recomendaciones
Gestión de Procesos de Auditoría GPA www.umccr.com
Contempla los componentes necesarios para llevar a cabo la labor de auditoría y por eso contiene varios módulos que son: Catálogos (Base de Conocimiento), Análisis de Riesgo, Planificación, Ejecución, Comunicación , Indices de Gestión y Misceláneos.
Pentana www.pentana.com
Planificación, control de tiempos, checklists y programas y seguimiento de planes de acción
De Soporte Metodológico
![Page 50: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/50.jpg)
AutoAudit www.paisleyconsulting.com
Control de tiempos y gastos, papeles de trabajo electrónicos, seguimiento de recomendaciones y observaciones
CaseWare Working Papers www.caseware.com
Planificación y papeles de trabajo para Auditorías financieras y customizable para otras, incluye checklists y programas de trabajo y actualiza los papeles de trabajo automáticamente, seguimiento recomendaciones.
AuditLeverage www.AuditLaverage.com
Sistema de auditoría que permite crear un data warehouse de auditoría incluyendo una solución integrada para la planificación, trabajo de campo y reporte y seguimiento, permite seleccionar programas de auditoría de TI basados en estándares como COBIT, CMM y BS7799
Internal Audit Software www.methodware.com
Ofrece varios productos para la planficiación de la auditoría con base en riesgos Planning Advisor, soporte para papeles electrónicos y ejecución de auditorías internas ProAudit Advisor, Producto orientado a facilitar la aplicación de CobIT, registrando los resultados de las auditorías, reportes y módulo de revisión y análisis al completarse la auditoría. Cobit Advisor
De Soporte Metodológico
![Page 51: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/51.jpg)
De Análisis de Datos
CaseWare IDEA www.caseware-idea.com
Funciones de Análisis de Datos avanzadas y Auditoría, permite lectura de datos de cualquier orígen
DATAS for IDEA www.audimation.com
Plug-in desarrollado para Data Mining y Análisis predictivo y de Fraude con IDEA, incorporó la Ley de Benford que hoy ya se ha incorporado al producto.
ACL www.acl.com Funciones de Análisis de Datos avanzadas y Auditoría, permite lectura de datos de cualquier orígen
WizRule www.wizsoft.com Software de data mining y reportes, orientado a detectar patrones o relaciones entre datos, identificando aquellas que no responden a los patrones detectados.
![Page 52: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/52.jpg)
BindViewwww.bindview.com
Diversos sistemas y productos orientados a la seguridad y control de los activos de Tecnología de Información
Internet Security Systemswww.iss.net
Diversos sistemas y productos orientados a la seguridad y control de los activos de Tecnología de Información
XP Auditor for IDEA www.caseware-idea.com
Plug in – Auditor de NT y Firewalls para IDEA
Unix Auditor for IDEA www.audimation.com
Plug in – Auditor de Unix para IDEA
Kane www.intrusion.com
Analiza la seguridad de redes y notifica de vulnerabilidades detectadas
AuditCASE para Oraclewww.orcase.com
Permite evaluar sistemas que utilicen bases de datos ORACLE, seleccionando campos sobre los cuales crea un pista de auditoría, también permite implementar un modelo de auditoría continua mediante una serie de alertas
De Revisiones Seguridad de IT
![Page 53: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/53.jpg)
Bibliografía recomendada
• Accountant´s guide to fraud detection and control; Howard R Davia y otros
• Auditing in a computerised environment, Mohan Bhatia• Practical IT Auditing 2 Edition Jack Champlain• Claves para el gobierno de los sistema de información
Reynaldo J de la Fuente y otros• Cobit 3 Edition
www.isaca.org/ordinfo.htm
• Revista Control Journal para los afiliados a la ISACAwww.isaca.org
![Page 54: ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?](https://reader033.vdocuments.net/reader033/viewer/2022061216/54b0d4fc4979597d0d8b4f1b/html5/thumbnails/54.jpg)
Muchas Gracias!