Interpretacion Juricida de La Auditoria Informatica

Interpretación Jurídica de la
Auditoria Informática
La integración del profesional en

Derecho en el proceso de la
Auditoría Informática
Agenda
• Lectura y comentarios acerca del caso de
estudio
• Auditoría como Control del Control Interno
• Auditoría y ambiente de Control
• Auditoria como Gestión del Riesgo
• Auditoría y Auditoría Informática: Aspectos
conceptuales e instrumentales
• El Estándar CoBIT
• Trabajo final
UNSL - Dr. Ing. Roberto Uzal - 2

Mg. Germán Montejano
Auditoria como Control del “Control Interno”
ACTIVIDADES
DE CONTROL
“Control Interno” es lo
que el “Informe COSO”
define como tal
Eficacia y eficiencia en las

Operaciones (continuidad)
OBJETIVOS Confiabilidad de la Información

(especialmente de la Información
DE CONTROL
Financiera)
Cumplimiento de leyes y
normas vigentes

Auditoria y Ambiente de control
Para que las actividades de Control Interno se desarrollen con efectividad es

necesario generar lo que se denomina "Ambiente de Control", esto es, el conjunto
de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del
control interno y que son por lo tanto determinantes del grado en que imperan sobre
las conductas y procedimientos organizacionales.
Los principales factores para que se produzca ese "Ambiente de Control", son entre
otros, la filosofía y estilo de dirección de los responsables de los organismos de
control; la estructura, la definición de la estructura organizacional y los reglamentos
y manuales de procedimiento; y la integridad, los valores éticos, la competencia
profesional y el compromiso de todos los componentes de la organización.

Auditoria como Gestión del Riesgo
¿Qué es “Gestión del Riesgo”?
1. Establecer Marco General
2. Identificar Riesgos
Monitorear
3. Análisis de Riesgos y Revisar
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Balance: “Impacto negativo Esperado” vs. “Inversión a ser Realizada”

Auditoria como Gestión del Riesgo
¿Qué es “Gestión del Riesgo”?

Es un proceso interactivo e iterativo basado en el
conocimiento, evaluación y manejo de los riesgos y sus
impactos, con el propósito de mejorar la toma de
decisiones organizacionales.
Aplicable a cualquier situación donde un resultado no

deseado o inesperado pueda ser significativo o donde se
identifiquen oportunidades.

Riesgo: Una visión en tres dimensiones
Cultura Corporativa (-)
Discusión en el Marco
de un Caso Práctico
Tamaño (+)
Innovación (+)

Gestión del Riesgo
Evaluar Tomar
Riesgos Decisiones
Implementar
Controles
Supervisar

Gestión del Riesgo
(Visión alternativa)
Identificación
Evaluación
Clasificación
BD Riesgos
Priorización
Planeamiento,
Seguimiento
y control

Matriz de Evaluación de Riesgos
Códigos
PROBABILIDAD
de Riesgo
Frecuente Habitual Ocasional Raro No habitual
A B C D E
I IB
Extremadamente
Catastrófico Extremely
S Alto
High
E
V II HighAlto
Critico IID
E
R
I Moderado III Medio
Medium Bajo
Low
IIIA
D
A
D Leve IV IVB IV E 10
UNSL - Dr. Ing. Roberto Uzal -
Una variante de la Matriz

Identificación de Riesgos
del Caso Práctico Entradas
Factores Activos de Plan de

Alcance del Plan de
Ambientales de Procesos Manejo del
Proyecto Proyecto
la Empresa Organizacionales Riesgo
• Bases de datos • Información de • Enunciado del • Asignación de • Plan de Trabajo

comerciales proyectos previos alcance del proyecto Roles y
• Costos
Responsabilidades
• Estudios • Lecciones
• Gestión de Calidad
académicos aprendidas • Categorías de
riesgos • Salidas del
• Benchmarking
proceso de Area de
• Otros estudios de Conocimiento
la industria

Revisión de • Planes y supuestos del Proyecto
Documentación • Información histórica de otros proyectos
• Brainstorming Discusión en el Marco

Recopilación de • Técnica Delphi del Caso Práctico
• Entrevistas
Información
• Identificación de Causa-Raíz
• Análisis FODA
Herramientas
y Técnicas Análisis de • Listas de riesgos de proyectos anteriores
Checklist
• Revisión de inexactitud, inconsistencia o incompletitud de

Análisis de los supuestos
Supuestos
Técnicas de • Diagramas de Causa-Efecto (Ishikawa/Fishbone)

Diagramas • Diagramas de Flujos de Procesos y Sistemas
• Diagramas de Influencia

• Lista de Riesgos Identificados

• Lista de Potenciales Respuestas
Registro de
Salidas • Causa-Raíz de los Riesgos
Riesgos
• Categoría de Riesgos Actualizada
del Caso Práctico

Análisis Cualitativo de Riesgos
Entradas
Activos de los Procesos Declaración del Plan de gestión Registro

de la organización ámbito del proyecto del riesgo de riesgos
Elementos claves del plan de gestión

del riesgo:
Riesgos en Tipo de proyecto: - Roles y Responsabilidades Elementos claves
proyectos pasados -Vanguardista - Presupuesto del registro de
- Recurrente o conocido - Calendarización de actividades riesgos
- Categoría de riesgos
- Definición de la probabilidad e
impacto
- Matriz de probabilidad e impacto
del Caso Práctico

Herramientas - Que tan probable es el riesgo
y - Riesgos a los objetivos del proyecto
Técnicas
Tabla o matriz de probabilidad e

Evaluación de la probabilidad impacto con clasificación de alto,
e impacto del riesgo moderado y bajo riesgo.
Matriz de probabilidad - Grado de entendimiento

e impacto - Exactitud
- Calidad
Evaluación de la calidad - Fiabilidad
de los datos del riesgo - Integridad de los datos
Categorización - Por fuente de los riesgos

de los riesgos - Por área de proyecto afectada
- Alguna categoría útil
Evaluación de la
urgencia de los riesgos Que riesgo se necesita atender a
corto plazo y cuales no.
del Caso Práctico UNSL - Dr. Ing. Roberto Uzal - 16
Salidas
Discusión en el Marco Registro de Riesgos

del Caso Práctico
-Clasificación relativa o lista de prioridades de los riesgos del proyecto

- Riesgos agrupados por categoría
- Lista de riesgos que requieren respuesta a corto plazo
- Lista de riegos para un análisis y respuesta adicional
- Listas de supervisión de riesgos de baja prioridad
- Tendencia en el resultado del análisis cualitativo del riesgo

Análisis Cuantitativo de Riesgos
ENTRADAS
del Caso Práctico
ACTIVOS DEL DECLARACIÓN PLAN DE REGISTRO PLAN DE

PROCESO DEL ALCANCE ADMINISTRACIÓN DE ADMINISTRACIÓN
ORGANIZACIONAL DEL PROYECTO DE RIESGOS RIESGOS DEL PROYECTO
. Información previa •Objetivos proyecto •Lista de riesgos •Plan de

•Roles y
•Similares proyectos •Requerimientos del identificados administración de la
responsabilidades
terminados proyecto •Ranking relativo agenda del proyecto
•Presupuestos
•Estudios realizados •Límites proyecto •Lista priorizada de •Plan de
•Agenda de
por especialistas de •Criterios aceptación los riesgos del administración de los
actividades
riesgo a proyectos del producto proyecto costos del proyecto
•Categorías de
similares. • Definición riesgos •Riesgos agrupados
riesgos
•Base de datos de • Requisitos de por categorías
riesgos aprobación.

RECOLECCIÓN •Entrevistas
DE DATOS •Distribuciones de
Y TÉCNICAS DE probabilidades
REPRESENTACIÓN •Juicio experto
H&T
•Análisis sensitivo
ANÁLISIS •Análisis de valor
CUANTITATIVOS monetario previsto
DE RIESGOS •Análisis de árbol de
Y TÉCNICAS DE decisión
MODELADO •Modelado y simulación
del Caso Práctico

SALIDAS
Discusión en el Marco REGISTRO DE RIESGOS

del Caso Práctico (ACTUALIZACIÓN)
•Análisis probabilístico del

proyecto
•Análisis de costos de ejecución y
objetivos de tiempo
•Lista priorizada de riesgos
cuantificados
•Tendencias en análisis
cuantificado de los riesgos

Planeamiento de la Respuesta
del Caso Práctico Entradas
Plan de gestión
de riesgos Registro de riesgos
• Roles y responsabilidades. • Lista de prioridades de riesgos.

• Definiciones del análisis de riesgo. • Respuesta a corto plazo.
• umbrales de riesgo (bajo, medio y alto) •Tendencia de resultados
• El tiempo y presupuesto. • La causas.
• Los riesgos agrupados por categorías.
• Lista de supervisión de riesgo de baja
prioridad.

• Evitar el riesgo.
Estrategias para Riesgos
• Transferir el riesgo.
Negativos o Amenazas
• Mitigar el riesgo.
• Explotar riesgos con

impacto positivo.
Herramientas Estrategias para Riesgos
• Compartir un riesgo
y Positivos u Oportunidades
positivo.
Técnicas • Mejorar los impactos
positivos.
Estrategia Común ante • Aceptar el Riesgo.

Amenazas y Oportunidades
• Plan de respuestas bajo

condiciones predefinidas.
• Definir y seguir los
Estrategia de Respuesta
eventos que disparan las
para Contingencias
respuestas para
contingencias.
del Caso Práctico Mg. Germán Montejano
Salidas
Registro de Riesgos Plan de Gestión

Acuerdos Contractuales
(Actualización) del Proyecto
Relacionados con el Riesgo
(Actualización)
• Nuevas actividades de • Acuerdos por seguros.

• Riesgos identificados. respuesta. • Acuerdos por Servicios.
• Propietarios del Riesgo. • Presupuesto y Cronograma • Responsabilidad de las
• Estrategias de respuestas Actualizado. partes.
acordadas.
• Acciones para implementar
la respuesta.
• Síntomas y Señales.
• Presupuesto y Actividades. Discusión en el Marco
• Reservas para contingencias del Caso Práctico
(Tiempo y Costo). UNSL - Dr. Ing. Roberto Uzal - 23
Seguimiento y Control del Riesgo
del Caso Práctico ENTRADAS
Información del
Plan administrador Requerimientos de Informes de
Registro del riesgo funcionamiento
del riesgo cambio aprobados funcionamiento
del trabajo
•Asignación •Identificar •Cambios que •Estado del •Informes de

de recursos riesgos generan nuevos proyecto desempeño
•Respuestas al riesgos •Acciones •Análisis del
riesgo •Análisis de correctivas funcionamiento
•Acciones de efectos del •Informes de
implementación riesgo desempeño
•Reservas de •Planes de
contingencias respuesta al
riesgo

•Identificación de nuevos riesgos.
Reevaluación del riesgo •Reevaluación de los existentes.
•Selección de recurso
Revisión del riesgo •Cantidad
•Métodos de visualización de
Herramientas Análisis de tendencias y desviaciones.
y Técnicas tendencias y variaciones •Impactos en el proyecto.
•Aplicación de medidas técnicas

Medidas técnicas
en el desempeño.
de funcionamiento •Indicaciones de grado de éxito.
•Riesgos con impacto negativo o

Análisis de reservas positivo.
•Reservas adecuadas al término
del proyecto.
•Reuniones periódicas
Reuniones de estado •Tiempo adecuado asignado.
•Prioridad y dificultad a la
respuesta al riesgo.
SALIDAS
Actualización Requerimientos Acciones correctivas Acciones preventivas Proceso Plan administrador

del riesgo De cambio recomendables recomendables organizacional activo del proyecto
•Probabilidad •Planes de •Respuestas no •Acciones •Matriz de •Requerimientos

de contingencia. vistas e para probabilidad e con efectos en
ocurrencia. •Respuestas incluidas en cumplimiento impacto. procesos.
•Prioridad e al riesgo. planes de del proyecto. •Registros de •Documentación
impacto. contingencias riesgos. correspondiente a
•Planes de •Riesgos •Documentació estos cambios.
respuesta. emergentes no n actual al
identificados de cierre del
forma previa. proyecto.
Discusión en el Marco UNSL - Dr. Ing. Roberto Uzal - 26
Nivel Total
de Riesgos
Implementar medidas de reducción
Usar Juicio
Antieconómico
Costo
Para seleccionar la opción más apropiada se

requiere balancear el costo de implementación
contra los beneficios derivados.

Concepto de Auditoría (I)
• En primer lugar, es necesario conceptualizar que la auditoría es, básicamente, una función de control dirigida a
influir a un sistema en sentido restrictivo o directivo.
• Tomada en un sentido abarcativo, la auditoría (como unidad) es:
– La revisión sistemática y organizada de los sistemas en funcionamiento (contable, de manufactura,
logístico, de información, etc.) para ver si en ellos se verifican las propiedades de:
• Vigencia de los objetivos planteados como base del diseño original
• Concordancia del sistema con los objetivos del mismo (nivel de eficacia)
• Permanencia del diseño por no haber sufrido alteraciones que lo degradaran operativamente
• Rendimiento del sistema (nivel de eficiencia)
• Es decir, cada uno de los tipos de auditoría tradicionales que se pueden realizar (externa,
• interna, operativa gestión e integral), puede ser pensado como una auditoría de sistemas o de parte de un
sistema.
• La auditoría es un control correctivo por cuanto está pensada y concebido con el objetivo de medir e informar
los potenciales desvíos que pudieran haber ocurrido. Asimismo, auditoría también constituye un control
selectivo porque normalmente (fundamentalmente por una relación de costo-beneficio y oportunidad de la
información a elevar) no es necesario verificar la totalidad de los resultados producidos por un sistema para
obtener información suficiente (luego agregaremos pertinente y relevante a través del concepto de evidencia
de auditoría) para evaluar el funcionamiento del sistema operante.
Concepto de auditoría (II)
El control independiente,
retroalimentado y generalmente
selectivo de un sistema; en
particular, del sistema
empresa.

Concepto de Auditoría (III)
Examen metódico de una situación relativa

a un producto, proceso u organización, en
materia de calidad, realizado en
cooperación con los interesados, para
verificar la concordancia de la realidad con
lo preestablecido y la adecuación con el
objetivo buscado
Concepto de Auditoría (IV)
Actividad para determinar, por

medio de la investigación, la
adecuación de los procedimientos
establecidos, instrucciones,
especificaciones, codificaciones y
estándares u otros requisitos, la
adhesión a los mismos y la
eficiencia de su implantación
Tipos de auditoría
• Auditoría Externa de Estados Contables (o Financieros)
– Tiene como finalidad general la de emitir una opinión sobre la
razonabilidad de la información contable.
• Auditoría Interna
– Tiene como finalidad general la de medir y evaluar la confiabilidad y
eficacia de las actividades de control de los sistemas.
• Auditoría Operativa o de Gestión
– Consiste en el examen de la gestión de un ente para evaluar la eficacia y
eficiencia de sus resultados
• Auditoría Integral
– Integra a los objetivos de las auditorías precedentes, el control referido al
cumplimiento del ente con respecto a regulaciones y normas vigentes que
le son aplicables en forma particular.

Auditoria Informática
• Es el conjunto de estándares, técnicas, actividades y
procedimientos, destinados a analizar, evaluar,
verificar y recomendar en asuntos relativos al
planeamiento, control, eficacia, seguridad y
adecuación del soporte de Tecnología Informática
en las organizaciones. Comprende un examen
metódico, puntual y discontinuo del soporte de
Tecnología Informática, con vistas a mejorar en:
– Rentabilidad
– Seguridad
– Eficacia
Requisitos de la Auditoría
Informática
• Debe ajustarse a una metodología

preestablecida
• Se debe realizar en una fecha determinada a
tal efecto.
• Debe ser ejecutada por personal ajeno al
área informática auditada

Auditoría Informática:
Área desarrollo
• Objetivos
– Examinar la metodología de construcción que se esté utilizando. Calidad de
la documentación. Estabilidad del proceso de desarrollo. Ajuste a estándares
del proceso de desarrollo.
– Revisar la definición de la funcionalidad general y de cada uno de los
módulos de cada sistema en construcción
– Examinar el enfoque e instrumentación del aseguramiento de la calidad y
del control de versiones (Configuraciones)
– Examinar el inventario de problemas a resolver por el sistema,
dictaminando sobre la prioridad y razonabilidad de éstos (SQA).
– Verificar los medios asignados en función del esfuerzo de desarrollo
estimado.
Área desarrollo (II)
• Objetivos
– Examinar el programa de desarrollo
• Tareas incluidas. Tareas críticas. Camino crítico.
• Previsión de dificultades (administración del riesgo)
• Descomposición de problemas (desagregación)
• Directivas particulares para la administración del proyecto
– Garantizar la fiabilidad y precisión de los costos
estimados
– Verificar los estudios de necesidades de software y
hardware asociados con el proyecto
– Evaluar módulos a ser reusados
– Evaluar los métodos utilizados para la captura de datos
Área desarrollo (III)
• Objetivos
– Colaborar en la fase de puesta en marcha del
sistema. Evaluar los casos de prueba.
– Comprobar los aspectos de seguridad y
confidencialidad del sistema en cuestión
– Evaluar el rendimiento de un sistema ya en marcha
– Proponer, si es necesario, las modificaciones
oportunas para la optimización del sistema en
funcionamiento.
Área explotación
• Objetivos
– Verificara existencia de normas generales escritas para
el personal de explotación en lo que se refiere a sus
funciones
– Verificar la existencia de estándares de la
documentación de explotación
– Comprobar que en ningún caso los operadores acceden
a documentación de programas que no sea la exclusiva
para su operación
– Verificar que los programadores no tienen acceso a la
versión en operación (en producción) de los
programas.
Área explotación (II)
• Objetivos
– Examinar que las versiones de programas y archivos
activos en explotación son efectivamente las versiones
que deben estar vigentes (examinar la mecánica de
administración de versiones)
– Evaluar la forma en la que se utilizan facilidades del
tipo “transaction log” y “audit trail”
– Verificar los procedimientos según los cuales se
incorporan nuevos programas a las bibliotecas en
producción
Área explotación (III)
• Objetivos
– Examinar la adecuación de los locales en que se almacenan
cintas y discos, así como la perfecta y visible identificación de
estos medios. Verificar los contenidos de los “back up”
– Investigar los estándares en tiempo d ejecución de la instalación,
comparando éstos con las observaciones reales efectuadas.
– Verificar los planes de mantenimiento preventivo de la
instalación
– Comprobar que existen normas escritas que regulan
perfectamente todo lo relativo a copias de seguridad: manejo,
autorización de obtención, destrucción, etc.
– Verificar la eficacia del Plan de Contingencias

Área explotación (IV)
• Objetivos
– Inspeccionar el cumplimiento de sus funciones, además
de la idoneidad de éstas, de la persona encargada de
mantener la biblioteca de medios magnéticos
– Comprobar que existen métodos adecuados que
permitan verificar un seguimiento de los trabajos en
servidores y de las demandas de los clientes
– Examinar e incluso participar en la elaboración de los
presupuestos del centro de explotación si éstos son
independientes del resto del servicio informático

Hardware
• Objetivos
– Determinar si el hardware se utiliza eficientemente
• Revisar los informes de la dirección sobre uso del hw
• Revisar si el equipo es utilizado por el personal autorizado
– Examinar los estudios de adquisición, selección y
evolución del hw
– Comprobar las condiciones ambientales
– Revisar el inventario hardware
– Verificar los procedimientos de seguridad física
– Examinar los controles de acceso físico
Hardware (II)
• Objetivos
– Revisar la seguridad física de los componentes de la red
de teleproceso
– Revisar los controles sobre la transmisión de los datos
(¿encriptado?)
– Comprobar los procedimientos de
prevención/detección/corrección frente a cualquier tipo de
desastre de tipo físico
– Colaborar en la confección de un plan de contingencias y
desastres respecto del hardware
Entorno operativo (software)
• Objetivos
– Evaluar la seguridad en cuanto a archivos, bases de datos y aplicaciones
en producción.
– Revisar las bibliotecas utilizadas por los programadores responsables
del mantenimiento.
– Evaluar las tareas de mantenimiento
– Evaluar la funcionalidad de las aplicaciones en servicio
– Revisar el inventario de las aplicaciones en producción.
– Comprobar la seguridad y confidencialidad de datos (nivel lógico)
– Examinar los controles sobre los datos almacenados (consistencia)
– Revisar los procedimientos de entrada y salida
– Verificar los procedimientos de backup de datos y aplicaciones.
Entorno operativo (software) II
• Objetivos
– Revisar los procedimientos de planeamiento, adecuación y
mantenimiento del software de base (SO; DBMS, etc.)
– Revisar la documentación del Software de Base
– Revisar los controles sobre programas utilitarios
– Examinar la utilización de estos paquetes
– Verificar periódicamente el contenido de los archivos de
usuario generados con herramientas a nivel cliente.
– Determinar que el proceso para usuarios está sujeto a los
controles adecuados
– Examinar los cálculos críticos (cuellos de botella, capacidades
de carga, etc.)
El Estándar CoBIT
• Antecedentes
• Definición, Misión, Visión y Evolución
• Usuarios
• Características Generales
• Principios (Requerimientos de Información, Recursos
de TI y Procesos de TI)
• Estructura de CobiT
• CobiT como Producto (Componentes)
• CobiT y Otros estándares
Antecedentes
• COBIT Integra y concilia normas y reglamentaciones

existentes como:
– ISO (9000-3)
– Códigos de Conducta del Consejo Europeo
– COSO, IFAC, IIA, ISACA, AICPA y Otras
• Incluye el contenido de los Objetivos de Control
emitidos por ISACA (EDPAA)
• Se publica por 1ra vez en Septiembre de 1996
• Se publica la 2a Edición en Abril de 1988
• Se publicó la 3a Edición en Marzo de 2000

Definición
Control Ob
Objectives for Information
and Related Technology
Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas
• COBIT complementa a los modelos más generales como COSO
(EEUU), CoCo (Canadá) o Cadbury (Inglaterra).
• Provee guías detalladas sobre objetivos de control para los

procesos de gestión de tecnología de información

Finalidad
Control Ob
Objectives for Information
and Related Technology
Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas
COBIT complementa a los modelos más generales como COSO (EEUU),

CoCo (Canadá) o Cadbury (Inglaterra).
Provee guías detalladas sobre objetivos de control para los procesos de

gestión de tecnología de información

Visión
SER LA HERRAMIENTA MÁS AVANZADA PARA LA

GOBERNABILIDAD, CONTROL Y AUDITORÍA DE
INFORMACIÓN QUE AYUDE A COMPRENDER Y A
ADMINISTRAR LOS RIESGOS ASOCIADOS CON LA
INFORMACIÓN Y SUS TECNOLOGÍAS
RELACIONADAS

Evolución
1996
CobiT I
1998
Marco Estándar
de Control de TI CobiT II
Objetivos de
Control detallados Guías de Auto 2000
Guías de Auditoría Evaluación
Actualización de la
CobiT III
Relacionadas
Versión Automatizada Inclusión de Prácticas
Referencia a Material de Control
de Investigación Mejoras a los
Secundaria Objetivos de Control
Identificación de los
Indicadores de
Desempeño
Incorporación del
Modelo de Madurez
?
Usuarios
• La Gerencia
• Los Usuarios Finales
• Los Auditores
• Los Responsables de TI
• Organismos estatales de control

Características
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto”
• Basado en una revisión crítica y analítica de las
tareas y actividades en TI
• Alineado con estándares de control y auditoría
(COSO, IFAC, IIA, ISACA, AICPA)

Características
REGLA DE ORO DE COBIT

Para proveer la información que requiere la
organización para lograr sus objetivos, los
recursos de TI deben ser administrados
por un conjunto de procesos
procesos, agrupados
de forma adecuada y ejecutados acorde a
prácticas normalmente aceptadas.

Principios
(Requerimientos de Información, Recursos de TI y Procesos de TI)
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI

Requerimientos de la Información del Negocio
CobiT combina los principios contenidos por modelos existentes
y conocidos, como COSO, SAC y SAS
Requerimientos Calidad (cumplimiento de requerimientos)

de Calidad Costo (dentro del presupuesto)
Oportunidad (en el tiempo indicado).
Requerimientos Efectividad y eficiencia operacional.

Financieros Confiabilidad de los reportes financieros.
(COSO) Cumplimiento de leyes y regulaciones.
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.

Objetivos del Definir un plan estratégico de TI
Definir la arquitectura de información
Negocio Determinar la dirección tecnológica
Definir la organización de TI y sus relaciones
Manejar de la inversión en TI
Monitorear los procesos Comunicar la dirección y aspiraciones de la gerencia
Evaluar lo adecuado del control Interno Administrar recursos humanos
Obtener aseguramiento independiente Asegurar el cumplimiento de requerimientos externos
Proporcionar auditoría independiente
CobiT Evaluar de riesgos
Administrar proyectos
Administrar calidad
Req. Información
Efectividad, Eficiencia,
Monitoreo Confidencialidad, Integridad, Planeación y
Disponibilidad,
Cumplimiento, Confiabilidad Organización
Definir niveles de servicio

Recursos de TI
Administrar servicios prestados por terceros Datos, Aplicaciones Adquisición e
Administrar la capacidad y el desempeño
Asegurar el servicio continuo
Tecnología, Instalaciones,
Recurso Humano
Implementación
Garantizar la seguridad del sistema
Identificar y asignar costos
Capacitación de usuarios
Soporte a los clientes de TI
Administrar la configuración Servicios y Identificar de soluciones
Administrar problemas e incidentes
Administrar datos
Soporte Adquirir y mantener software de aplicación
Adquirir y mantener arquitectura de tecnología
Administrar Instalaciones Desarrollar y mantener procedimientos relacionados
Administrar Operaciones con TI
UNSL - Dr. Ing. Roberto Uzal - Instalar y Acreditar sistemas 57
Mg. Germán Montejano Administrar cambios
Síntesis
• Repaso de elementos esenciales

• Conclusiones
• Caso a ser desarrollado por los asistentes


Interpretacion Juricida de La Auditoria Informatica

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Interpretacion Juricida de La Auditoria Informatica

Uploaded by

Copyright:

Available Formats

Interpretación Jurídica de la

La integración del profesional en

UNSL - Dr. Ing. Roberto Uzal - 2

Eficacia y eficiencia en las

OBJETIVOS Confiabilidad de la Información

UNSL - Dr. Ing. Roberto Uzal - 3

Para que las actividades de Control Interno se desarrollen con efectividad es

UNSL - Dr. Ing. Roberto Uzal - 4

1. Establecer Marco General

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Balance: “Impacto negativo Esperado” vs. “Inversión a ser Realizada”

UNSL - Dr. Ing. Roberto Uzal - 5

¿Qué es “Gestión del Riesgo”?

Aplicable a cualquier situación donde un resultado no

UNSL - Dr. Ing. Roberto Uzal - 6

UNSL - Dr. Ing. Roberto Uzal - 7

UNSL - Dr. Ing. Roberto Uzal - 8

UNSL - Dr. Ing. Roberto Uzal - 9

UNSL - Dr. Ing. Roberto Uzal - 11

Factores Activos de Plan de

• Bases de datos • Información de • Enunciado del • Asignación de • Plan de Trabajo

UNSL - Dr. Ing. Roberto Uzal - 12

• Brainstorming Discusión en el Marco

• Revisión de inexactitud, inconsistencia o incompletitud de

Técnicas de • Diagramas de Causa-Efecto (Ishikawa/Fishbone)

UNSL - Dr. Ing. Roberto Uzal - 13

• Lista de Riesgos Identificados

UNSL - Dr. Ing. Roberto Uzal - 14

Activos de los Procesos Declaración del Plan de gestión Registro

Elementos claves del plan de gestión

UNSL - Dr. Ing. Roberto Uzal - 15

Tabla o matriz de probabilidad e

Matriz de probabilidad - Grado de entendimiento

Categorización - Por fuente de los riesgos

Discusión en el Marco Registro de Riesgos

-Clasificación relativa o lista de prioridades de los riesgos del proyecto

UNSL - Dr. Ing. Roberto Uzal - 17

ACTIVOS DEL DECLARACIÓN PLAN DE REGISTRO PLAN DE

. Información previa •Objetivos proyecto •Lista de riesgos •Plan de

UNSL - Dr. Ing. Roberto Uzal - 18

UNSL - Dr. Ing. Roberto Uzal - 19

Discusión en el Marco REGISTRO DE RIESGOS

•Análisis probabilístico del

UNSL - Dr. Ing. Roberto Uzal - 20

• Roles y responsabilidades. • Lista de prioridades de riesgos.

UNSL - Dr. Ing. Roberto Uzal - 21

• Explotar riesgos con

Estrategia Común ante • Aceptar el Riesgo.

• Plan de respuestas bajo

Registro de Riesgos Plan de Gestión

• Nuevas actividades de • Acuerdos por seguros.

•Asignación •Identificar •Cambios que •Estado del •Informes de

UNSL - Dr. Ing. Roberto Uzal - 24

•Aplicación de medidas técnicas

•Riesgos con impacto negativo o

Actualización Requerimientos Acciones correctivas Acciones preventivas Proceso Plan administrador

•Probabilidad •Planes de •Respuestas no •Acciones •Matriz de •Requerimientos

Implementar medidas de reducción

Para seleccionar la opción más apropiada se

UNSL - Dr. Ing. Roberto Uzal - 27

UNSL - Dr. Ing. Roberto Uzal - 29

Examen metódico de una situación relativa