Practica Mpai-2.1 Rev. in Curso

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 2.
1 Desarrollar un programa y un plan de auditora con la metodologa de la norma ISO 19011 Directrices para la Auditora de los SG.
CARRERA Ingeniera en Sistemas Computacionales PLAN DE ESTUDIOS ISC-2004-296 CLAVE DE LA ASIGNATURA RDC-0705 NOMBRE DE LA ASIGNATURA Auditoria Informtica
CLAVE DE PRCTICA MPAI-2.1
TIPO DE SESIN Taller
TIEMPO DE REALIZACIN 2 Horas
TIEMPO DE PRESENTACIN 1 Hora
1. OBJETIVO DE APRENDIZAJE Entender las fases preliminares del proceso de auditora segn lo establecido en la reciente gua de auditora ISO. Entender como planificar y preparar una auditoria de Sistema de Gestin. Conocer e interpretar una metodologa formal as como los requisitos necesarios para establecer la planeacin y preparacin de una Auditora Informtica. Determinacin de mecanismos evaluacin de sistemas de acuerdo al riesgo. Conocer el perfil del personal participante en la Auditoria. Comprender el alcance de las auditorias de seguimiento al plan de trabajo.
Emitido el: 07-29-2010 Revisin: 0
Pgina 1 de 16
INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 2.1 Desarrollar un programa y un plan de auditora con la metodologa de la norma ISO 19011 Directrices para la Auditora de los SG.
2. INTRODUCCIN Los Beneficios de la Planificacin Independientemente del tipo de auditora que se est efectuando, hay muchas cosas que se deben hacer antes de que sta inicie. La buena planificacin y preparacin son fundamentales en el proceso. El auditado y la organizacin auditora pueden verse benefic iados con la planificacin de la auditoria en lo siguiente: Para el Auditor Proporciona conocimiento de la auditoria que se est ejecutando y el alcance de la investigacin requerida. Le permite al auditor suficiente tiempo para conducir una investigacin preliminar con relacin a la organizacin y los criterios de auditora aplicables. Para el Auditado Proporciona conocimiento del objetivo de la auditoria, alcance y criterios aplicables durante la investigacin. Proporciona conocimientos del horario de la auditoria, habilita los preparativos para permitir que la auditoria se realice fcilmente y se logren los resultados necesarios. Consideraciones para la mejora del proceso. Debido a la naturaleza del Planificar-Hacer-Verificar-Actuar de las normas de Sistemas de Gestin, el Auditor Lder debe tomar medidas durante la planificacin, para asegurar su efectiva ejecucin. La distribucin de los elementos contenidos en las normas ISO requieren atencin especial al "Enfoque de Proceso" de Sistemas de Gestin. (Ver la sesin de Planificacin de Auditoria). Esta sesin incorpora algunos conceptos contenidos en ISO 1901 1 y que se refieren al Inicio, Planificacin y Preparacin de la Auditoria. Aunque algunos de los conceptos son de repaso, es importante el estudio y la discusin relacionada a los tpicos aqu contenidos, prestando atencin al "Enfoque de Proceso" especialmente durante las fases de Planificacin y Preparacin.
Pgina 2 de 16
Autoridad para el programa de auditoria (5.1)
Establecimiento del programa de auditoria (5.2, 5.3) Objetos y amplitud Responsabilidades Recursos Procedimientos
Planear
Actuar
Mejora del programa de auditoria (5.6)
Implementacin del programa de auditoria (5.4, 5.5) Elaboracin del calendario de las auditorias Evaluacin de los auditores Seleccin de los equipos auditores Conduccin de las actividades de auditoria Conservacin de los registros
Competencia y evaluacin de los auditores (Capitulo 7) Hacer Actividades de auditoria (Capitulo 6)
Seguimiento, y revisin del programa de auditoria (5.6) Seguimiento y revisin Identificacin de la necesidad de acciones correctivas y preventivas Identificacin de oportunidades de mejora
Verificar
Fig. 2 Proceso de Auditoria ISO 19011
Pgina 3 de 16
Autoridad Es importante que todas las partes involucradas entiendan que el auditor tiene derecho a revisar la informacin necesaria para determinar si el Sistema de Gestin est de acorde con os entenas de la auditoria. Por esto, el primer paso es obtener la autoridad para llevar a cabo la auditoria. Esto normalmente se efecta mediante: Un memorando interno. Una publicacin del Plan de las Auditorias. Una clusula especfica del contrato (Auditorias de segunda y tercera parte). Cuando el equipo auditor encuentra que no es bienvenido o no se le permite ingresar a las instalaciones del auditado, todo el proceso previo de preparacin es tiempo perdido . Una razn ms para obtener la autorizacin, es la reaccin tan natural de los seres humanos de ponerse a la defensiva cuando le notifican sobre una futura auditoria. Objetivo de la Auditoria El auditor necesita conocer qu es lo que el auditado requiere. Generalmente la declaracin del objetivo de la auditoria puede ser: Determinar si el Sistema de Gestin est acorde con la norma. Evaluar la eficacia de los procesos. Verificar si se siguieron los procedimientos durante la ejecucin de un contrato. La declaracin del propsito u objetivo de la auditoria es desarrollado a partir de la pregunta sobre qu es lo que el auditado requiere. Las respuesta s a estas y otras preguntas similares, se utilizan para desarrollar la declaracin del propsito y objetivo de la auditoria. Normalmente la declaracin del propsito la realiza el Cliente de la Auditoria. El cliente de la Auditoria Est definido en ISO 19011 como: una organizacin o persona que requieren la auditoria, este puede ser: Un auditado que quiere tener su propio Sistema de Gestin auditado, siguindola norma del Sistema de Gestin. Un Cliente que quiere auditar el Sistema de Gestin de un proveedor utilizando sus propios auditores. Una agencia de tercera parte, independiente y autorizada para determinar si el Sistema Gestin proporciona un control adecuado de los productos, servicios o actividades relativas a la norma. Una agencia independiente asignada para llevar a cabo una auditoria, para incluir a la Organizacin auditada en un registro. Alcance de la Auditoria El prximo paso en la preparacin es establecer el alcance de la auditoria que: Establece el permetro alrededor del rea que se va a auditar. Identifica los aspectos, grupos y actividades a examinar. Ayuda a hacer ms eficiente el uso de los recursos de la auditoria. Influye en la duracin de la Auditoria.
Pgina 4 de 16
Normalmente, al Auditor Lder le informan, en trminos generales, cul es el alcance de la auditoria. El auditor lder afinar el alcance durante las etapas de planificacin y preparacin. Si el alcance es demasiado amplio, el auditor no podr completar la auditoria en un tiempo razonable. Recprocamente, un alcance muy limitado no permitir cumplir con el objetivo de la auditoria. La Gerencia del Auditado tomar las decisiones finales en cuanto a los elementos a auditar, lugares y organizaciones que sern intervenidos durante un perodo especfico. Criterio de la Auditoria Estos son los requisitos contra los que se ejecuta la auditoria. Pueden provenir de varias fuentes, dependiendo del producto o servicio involucrado. Estos incluyen: La norma. Los procedimientos de operacin estandarizados. Los requerimientos legales o regulatorios. Los requerimientos contractuales. El Cliente de Auditoria normalmente establece cules son los criterios de auditora relevantes. Seleccin del equipo Auditor El administrador del programa de auditora y/o el Auditor Lder pueden seleccionar el equipo auditor basndose en el objetivo, alcance y criterio de la misma. De este modo se asegura que el mismo tenga las habilidades apropiadas, competencia y experiencia en auditoria, necesaria para realizar un trabajo efectivo. Como se puede observar en la figura anterior ISO 19011 especifica el apartado 7 el cual se enfoca sobre la competencia y evaluacin de los Auditores. Algunas veces un auditor no rene todas las calificaciones establecidas para ser seleccionado, sin embargo el equipo auditor puede estar compuesto por otros miembros que complementan sus deficiencias. En los casos en que sea necesario, se pueden incluir auditores con conocimientos especiales sobre el negocio auditado. Contacto inicial con el Auditado Despus de haber establecido el objetivo, alcance y criterios de la auditoria, el siguiente paso es hacer contacto inicial con el Auditado. Se requiere, no solo por costumbre sino tambin por cortesa, el auditado sea notificado antes de iniciar una investigacin en sus instalaciones. Normalmente los tpicos que se cubren son: Composicin del equipo Auditor. Requerimientos para la revisin documental. Discusin sobre una posible visita preliminar. Coordinacin de la logstica de la auditoria, incluyendo visitas preliminares. Requerimientos de intrpretes y acompaantes. Investigacin general sobre la organizacin. Investigacin Durante el contacto inicial con el auditado, el auditor puede necesitar documentos y detalles de la organizacin, La informacin que necesita el Auditor Lder para elaborar un plan efectivo de auditora debe incluir: Emitido el: 07-29-2010 Revisin: 0 Pgina 5 de 16
El tamao y magnitud de las operaciones de la organizacin auditada. EI nmero de instalaciones involucradas y su ubicacin. El tipo de producto y/o proceso. La estructura organizacional y las labores o responsabilidades. El alcance de las actividades relevantes del Sistema de Gestin. Los documentos del Sistema de Gestin tales como Manual de Polticas Procedimientos, Instrucciones de Trabajo y Formatos. Un folleto sobre la Organizacin.
Algunas veces el tipo de investigacin que se requiere para la planificacin de la auditoria implica realizar una investigacin preliminar. Esta visita consistir en un simple encuentro con el Representante Gerencial para una pre auditoria para la certificacin en ciertos estndares tal como ISO 27001, ISO 20000, etc., se requiere de esta visita como parte de la pre auditora. Otra razn para la visita, es que la organizacin auditada requiera que la revisin documental del Sistema de Gestin se realice en sus instalaciones. Revisin de la Documentacin del Sistema de Gestin En una revisin documental del Sistema de Gestin, tanto del manual de polticas como los procedimientos podran revelar hallazgos que deberan ser investigados ms a fondo durante la auditoria. Ello tambin puede indicar que el alcance de las actividades que necesitan investigar sea mayor que la que realmente se pens. Esto puede afectar el nmero de das de auditora o el nmero de auditores requeridos para la evaluacin. Durante la revisin el auditor evaluara si: Todos los elementos requeridos en la norma especificada, estn dirigidos adecuadamente. La documentacin del Sistema de Gestin se controla adecuadamente. Es factible continuar con la prxima fase de la auditoria. Determinacin de la factibilidad de realizar la auditoria El Auditor Lder debe ayudar a determinar si es o no factible proceder con la auditoria dada toda la informacin obtenida de los pasos posteriores de la planificacin. Los facto res a considerar incluyen: Suficiente informacin relacionada con la auditoria. Cooperacin, por parte del auditado, para permitir que se logre el objetivo de la auditoria. Si se concluye que la auditoria no es factible, el Auditado, el Auditor Lder y el Cliente de auditora deben ponerse de acuerdo en una solucin aceptable. Planificacin de actividades a realizarse en la instalacin El auditor lder deber decidir lo que se puede ser llevar a cabo, dado el recurso humano y de tiempo disponibles de acuerdo a lo cual preparar un plan adecuado. El auditor lder necesita determinar la estructura organizacional y dems datos de los lugares que se van a visitar y cunto tiempo se va a tomar en cada departamento. Pgina 6 de 16
Esto se documenta en el Plan de Auditoria o Itinerario. El Plan de Auditoria debe especificar: Objetivos y Alcance de la Auditoria. Criterios de auditora y otros documentos de referencia relevantes. Fecha, tiempo y ubicacin para llevar a cabo la actividad de auditora. Nombre del Representante Gerencial. Identificacin de unidades funcionales, reas o procesos que se evaluarn. Identificacin de todos los sitios clave, actividades y procesos del Sistema de Gestin. Nombre y/o posiciones de las personas responsables de las reas que se evaluarn. Tiempos esperados de inicio y finalizacin de las actividades en las instalaciones, incluyendo reuniones con el auditado y reuniones del equipo auditor. Lenguaje de la auditoria y reporte. Roles y responsabilidades de los miembros del equipo auditor y de las personas acompaantes. Arreglos de logstica, tales como lo relativo al viaje, alojamiento y comidas. Requisitos relacionados con la confidencialidad. Arreglos para el seguimiento, si aplica. Otras consideraciones para la planificacin de la auditoria Planificar que todos los Auditores lleguen juntos y por lo menos 30minutos antes de la hora programada de inicio. Algn apoyo de informacin que se pueda dar durante los recesos o el almuerzo Planificar reuniones cortas (aprox. 15 minutos) y diarias con el Representante Gerencial, al final o al inicio de la jornada. Preparacin de la reunin de clausura la cual puede tomar ms tiempo de lo estipulado (1-2 horas) El tiempo de finalizacin de la reunin de clausura es difcil de predecir, dado que no se sabe cunto tiempo tomar presentar los resultados y dar las aclaraciones que sean necesarias. Planificacin de la Auditora y el Enfoque de Proceso para los Sistemas de Gestin La relacin de los elementos contenidos en las normas ISO 9001:2000, ISO 14001, OHSAS 1800, ISO 27001 y otras normas de gestin reflejan un enfoque de proceso para el desarrollo del Plan de Auditoria, el auditor deber entender los procesos del negocio de la organizacin para que el plan siga una secuencia lgica. Para ayudar en la planificacin de este tipo de evaluacin el auditor debe: Hacer una lista los departamentos o actividades que va a auditar. Determinar e! nmero de personas en el departamento Determinar el nmero de identificacin de procedimientos que sean aplicables a cada departamento o actividad. Estimar cunto tiempo permanecer en cada departamento o actividad.
Pgina 7 de 16
Consideraciones de tiempo para auditar un proceso La determinacin del tiempo para auditar un proceso no es exactamente una ciencia. No obstante, si no se asigna suficiente tiempo para evaluar un proceso dado, los objetivos de la auditoria se pueden ver comprometidos. El auditor lder debe combinar el buen juicio y la tcnica para estimar el tiempo de auditora. Los factores que pueden influir en el tiempo que se invierte en cada proceso incluyen: La distancia entre las unidades operaciones y los registros relativos a los procesos involucrados. La complejidad de la actividad, la cual se define de acuerdo con el tipo, nmero de productos y el nmero de procedimientos relacionados. El nivel de la actividad, el cual se puede juzgar por el nmero de empleados. La hoja del Plan de la Auditoria que se incluye en la Sesin de "Desarrollo y Presentacin del Plan de Auditoria, se puede utilizar para ayudar en la estimacin de tiempo. Consideraciones de Secuencia de los Procesos El Plan de Auditoria debe asegurar que los procedimientos documentados se revisan antes de iniciar las actividades de investigacin. Aunque la revisin de los documentos es parte del Preparacin de la Auditoria, es posible que el objetivo del documento revisado se limite al Manual de Polticas y a algunos procedimientos relacionados. Por esta razn, el Plan de Auditoria debe asegurar que el auditor revise los procedimientos especficos relativos a un proceso, antes de la investigacin en las instalaciones del auditado. La revisan puede llevarse a cabo inmediatamente despus de la reunin de apertura o en un momento apropiado antes de comenzar la evaluacin de un proceso dado. El Plan de auditora debe ser un documento lgico y no slo un conjunto de Funciones v actividades. Por esto se sugiere que el Proceso Central se evale antes que los Procesos de Apoyo. Proceso central (o medular) Estos son procesos de los Sistemas de Gestin con salidas que forman parte del producto de la organizacin y puede, como consecuencia, tener un impacto directo en las necesidades v/o requerimientos de las partes interesadas (tal como Clientes, el ambiente y/o empleados. Ejemplos: Procesos de Manufactura Procesos de Servicio Procesos de Manipulacin del Producto Procesos de apoyo Estos estn en los procesos del Sistema de Gestin pero no necesariamente forman parte del producto de la Organizaron. No obstante se consideran necesarios para asegurar la consistencia y eficacia de un proceso central. Ejemplos: Entrenamiento. Control de Documentos. Accin Correctiva.
Pgina 8 de 16
Consideraciones Adicionales de la Secuencia de Auditoria: Como la informacin obtenida durante la auditoria de los Procesos centrales ayuda a determinar la efectividad de los Procesos de Apoyo, usualmente es mejor auditar primero al Proceso Central. La secuencia de los procesos centrales debe seguir el flujo lgico del trabajo. Esto permite las interfaces entre varias funciones o departamentos a ser examinados. La secuencia de los procesos de apoyo no tiene que seguir ningn modelo en particularAprobacin y envo del Plan de Auditoria En algunos casos, el administrador del programa de auditora o el cliente, necesitarn aprobar el plan de auditora. Independientemente de quien desarroll el Plan de Auditoria siempre se necesita que sea aprobado por el Auditor Lder. El auditado debe recibir una copia de plan por lo menos una semana antes del da en que inicie la auditoria. Esto le da al auditado tiempo y oportunidad para finalizar los arreglos necesarios o para revisar cualquier desacuerdo que haya en el Plan. Si el auditado tiene alguna objecin, se puede requerir una revisin del plan, lo cual es mejor hacerlo antes de llegar a la instalacin que se auditar. Asignacin de trabajo al Equipo Auditor Despus de haber finalizado el Plan de Auditoria, el Auditor Lder debe comunicar a los miembros del equipo auditor cules sern sus responsabilidades. Estas responsabilidades generalmente se enfocarn, pero no se limitarn a: La revisin de las polticas y procedimientos que sern auditados por un auditor particular. El desarrollo de la Lista de Verificacin o "Check List", que ser utilizada como apoyo al proceso de auditora. Preparacin de las Listas de Verificacin La lista de verificacin es un instrumento para el auditor. Una buena lista: Asegura que la auditoria se lleva a cabo de acuerdo con los objetivos, el alcance y el criterio de la misma. Ayuda a programar y asegurar que se cumpla con el tiempo estipulado para cada departamento o actividad. Sirve de recordatorio para el auditor Ayuda a guiar la auditoria, al proveer un plan detallado de lo que ser investigado durante cada proceso. El contenido de la Lista de Verificacin normalmente especifica: Los tipos de tem a ser verificados y estos estarn enfocados en: Lo que el auditor desea que se verifique. Lo que el auditor est buscando. Con quin desea conversar el auditor. Lo que el auditor desea preguntar al auditado.
Pgina 9 de 16
3. CORRELACIN CON LOS TEMAS O SUBTEMAS DEL PROGRAMA DE ESTUDIOS 2.1 Introduccin 2.2 Metodologa a utilizar 2.2.1 Fases Auditoria Informtica 2.2.2 Planeacin de la Auditoria 2.2.3 Revisin preliminar 2.2.4 Revisin detallada 2.2.5 Examen evaluacin de informacin 2.2.6 Pruebas a controles del usuario 2.2.7 Pruebas Sustantivas 2.3 Evaluacin de sistemas de Acuerdo al Riesgo 2.4 Personal participante en la Auditoria 2.4.1 Perfil del Auditor 2.4.2 Perfil del usuario 2.4.3 Definicin de estructura organizacional para la auditoria 2.4.4 Seguimiento al plan de trabajo 4. MATERIAL Y EQUIPO NECESARIO HARDWARE Computadora Impresora MATERIAL DE APOYO ISO/IEC 27001:2005 Sistema de Gestin de Seguridad de la Informacin: Requisitos. ISO 20000-1:2005 Gestin del Servicio Parte 1: Especificaciones. ISO 19011:202 Directrices para la Auditoria de los Sistemas de Gestin de Calidad y Ambiental. Documentos Anexos.
Pgina 10 de 16
ACTIVIDADES: A. Conteste individualmente el siguiente cuestionario: 1. Son responsabilidades de un Auditor Lder todas excepto. A. La buena realizacin de todas las fases de una auditoria. B. Reportar hallazgos y no conformidades. C. Calificar a los miembros de su equipo. D. Elaborar el contrato de auditora. 2. El juicio sobre el grado de cumplimiento de un sistema se basa en: A. Inferencias. B. Hechos. C. Suposiciones. D. Herramientas analticas. 3. Son elementos de un plan de auditora: A. Departamentos o reas que se auditaran, alcance y propsito de la auditoria, miembros del equipo auditor. B. Departamentos o reas que se auditaran, alcance y propsito de la auditoria, observaciones. C. Departamentos o reas que se auditaran, nombre del auditor observador, miembros del equipo auditor. D. Departamentos o reas que se auditaran, alcance y propsito de la auditoria, nombre de la empresa. 4. Constituye una herramienta efectiva para mantener la continuidad de una auditoria y evaluar reas de importancia para el auditor. A. Programa de auditora. B. Plan de auditora. C. Lista de verificacin. D. Diagrama de bloques de proceso. 5. Los pasos para llevar a cabo la ejecucin de una auditoria son: A. Reunin de apertura, recorrido por las instalaciones, ejecucin de la auditoria, reuniones de los auditores, informe de auditora, reunin de cierre. B. Reunin de apertura, recorrido por las instalaciones, plan de auditora, reuniones de los auditores, reunin de cierre, informe de auditora. C. Reunin de apertura, entrevistas, ejecucin de la auditoria, reuniones de los auditores, reunin de cierre, informe de auditora. D. Notificacin al auditado, recorrido por las instalaciones, ejecucin de la auditoria, reuniones de los auditores, reunin de apertura, informe de auditora.
Pgina 11 de 16
6. Las auditorias se realizan mediante un examen aleatorio de: A. actividades, registros, entrevistas. B. Actividades, registros, controles. C. Planes, registros, documentacin. D. Actividades, registros, documentacin. 7. La etapa de seguimiento de la auditoria involucra: A. La supervisin de que las acciones correctivas sean realizadas en el plazo establecido y la verificacin de su efectividad. B. La supervisin de que las acciones preventivas sean realizadas en el plazo establecido y la verificacin de su efectividad. C. La supervisin de que las acciones de seguimiento sean realizadas en el plazo establecido y la verificacin de su efectividad. D. la supervisin de que las auditoria se realizada en el plazo establecido y la verificacin de su efectividad. 8. El informe de auditora es un documento que: A. Presenta los resultados de una auditoria y es emitido por la organizacin auditada. B. Presenta la planificacin de una auditoria y es aprobado por la organizacin auditora. C. Presenta los resultados de una auditoria y es emitido por el auditor lder. D. Presenta la planificacin de una auditoria y es emitido por la organizacin auditada. 9. Las caractersticas deseables para un auditor son: A. Buen oyente sentido comn, simptico, puntual. B. Imperativo, controlador, exigente, puntual. C. Mente abierta verstil, observador, tenaz. D. Simptico, controlador, experto, objetivo. 10. Son herramientas para la buena realizacin de una auditoria. A. Lista de verificacin, entrevistas, observacin, muestreo, preguntas abiertas, siguiendo el hilo, punto profundo, enfoque de procesos. B. Lista de verificacin, entrevista, observacin, muestreo, preguntas cerradas, siguiendo el hilo, punto profundo. C. Lista de verificacin, entrevista, observacin, muestreo, siguiendo el hilo, punto profundo, software de auditora. D. Lista de verificacin, entrevista, herramientas estadsticas, muestreo, siguiendo el hilo, punto profundo.
Pgina 12 de 16
B. Elabore un plan de auditora que considere las distintas reas que conforman el centro de cmputo o informtica de su perfil de organizacin. El plan deber considerar los siguientes apartados: a) Antecedentes. b) Objetivo de la auditoria informtica. c) Alcances del proyecto. 1. Elementos de evaluacin de informacin de la direccin de informtica. Su organizacin. Funciones. Objetivos. Estructura. Recursos humanos. Normas y polticas. Capacitacin. Planes de trabajo. Controles. Estndares. Condiciones de trabajo. Situacin presupuestal y financiera. 2. Evaluacin de los sistemas. 3. Evaluacin de los equipos. 4. Evaluacin de la seguridad. 5. Evaluacin del servicio. d) Metodologa de auditora. e) Tiempo y costo. f) Contrato de auditora. C. En base a los atributos deseables de un auditor y los principios de auditora cada equipo efectuar la seleccin de su auditor lder y evaluar las cualidades y competencia de los dems integrantes del equipo, es importante generar la evidencia documental de dicho proceso. D. Elaborar por equipos de trabajo una matriz de riesgos que muestre las areas de la funcin de informtica susceptibles de una evaluacin de auditora programada para el siguiente periodo, considere que la matriz muestre los resultados en orden descendente. Esto implica que el rea con el valor ms alto es la entidad con mayor riesgo; por lo tanto ser la primera auditada y as sucesivamente hasta conocer las reas de menor riesgo. La matriz considerara los siguientes elementos: a) b) c) d) e) f) Nombre del rea susceptible de auditar. Nombre del responsable del rea. Aspectos o componentes por evaluar del rea. Riesgo por componente (porcentaje). Clasificacin del riesgo por rea (porcentaje total). reas por auditar segn clasificacin (orden). Pgina 13 de 16
5. METODOLOGA 1. 2. 3. 4. 5. Al iniciar el instructor presentara los objetivos de la prctica. El instructor creara equipos de 4 a 5 estudiantes quienes trabajaran juntos por el resto del curso. Los estudiantes completaran el cuestionario del taller en equipos de trabajo. El instructor verificara que esta asignacin se haya completado. Los equipos seleccionaran un caso y un expositor, quien ser el encargado de presentarlo al resto del grupo.
1. SUGERENCIAS DIDACTICAS Actividades Grupales. Los estudiantes sern integrados en equipos, de manera que puedan desarrollar aptitudes importantes para el proceso de auditora, trabajando en situaciones prcticas, en un contexto de empresa. Presentaciones Individuales. Los estudiantes tendrn oportunidad de hacer breves presentaciones orales y escritas. Evaluacin de Participacin Individual. Los estudiantes sern evaluados segn su participacin en la clase la cual incluye los siguientes aspectos: Hacer preguntas relevantes. Compartir experiencias. Su rol tomado en las actividades grupales. Su desempeo en los juegos de roles. Los informes de entrega.
Pgina 14 de 16
2. REPORTE DEL ALUMNO RESULTADOS CONCLUSIONES
Pgina 15 de 16
3. BIBLIOGRAFIA Y REFERENCIAS Fitzgeral, Jerry. Controles internos para Sistemas de Computacin. Ed. Limusa Wiley. Mario Piattini Velthuis. Auditoria de Tecnologas y Sistemas de Informacin. Alfaomega - Rama. Jos Antonio Echenique Garca. Auditora en informtica 2 Edicin. Mac Graw Hill. ISO/IEC 20000 Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin. AENOR Ediciones. Enrique Hernndez Hernndez. Auditoria informtica Un enfoque metodolgico. CESCSA. ISO/IEC 27001:2005 Sistema de Gestin de Seguridad de la Informacin: Requisitos. ISO 20000-1:2005 Gestin del Servicio Parte 1: Especificaciones. ISO 19011:202 Directrices para la Auditoria de los Sistemas de Gestin de Calidad y Ambiental.
Pgina 16 de 16

Practica Mpai-2.1 Rev. in Curso

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Practica Mpai-2.1 Rev. in Curso

Enviado por

Direitos autorais:

Formatos disponíveis

INSTITUTO TECNOLGICO DE LZARO CRDENAS Departamento de Sistemas y Computacin Academia de Ingeniera en Sistemas Computacionales Prctica 2.

CLAVE DE PRCTICA MPAI-2.1

TIPO DE SESIN Taller

TIEMPO DE REALIZACIN 2 Horas

TIEMPO DE PRESENTACIN 1 Hora

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Autoridad para el programa de auditoria (5.1)

Mejora del programa de auditoria (5.6)

Competencia y evaluacin de los auditores (Capitulo 7) Hacer Actividades de auditoria (Capitulo 6)

Fig. 2 Proceso de Auditoria ISO 19011

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Emitido el: 07-29-2010 Revisin: 0

Você também pode gostar