Escolar Documentos
Profissional Documentos
Cultura Documentos
Seguridad y confidencialidad.
ÁREAS DE LA AUDITORIA DE SISTEMAS
ÁREAS DE LA AUDITORIA
DE SISTEMAS
Auditoría física
Auditoría de la ofimática
Auditoría de la dirección
Auditoría de la explotación
Auditoría del desarrollo
Auditoría del mantenimiento
Auditoría de bases de datos
Auditoria de técnica de sistemas
Auditoria de la calidad
Auditoria de la seguridad de información
Auditoria de redes
Auditoria de aplicaciones
IMPORTANCIA DE LA AUDITORIA DE SISTEMAS
13
CONTROL INTERNO
Controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos,
estándares y normas fijadas por la Dirección de la organización o
la Dirección informática.
Comprobar:
Verificar,
confirmar la
veracidad o la
exactitud de
algo.
Supervisión:
Es ejercer la
Inspeccionar:
inspección
Examinar,
superior en
reconocer
trabajos
atentamente
realizados por
otros CONTROL
Intervenir:
Fiscalizar:
Examinar y
Criticar y traer
censurar las
a juicio las
cuentas con
acciones u
autoridad
obras de
suficiente para
alguien
ello.
DEFINICIÓN DE CONTROL GUBERNAMENTAL (LEY N° 27785)
CONTROL GUBERNAMENTAL
· Normas Legales
· Lineamientos de
· Cumplimiento
Política
· Planes de Acción
Cómo
· Sistemas de
Evaluando administración
· Sistemas de gerencia
· Sistema de Control
COMPONENTES DE CONTROL INTERNO (LEY N° 28716 VS COSO)
CONTROL DE
EVALUACION
6
9
10
4
8
37 normas básicas
GESTIÓN POR PROCESOS
En general, cualquier organización tiene establecida una gestión funcional, esto es, se
trabaja en departamentos con una definición clara de la jerarquía y se concentra la
atención en el resultado de las actividades de cada persona o cada departamento. Al
adoptar un enfoque de gestión por procesos, no se elimina la estructura de
departamentos de la organización pero se concentra la atención en el resultado de cada
proceso y en la manera en que éstos aportan valor al cliente.
PRINCIPIOS DE LA CALIDAD
Principio 1: Enfoque al Cliente
Principio 2: Liderazgo
Principio 3: Participación del personal
Principio 4: Enfoque basado en procesos
Principio 5: Enfoque de sistema para la gestión
Principio 6: Mejora continua
“La mejora continua del desempeño global de una organización debería ser un objetivo
permanente de ésta”.
Esa mejora continua de los procesos se consigue siguiendo el ciclo PCDA del Dr. E.
Deming: Planificar – Desarrollar – Controlar – Actuar, para mejorar.
Principio 7: Enfoque basado en hechos para la toma de decisión
“Las decisiones se basan en el análisis de los datos y la información”.
Lo que no se puede medir no se puede controlar, y lo que no se puede controlar es un
caos. Esto no se puede olvidar.
Principio 8: Relaciones mutuamente beneficiosas con el proveedor
“Una organización y sus proveedores son interdependientes, y una relación mutuamente
beneficiosa aumenta la capacidad de ambos para crear valor”.
Es necesario desarrollar alianzas estratégicas con los proveedores para ser más
competitivos y mejorar la productividad y la rentabilidad. En las alianzas, gana tanto la
organización como los proveedores.
Beneficios
BENEFICIOS de la implementación
DE LA IMPLEMENTACION DEL SCI del SCI
LA TRIPLE A (AAA)
¿QUÉ ES CONTROL INTERNO?
Alcance
Esta Norma Internacional proporciona directrices sobre la auditoría a sistemas
de gestión, incluyendo los principios de auditoría, el manejo de un programa
de auditoría y la realización de las auditorías a sistemas de gestión, así como
directrices sobre la evaluación de competencia de los individuos involucrados
en el proceso de auditoría, incluyendo el personal que maneja el programa de
auditoría, los auditores y los equipos de auditoría.
Libro: El Arte de la Guerra de Sun Tzu Se tomaran orales a partir de la tercera clase.
Seguridad de Información (SI)
La información es un activo que, como otros activos importantes del
negocio, tiene valor para la organización y requiere en consecuencia
una protección adecuada.
La SI protege a ésta de un amplio rango de amenazas para asegurar
la continuidad del negocio, minimizar los daños a la organización y
maximizar el retorno de las inversiones y las oportunidades de
negocios.
La información es un activo que, como otros activos importantes del negocio, tiene
valor para la organización y requiere en consecuencia una protección adecuada. Esto es
muy importante en el creciente ambiente interconectado de negocios. Como resultado
de esta creciente interconectividad, la información esta expuesta a un mayor rango de
amenazas y vulnerabilidades.
Relaciones de la Seguridad
QUE ES LA NTP ISO 27001:2014
ISO 27001 es una norma internacional emitida por la Organización
Internacional de Normalización (ISO) y describe cómo gestionar la seguridad
de la información en una empresa.
4. Contexto de
la organización
Estructura la Seguridad Norma NTP ISO
27001:2014
LA ISO 27001:2014
Su trabajo se centra en función a 8 principios básicos de gestión:
1. Orientación al cliente.
2. Liderazgo.
4. Enfoque de procesos.
6. Mejora continua.
Capítulo de ISO
Registros 27001:2014
Registros de capacitación, habilidades, experiencia y
calificaciones 7.2
Resultados de supervisión y medición 9.1
Programa de auditoría interna 9.2
Resultados de las auditorías internas 9.2
Resultados de la revisión por parte de la dirección 9.3
Resultados de acciones correctivas 10.1
Tenemos que tener presente que estamos en una sociedad en la que la falta
de confianza de nuestros clientes (beneficiarios), afecta a nuestra imagen
institucional, de la misma manera que la calidad y funcionalidad de nuestros
servicios, y por lo tanto, se debe cuidar tanto un aspecto como el otro.
Recomendación del auditor de sistemas
• Siempre se explicitará la palabra "Recomendación", y ninguna otra.
• Deberá entenderse por sí sola, por su simple lectura.
• Deberá estar suficientemente soportada en el propio texto.
Deberá ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada
su implementación.
La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.
Deberán evitarse las recomendaciones demasiado generales.
No deberán redactarse expresiones como "... se den las órdenes oportunas para
que... ".
Se deberá decir: "... se elabore un programa para que en
60 días...".
El Éxito depende de:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información
sin fundamento.-Evidencias-).
4 1
Actuar Planificar
3 2
Revisar Hacer
Vocabulario del Consultor
Agregar valor.-Se denomina Valor Agregado o Valor Añadido cuando a un producto se
le agregan características extras a las que tiene con el fin de darle mayor valor
comercial y lograr cierta diferenciación para el que lo aplica.
Skill.- Habilidad-Destreza
Relevante.-Significativo-Excelente.
Video de Consultor
https://www.youtube.com/watch?v=WFwsho6Ae5Y
Muchas Gracias