trab col 1 09 completo

________________________________________________________

Trabajo Colaborativo 1

AUDITORIA DE SISTEMAS

Unidad Uno: Conceptos generales de la auditoria de sistemas

TUTOR IRINA NARVAEZ ESPINOZA

ESTUDIANTE

JOSE LUIS ESPINOSA ROYERO CODIGO: 73198724

JUAN CARLOS FORERO A.

COD 79319421

MIGUEL ANGEL VILLARREAL COD 79690617

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA INGENIERÍA DE SISTEMAS

CEAD: JOSÉ ACEVEDO Y GOMÉZ BOGOTÁ 2014

________________________________________________________


INTRODUCCIÓN

El capítulo uno, nos presenta la visión general de auditoria, como son los conceptos, la

importancia la clasificación, las técnicas, los procedimientos, de auditoria.

La importancia de la auditoria radica en que ella busca hacer que las empresas sean más

eficientes, mediante el análisis y validación de procedimientos.

Otro aspecto muy importante de la auditoria, es la independencia que se debe tener de

las diferentes áreas de la empresa, si existe una auditoria interna en la empresa esta debe

reportarle únicamente a la gerencia, o a la junta directiva, o al dueño de la empresa, esto

con el fin de darle una mayor autonomía, e independencia.

el resultado final de toda auditoria debe ser un informe, donde se presente las evidencias

completas del objeto auditado, se presenta o no un comentario de la situación, pero si deben

entregar unas recomendaciones, de acuerdo con las información recolectada.

________________________________________________________


OBJETIVOS.

Reconocer e identificar el protocolo y la estructura del curso.

Interactuar con nuestros compañeros de grupo en el aula.

Desarrollar a finalidad las temáticas que nos presenta el curso.

________________________________________________________


TRABAJO COLABORATIVO 1

ACTIVIDADES

1. Elaborar un mapa mental, donde se explique detalladamente los temas a tratar en la

unidad 1. El mapa debe incluir el desarrollo del curso en campus virtual. En el informe final,

se debe presentar un solo mapa producto de la consolidación de los aportes individuales.

Conceptos Generales de

Auditoria

Revisaremos el Origen,

Conceptos generales, La

importancia, Objetivos y

clasificación de la auditoria

en el primer capitulo

Encontramos los temas del capitulo dos: Las Técnicas que se aplican en el trabajo de auditoría, la entrevista como una técnica de auditoría

Es un capitulo de gran importancia donde esta consignada toda la actividad de la auditoria, comprender el Desarrollo del programa de auditoria. Las Normas personales o generales, Relativas al trabajo de campo Y las normas relativas a la elaboración del Informe de Auditoría. La Metodología de la auditoria.

En el campus virtualencontramos la agenda del curso para la unidad 1 Evaluaciones: Fecha Entrega Act. 3 Pre saberes Ago. 9 Act. 4 Evaluativa Ago. 9 Act. 5 Quiz Ago. 9 Act. 6 Trabajo Colaborativo Jul. 20

El Programa de

Auditoria

Continuamos

con la Und. dos

________________________________________________________


2. Cada integrante del grupo debe formular sus expectativas de aprendizaje con

respecto al contenido de la unidad 1 y opinar de forma argumentada al menos en 2

de las participaciones de los compañeros.

En el módulo se evidencia la amplitud de la auditoria, cómo se presenta en la clasificación

hay tantas auditorias como tipos de empresas. Aunque los fundamentos se emplean en

cualquier tipo de auditoria, la especialización es importante porque un auditor no se debe

someter a la información que el usuario o cliente le quiera proporcionar, el auditor debe

tener un conocimiento profundo del objeto de la auditoria. Para evitar imprecisiones en la

información o recomendación incoherentes en el informe general.

Por esto mi interés en profundizar todo lo que respecta al tema de auditoria de sistemas,

así no sea para desarrollar mi parte profesional en esta área de la ingeniería, si considero

que es supremamente importante aprender a reconocer las debilidades de los sistemas de

información y las los procedimiento o técnicas para mejorar, los procesos.

noto que en esta unidad, se muestra la amplitud de la especialización ya que hay varios

objetos a auditar cuando se habla de sistemas de información, según se nombran en el

módulo: Auditoria informática, Auditoria con el computador, Auditoria sin el computador,

Auditoria a la gestión informática, Auditoria al sistema de cómputo, Auditoria en el entorno

del computador, Auditoria sobre la seguridad de sistemas computacionales, Auditoria a los

sistemas de redes, Auditoria integral a los centros de cómputo, Auditoria ergonómica de

sistemas computacionales. Como vemos de una especialidad hay un gran número de

objetivos a auditar, hecho que da relevancia a la idea que el auditor debe ser un

especialista según sea el área de apoyo.

También se muestra que una de las técnicas empleada por la auditoria se apoya en la

informática, lo que da una relevancia suprema o denota que la auditoria y la informática son

un equipo o un complemento a la hora de desarrollar estas actividades.

3. EL grupo debe consultar sobre las normas las normas COBIT. (Indicar la versión).

Una vez revisadas las normas, es importante que se explique y comprenda el cubo

COBIT.

COBIT 5.0

Cobit corresponde a las siglas en español de “Objetivos de Control para la Información

y Tecnologías Relacionadas”

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma

en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de

control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un

recurso crítico para la gerencia, los profesionales de control y los auditores.

________________________________________________________


Este es el alcance o la cobertura en la versión 5 a continuación vemos un cuadro donde

nos indica el alcance de acuerdo con la versión.

Porque utilizar COBIT? de todos es conocida la importancia que tiene hoy la información,

por esto es importante el buen manejo que de ella se realice en las empresas, cual es el

área que se encarga de la información? Sin lugar a dudas en el área de tecnología la

responsable de este activo invaluable. Adicionalmente cada dia, se complican más los

requisitos externos, tanto legales como de cumplimiento regulatorio y contractual,

relacionados con el uso de la información y la tecnología en la Organización, amenazando

el patrimonio con multas si no se cumplen. Es esta la necesidad de las empresas a

implementar COBIT5 proporcionando un marco integral que ayuda a las Organizaciones a

lograr sus metas y entregar valor mediante un gobierno y una administración efectivos de

la TI de la Organización.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la

filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos

Gobierno Corporativo de TI

COBIT 5

Gobierno de TI

COBIT4.0/4.1

Administración

COBIT3

Control

COBIT2

Auditoría

COBIT1

2005/7

2000 1998

Evo

lució

n d

el A

lca

nce

1996

Val IT 2.0

(2008)

Risk IT

(2009)

________________________________________________________


naturalmente agrupados para proveer la información pertinente y confiable que requiere

una organización para lograr sus objetivos.

Misión:

Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de

objetivos de control para tecnología de información que sea de uso cotidiano para gerentes

y auditores

Usuarios:

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control

de los productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de

TI, su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de

negocio en su responsabilidad de controlar los aspectos de información del proceso, y por

todos aquellos con responsabilidades en el campo de la TI en las empresas.

Características:

Orientado al negocio

Alineado con estándares y regulaciones "de facto"

Basado en una revisión crítica y analítica de las tareas y actividades en TI

Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Por la complejidad de aspectos que maneja COBIT es muy compleja su comprensión y

diseño, por esto hay múltiples niveles de capacitación de acuerdo al nivel de profundidad

que se quiera explorar, para esto se desarrolló el cubo COBIT que muestra de manera

gráfica la interacción de los diferentes componentes a analizar.

________________________________________________________


El cubo muestra inicialmente, cómo bajo la gestión de TI y la utilización eficiente de los

recursos se busca atender las expectativas o requerimientos del negocio.

1. Información de las necesidades del negocio o los criterios de la información

Eficacia: se refiere a la información relevante y pertinente para el proceso de

negocio, entregados con oportunidad.

Eficiencia: se refiere a la entrega de información a través de un mejor uso de los

recursos de forma más productiva y rentable.

Confidencialidad: la protección de confidencialidad con el fin de evitar que su

información de la divulgación indebida.

Integridad: se refiere a la fiabilidad de la información, y su validez.

Disponibilidad: se refiere a la oportunidad de la información cuando sea

requiera.

Conformidad: cumplimiento de las leyes, regulaciones y obligaciones

contractuales.

________________________________________________________


Fiabilidad: se refiere a la entrega de información adecuada para la toma de

decisiones.

2. Procesos de TI

COBIT describe el ciclo de vida de TI con la ayuda de 4 dominios:

Planeación y Organización

Adquisiciones e Implantación

Entrega y Soporte

Monitoreo y Evaluación

Los Procesos son actividades con controles naturales. Existen 34 procesos para los 4

dominios. Estos procesos especifican que requiere el negocio para alcanzar sus objetivos.

Las Actividades son acciones que son requeridas para lograr resultados medibles

3. Recursos de TI

Los procesos de TI administran los recursos de TI para generar, entregar y almacenar

información que las organizaciones requieren para lograr sus objetivos

Los 5 Principios de COBIT 5:

Satisfacer las necesidades de las Partes Interesadas (Crear parámetros de Valor

que son el cumplimiento de las metas específicas de cara una de las partes

involucradas )

Cubrir la Compañía de Forma Integral (el sistema de gobierno para la TI corporativa

propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de

gobierno corporativo)

Aplicar un solo Marco Integrado (está alineado con los últimos marcos legales y

normas relevantes usados por las organizaciones)

Habilitar un Enfoque Holístico (cubre todos los aspectos de la organización )

Separar el Gobierno de la Administración (Quienes fijan las metas, Quienes las

Buscan)

Procesos:

PO1 Definición de un plan Estratégico

Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y

los requerimientos de TI de negocio, para asegurar sus logros futuros.

Su realización se concreta a través un proceso de planeación estratégica emprendido en

________________________________________________________


intervalos regulares dando lugar a planes a largo plazo, los que deberán ser traducidos

periódicamente en planes operacionales estableciendo metas claras y concretas a corto

plazo, teniendo en cuenta:

La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la

responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan

la misión y las metas generales de la organización.

El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar

los sistemas existentes en términos de: nivel de automatización de negocio,

funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el

propósito de determinar el nivel de soporte que reciben los requerimientos del

negocio de los sistemas existentes.

Los cambios organizacionales, se deberá asegurar que se establezca un proceso

para modificar oportunamente y con precisión el plan a largo plazo de tecnología de

información con el fin de adaptar los cambios al plan a largo plazo de la organización

y los cambios en las condiciones de la TI

Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos.

PO2 Definición de la Arquitectura de Información

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera

posible los sistemas de información, a través de la creación y mantenimiento de un modelo

de información de negocio, asegurándose que se definan los sistemas apropiados para

optimizar la utilización de esta información, tomando en consideración:

La documentación deberá conservar consistencia con las necesidades permitiendo a los

responsables llevar a cabo sus tareas eficiente y oportunamente.

El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización

y deberá ser continuamente actualizado.

La propiedad de la información y la clasificación de severidad con el que se establecerá un

marco de referencia de clasificación general relativo a la ubicación de datos en clases de

información.

PO3 Determinación de la dirección tecnológica

Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente,

satisfaciendo los requerimientos de negocio, a través de la creación y mantenimiento de un

plan de infraestructura tecnológica, tomando en consideración:

La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar

con los planes a largo y corto plazo de tecnología de información y debiendo abarcar

aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de

migración.

El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el

desarrollo y mantenimiento del plan de infraestructura tecnológica.

________________________________________________________


Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y

evolución de la infraestructura), con lo que se evaluará sistemáticamente el plan de

infraestructura tecnológica.

Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan

de infraestructura tecnológica.

PO4 Definición de la organización y de las relaciones de TI

Objetivo: Prestación de servicios de TI

Esto se realiza por medio de una organización conveniente en número y habilidades, con

tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:

El comité de dirección el cual se encargara de vigilar la función de servicios de

información y sus actividades.

Propiedad, custodia, la Gerencia deberá crear una estructura para designar

formalmente a los propietarios y custodios de los datos. Sus funciones y

responsabilidades deberán estar claramente definidas.

Supervisión, para asegurar que las funciones y responsabilidades sean llevadas a

cabo apropiadamente

Segregación de funciones, con la que se evitará la posibilidad de que un solo

individuo resuelva un proceso crítico.

Los roles y responsabilidades, la gerencia deberá asegurarse de que todo el

personal deberá conocer y contar con la autoridad suficiente para llevar a cabo las

funciones y responsabilidades que le hayan sido asignadas

La descripción de puestos, deberá delinear claramente tanto la responsabilidad

como la autoridad, incluyendo las definiciones de las habilidades y la experiencia

necesarias para el puesto, y ser adecuadas para su utilización en evaluaciones de

desempeño.

Los niveles de asignación de personal, deberán hacerse evaluaciones de

requerimientos regularmente para asegurar para asegurar una asignación de

personal adecuada en el presente y en el futuro.

El personal clave, la gerencia deberá definir e identificar al personal clave de

tecnología de información.

PO5 Manejo de la inversión

Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando

el financiamiento y el control de desembolsos de recursos financieros.

Su realización se concreta a través presupuestos periódicos sobre inversiones y

operaciones establecidas y aprobados por el negocio, teniendo en cuenta:

Las alternativas de financiamiento, se deberán investigar diferentes alternativas de

financiamiento.

________________________________________________________


El control del gasto real, se deberá tomar como base el sistema de contabilidad de la

organización, mismo que deberá registrar, procesar y reportar rutinariamente los costos

asociados con las actividades de la función de servicios de información

La justificación de costos y beneficios, deberá establecerse un control gerencial que

garantice que la prestación de servicios por parte de la función de servicios de información

se justifique en cuanto a costos. Los beneficios derivados de las actividades de TI deberán

ser analizados en forma similar.

PO6 Comunicación de la dirección y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones

del alto nivel (gerencia), se concreta a través de políticas establecidas y transmitidas a la

comunidad de usuarios, necesitándose para esto estándares para traducir las opciones

estratégicas en reglas de usuario prácticas y utilizables. Toma en cuenta:

Los código de ética / conducta, el cumplimiento de las reglas de ética, conducta,

seguridad y estándares de control interno deberá ser establecido por la Alta Gerencia

y promoverse a través del ejemplo.

Las directrices tecnológicas

El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración de

la implementación de sus políticas.

El compromiso con la calidad, la Gerencia de la función de servicios de información

deberá definir, documentar y mantener una filosofía de calidad, debiendo ser

comprendidos, implementados y mantenidos por todos los niveles de la función de

servicios de información.

Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que

esta política de seguridad y de control interno especifique el propósito y los objetivos,

la estructura gerencial, el alcance dentro de la organización, la definición y

asignación de responsabilidades para su implementación a todos los niveles y la

definición de multas y de acciones disciplinarias asociadas con la falta de

cumplimiento de estas políticas.

PO7 Administración de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así

los requerimientos de negocio, a través de técnicas sólidas para administración de personal,

tomando en consideración:

El reclutamiento y promoción, deberá tener como base criterios objetivos, considerando

factores como la educación, la experiencia y la responsabilidad.

Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como

base una educación, entrenamiento y o experiencia apropiados, según se requiera

La capacitación, los programas de educación y entrenamiento estarán dirigidos a

incrementar los niveles de habilidad técnica y administrativa del personal.

La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas

evaluaciones sean llevada a cabo regularmente según los estándares establecidos y las

________________________________________________________


responsabilidades específicas del puesto. Los empleados deberán recibir asesoría sobre su

desempeño o su conducta cuando esto sea apropiado.

PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales. Para ello se

realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto

en TI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en

consideración:

Definición y mantenimiento de procedimientos para la revisión de requerimientos

externos, para la coordinación de estas actividades y para el cumplimiento continuo

de los mismos.

Leyes, regulaciones y contratos

Revisiones regulares en cuanto a cambios

Búsqueda de asistencia legal y modificaciones

Seguridad y ergonomía con respecto al ambiente de trabajo de los usuarios y el

personal de la función de servicios de información.

Privacidad

Propiedad intelectual

Flujo de datos externos y criptografía

PO9 Evaluación de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la

provisión de servicios de TI. Para ello se logra la participación de la propia organización en

la identificación de riesgos de TI y en el análisis de impacto, tomando medidas económicas

para mitigar los riesgos y se toma en consideración:

Identificación, definición y actualización regular de los diferentes tipos de riesgos de

TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se pueda determinar

la manera en la que los riesgos deben ser manejados a un nivel aceptable.

Definición de alcances, limites de los riesgos y la metodología para las evaluaciones

de los riesgos.

Actualización de evaluación de riesgos

Metodología de evaluación de riesgos

Medición de riesgos cualitativos y/o cuantitativos

Definición de un plan de acción contra los riesgos para asegurar que existan

controles y medidas de seguridad económicas que mitiguen los riesgos en forma

continúa.

Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de

la política organizacional, de la incertidumbre incorporada al enfoque de evaluación

de riesgos y de que tan económico resulte implementar protecciones y controles.

PO10 Administración de proyectos

________________________________________________________


Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al

presupuesto de inversión

Para ello se realiza una identificación y priorización de los proyectos en línea con el plan

operacional por parte de la misma organización. Además, la organización deberá adoptar y

aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido y

se toma en consideración:

Definición de un marco de referencia general para la administración de proyectos

que defina el alcance y los límites del mismo, así como la metodología de

administración de proyectos a ser adoptada y aplicada para cada proyecto

emprendido. La metodología deberá cubrir, como mínimo, la asignación de

responsabilidades, la determinación de tareas, la realización de presupuestos de

tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.

El involucramiento de los usuarios en el desarrollo, implementación o modificación

de los proyectos.

Asignación de responsabilidades y autoridades a los miembros del personal

asignados al proyecto.

Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la

siguiente fase.

Presupuestos de costos y horas hombre

Planes y metodologías de aseguramiento de calidad que sean revisados y

acordados por las partes interesadas.

Plan de administración de riesgos para eliminar o minimizar los riesgos.

Planes de prueba, entrenamiento, revisión post-implementación.

PO11 Administración de calidad

Objetivo: Satisfacer los requerimientos del cliente

Para ello se realiza una planeación, implementación y mantenimiento de estándares y

sistemas de administración de calidad por parte de la organización y se toma en

consideración:

Definición y mantenimiento regular del plan de calidad, el cual deberá promover la

filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y

cómo.

Responsabilidades de aseguramiento de calidad que determine los tipos de

actividades de aseguramiento de calidad tales como revisiones, auditorias,

inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general

de calidad.

Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de

desarrollo, adquisición, implementación y mantenimiento de sistemas de

información.

Documentación de pruebas de sistemas y programas

Revisiones y reportes de aseguramiento de calidad

________________________________________________________


CONCLUSIONES.

La auditoría se apalanca de un método y un procedimiento exacto para conseguir los

objetivos.

La diversidad de auditorías radica en la diversidad de empresas. Pero todas pueden utiliar

cobit para desarrollar las actividades de control de procesos y operación.

Es de suma importancia la independencia de la auditoria con relación al ente auditado.

El informe final es el objetivo de la auditoria.

Reconocer Cobit como una herramienta para integrar IT con las necesidades o

expectativas de la empresa.

Uno de los ejes fundamentales de Cobit es el manejo de la Información ya queconsidera

que esta es el activomas valioso de cualquier empresa.

El gobierno de TI debe estar estrategicamente alineado con el gobierno Corporativo con el

fin de generar valor en cada uno de los procesos y operacionesde las empresas.

Dificilmente una empresa perdura y crece sin controles, politicas y procedimientos claros.

________________________________________________________


BIBLIOGRAFÍA

Modulo Auditoria de Sistemas. Adriana Aguirre Cabrera Directora Nacional, UNAD, 175 Pág.

Aula virtual programación lineal, www.unadvirtual.org.

http://pt.wikipedia.org/wiki/COBIT

http://www.google.com/url?sa=t&rct=j&q=que+es+cobit+5+espa%C3%B1ol&source=web&cd=3&ved=0CEcQFjAC&url=http%3A%2F%2Fwww.isaca.org%2FCOBIT%2FDocuments%2FCOBIT5-Introduction-Spanish.ppt&ei=dvXGU5ueLoPJsQS7-4DADQ&usg=AFQjCNHwaWjs0bKzkjEJ4dgoNAs1BrCKvA&sig2=uMCm2w5k5xs12Qo5TmPibg.

http://diagnosticos.iteraprocess.com/documentos/cobit.pdf

http://www.unadvirtual.org/

http://pt.wikipedia.org/wiki/COBIT

http://www.google.com/url?sa=t&rct=j&q=que+es+cobit+5+espa%C3%B1ol&source=web&cd=3&ved=0CEcQFjAC&url=http%3A%2F%2Fwww.isaca.org%2FCOBIT%2FDocuments%2FCOBIT5-Introduction-Spanish.ppt&ei=dvXGU5ueLoPJsQS7-4DADQ&usg=AFQjCNHwaWjs0bKzkjEJ4dgoNAs1BrCKvA&sig2=uMCm2w5k5xs12Qo5TmPibg



