EJEMPLO REALES DE PLANIFICACIÓN (AUDITORÍAS DE SISTEMAS)
ELABORACIÓN DE PLANIFICACIÓN.
Importancia de la Planificación de la Gerencia de Auditoría:
• Establecer las áreas críticas del Banco.
• Facilidad para establecer control interno preventivo.
• Asignación de prioridad para las auditorías.
• Optimizar la gestión dentro del departamento o gerencia de auditoría.
• Permite realizar actividades no previstas (Manejo de Holguras).
Aspectos a considerar para la elaboración de la planificación:
• Recurso humano disponible. (Plan de vacaciones, adiestramiento)
• Alcance
• Prioridades del Negocio.
• Contabilización de riesgos.
• Estudio de la documentación existente. (Organigramas, manuales, etc...)
Project de Planificación Semestral:
• Se indican los tiempos establecidos para realizar las auditorías.
• Distribución de los recursos.
MEMORANDO DE PLANIFICACIÓN
AUDITORÍA DE SISTEMAS
V.P. DE TECNOLOGÍA
INTERNET BANKING
NOVIEMBRE DE 2009
I. Identificación del Area.
Se da una breve descripción del área a evaluar: (Estructura organizativa)
II. Resultados de la última evaluación
Se reflejan las debilidades presentadas en la última revisión (Sólo Tips).
III. Objetivos generales
Efectuar una revisión a los aspectos de seguridad física y lógica de los sistemas de información en el Area de Banca Virtual..
IV. Personal asignado y tiempo estimado para la auditoría
Auditor Asignación Cargo
Alexis Madriz
Auditor de Sistemas V
Anthony Urbina Auditor de Sistemas IV
Lenis Anzola Auditor de Sistemas III
Se estima que el proceso de auditoría “in situ” será realizado en un lapso de quince (15) días hábiles, el cual se iniciará el 09 de noviembre de 2009 y finalizará el 27 de noviembre del mismo año.
Actividad
Desde Hasta Días hábiles
Presentación del memorándo de presentación
Tareas de campo 09-11-09 27-11-09 15
(*) Los días hábiles son estimados, dado que están sujetos al tiempo utilizado por las áreas involucradas.
Extra-situ
Actividades Responsable Días
Hombre Horas
Hombre
Elaboración de memorando de presentación y requerimientos. Anthony Urbina / Lenis Anzola 01 07
Planificación de la auditoría Alexis Madriz 02 14
Aprobación de la planificación Prof. Ninoska Piccardo 01 07
Elaboración de cheklist Anthony Urbina
Planificación de reuniones Prof. Ninoska Piccardo
Elaboración del informe de inspección Lenis, Anthony, Alexis 03 21
Revisión, aprobación y remisión de informe (*) LD / VM / JG / JCV / EA / IO 07 49
Elaboración de los papeles de trabajo
Sub-total Extra-situ 19 133
(*) Los días hábiles son estimados, dado que están sujetos al tiempo utilizado por las áreas involucradas.
Trabajo De Campo
Total
Funcionario SERVIDOR WEB FIREWALL PROXYS PRUEBAS DE PENETRACIÓN SEGURIDAD FÍSICA DE LA PLATAFORMA SEGURIDAD LÓGICA CONTROL Y MONITOREO INTERNO Días hombre Horas hombre
Lenis Anzola
Anthony Urbina
Alexis Madriz
Total horas en campo
(1) Incluye revisión de los manuales de políticas, normas y procedimientos, aplicaciones y proyectos.
(2) Por “Administración” se entiende reuniones extra-situ, supervisión de personal y control de los avances de la inspección.
Elaborado por: Autorizado por:
Lenis Anzola Prof Ninoska Piccardo
Auditor de Sistemas III Jefe del Departamento
MEMORANDO DE PRESENTACIÓN
Caracas,
Sr.
Enrique Burgos
V.P. de Tecnología
Presente.
Me dirijo a usted en la oportunidad de informarle que los auditores Alexis Madriz, Antnony Urbina, Héctor Noguera y Lenis Anzola, portadores de las cédulas de identidad Nro. 5.965.843, 16.451.045, 6.692.962 y 9.481.110 respectivamente, están autorizados para efectuar una evaluación a la Vicepresidencia que usted coordina, específicamente al área de Banca Virtual.
La referida evaluación tendrá como objetivo efectuar revisión a los aspectos de seguridad física y lógica de los sistemas de información.
Agradezco dictar las instrucciones pertinentes, a fin de que se le brinde la asistencia requerida para que cumpla cabalmente la misión que le ha sido encomendada.
Atentamente,
Prof. Ninoska Piccardo
Gerente de Auditoría de Sistemas
LISTAS DE CHEQUEO
ELABORACIÓN DE PLANIFICACIÓN.
Importancia de la Planificación de la Gerencia de Auditoría:
• Establecer las áreas críticas del Banco.
• Facilidad para establecer control interno preventivo.
• Asignación de prioridad para las auditorías.
• Optimizar la gestión dentro del departamento o gerencia de auditoría.
• Permite realizar actividades no previstas (Manejo de Holguras).
Aspectos a considerar para la elaboración de la planificación:
• Recurso humano disponible. (Plan de vacaciones, adiestramiento)
• Alcance
• Prioridades del Negocio.
• Contabilización de riesgos.
• Estudio de la documentación existente. (Organigramas, manuales, etc...)
Project de Planificación Semestral:
• Se indican los tiempos establecidos para realizar las auditorías.
• Distribución de los recursos.
MEMORANDO DE PLANIFICACIÓN
AUDITORÍA DE SISTEMAS
V.P. DE TECNOLOGÍA
INTERNET BANKING
NOVIEMBRE DE 2009
I. Identificación del Area.
Se da una breve descripción del área a evaluar: (Estructura organizativa)
II. Resultados de la última evaluación
Se reflejan las debilidades presentadas en la última revisión (Sólo Tips).
III. Objetivos generales
Efectuar una revisión a los aspectos de seguridad física y lógica de los sistemas de información en el Area de Banca Virtual..
IV. Personal asignado y tiempo estimado para la auditoría
Auditor Asignación Cargo
Alexis Madriz
Auditor de Sistemas V
Anthony Urbina Auditor de Sistemas IV
Lenis Anzola Auditor de Sistemas III
Se estima que el proceso de auditoría “in situ” será realizado en un lapso de quince (15) días hábiles, el cual se iniciará el 09 de noviembre de 2009 y finalizará el 27 de noviembre del mismo año.
Actividad
Desde Hasta Días hábiles
Presentación del memorándo de presentación
Tareas de campo 09-11-09 27-11-09 15
(*) Los días hábiles son estimados, dado que están sujetos al tiempo utilizado por las áreas involucradas.
Extra-situ
Actividades Responsable Días
Hombre Horas
Hombre
Elaboración de memorando de presentación y requerimientos. Anthony Urbina / Lenis Anzola 01 07
Planificación de la auditoría Alexis Madriz 02 14
Aprobación de la planificación Prof. Ninoska Piccardo 01 07
Elaboración de cheklist Anthony Urbina
Planificación de reuniones Prof. Ninoska Piccardo
Elaboración del informe de inspección Lenis, Anthony, Alexis 03 21
Revisión, aprobación y remisión de informe (*) LD / VM / JG / JCV / EA / IO 07 49
Elaboración de los papeles de trabajo
Sub-total Extra-situ 19 133
(*) Los días hábiles son estimados, dado que están sujetos al tiempo utilizado por las áreas involucradas.
Trabajo De Campo
Total
Funcionario SERVIDOR WEB FIREWALL PROXYS PRUEBAS DE PENETRACIÓN SEGURIDAD FÍSICA DE LA PLATAFORMA SEGURIDAD LÓGICA CONTROL Y MONITOREO INTERNO Días hombre Horas hombre
Lenis Anzola
Anthony Urbina
Alexis Madriz
Total horas en campo
(1) Incluye revisión de los manuales de políticas, normas y procedimientos, aplicaciones y proyectos.
(2) Por “Administración” se entiende reuniones extra-situ, supervisión de personal y control de los avances de la inspección.
Elaborado por: Autorizado por:
Lenis Anzola Prof Ninoska Piccardo
Auditor de Sistemas III Jefe del Departamento
MEMORANDO DE PRESENTACIÓN
Caracas,
Sr.
Enrique Burgos
V.P. de Tecnología
Presente.
Me dirijo a usted en la oportunidad de informarle que los auditores Alexis Madriz, Antnony Urbina, Héctor Noguera y Lenis Anzola, portadores de las cédulas de identidad Nro. 5.965.843, 16.451.045, 6.692.962 y 9.481.110 respectivamente, están autorizados para efectuar una evaluación a la Vicepresidencia que usted coordina, específicamente al área de Banca Virtual.
La referida evaluación tendrá como objetivo efectuar revisión a los aspectos de seguridad física y lógica de los sistemas de información.
Agradezco dictar las instrucciones pertinentes, a fin de que se le brinde la asistencia requerida para que cumpla cabalmente la misión que le ha sido encomendada.
Atentamente,
Prof. Ninoska Piccardo
Gerente de Auditoría de Sistemas
LISTAS DE CHEQUEO
Banca Virtual Sí No N/A Observaciones
¿Existen herramientas de monitoreo de las transacciones efectuadas vía Internet?
¿Existe contrato de servicio establecido entre el cliente y la Institución proveedora de los productos y/o servicios de la Banca Virtual?
¿Existe un inventario de las transacciones autorizadas por la Institución, para que sean ejecutadas por el cliente a través de la Banca Virtual?
¿Existe procedimiento de las características financieras, comerciales, funcionales y técnicas de los productos y servicios que son ofrecidos por la Institución y que actualmente se encuentran en ambiente productivo?
¿Existe un diagrama de interconexión y telecomunicaciones de la red que soporta los servicios de Banca Virtual?
¿Existe documentación sobre topologías de la red que soporta los servicios de Banca Virtual, interna y externa?
¿Existe documentación sobre las formas de enmascaramiento de las direcciones IP utilizadas por los cibernautas que acceden a la red de la Institución, en donde se incluyen aquellos métodos utilizados para monitorear los accesos de los clientes de la Institución a la red interna? 0
¿Existen normas y procedimientos que soportan los procesos operativos, administrativos, contables, sistemas y de atención al cliente, que están relacionados con los servicios y productos ofrecidos a través de la Banca Virtual?
¿Existen contratos de servicios con empresas encargadas de suministrar la seguridad y monitoreo de las transacciones a la red?
METODOLOGÍA DE TRABAJO (PLANIFICACIÓN)
1. La planificación de las auditorías se realizará semestralmente. Para cada auditoría a realizar, será elaborado un memorándum de planificación, con el objeto de desarrollarlo en forma ordenada, oportuna y eficiente. Para ello, se considerará la planificación interna de la Gerencia basada en la medición del riesgo asociado al área a evaluar, alcance, fechas tentativas de inicio y término de la evaluación “in situ” y los recursos humanos disponibles que serán asignados a cada actividad, así como la prioridad definida por la V.P. de Auditoría.
2. Es importante destacar que al momento de elaborar la planificación semestral de inspecciones se deberá tomar en cuenta los proyectos definidos por el Departamento de Auditoría, así como, los solicitados por la Junta Directiva. Adicionalmente, se considerará el plan de vacaciones y adiestramiento del recurso humano disponible.
3. La planificación de la visita de inspección “In-Situ” constituye el plan o esquema de trabajo que será ejecutado por cada uno de los auditores de sistemas, durante el proceso de evaluación (Trabajo de Campo). Para su desarrollo, los jefes de grupo deben considerar la estructura organizativa del área a evaluar, así como, el alcance y las limitaciones de la evaluación, enfoque de la revisión, el tipo de informe a generar, el tiempo que será empleado en la auditoría (cantidad de horas-hombre), la identificación de áreas críticas y el recurso humano disponible.
4. Para el desarrollo de una adecuada planificación de reuniones, los Líderes de Inspección deben considerar los siguientes aspectos:
Conocimiento del área a evaluar: Los auditores de sistemas asignados a una evaluación deben obtener información que les permita conocer el ámbito tecnológico del área a evaluar. Tomando en consideración lo siguiente:
a. Revisión de los informes de auditorías efectuados.
b. Definición y revisión de las instrucciones formuladas en el informe anterior y el seguimiento posterior.
c. Definición de los requerimientos de información.
Desarrollo de la Estrategia de Inspección de Sistemas: Ésta será definida por el Jefe de Departamento, una vez que se haya seleccionado el área a evaluar y el tipo de inspección a ejecutar, razón por la cual deberá ser contemplada antes de preparar el programa de inspección y de realizar la misma. Para lo cual deberá tomar en consideración lo siguiente:
a. Discusión del plan de trabajo con miembros del equipo de auditoría, determinando para ello el alcance y objetivo de la inspección, fechas de inicio y finalización estimada, registro y control de asistencia, reporte de actividades, entre otros aspectos.
b. Asignación de las actividades al personal, así como los objetivos y las horas hombre a emplear.
c. El plan de trabajo deberá ser documentado con un memorándum y almacenado, conjuntamente con los papeles de trabajo, en los cuales se constate evidencias suficientes y competentes de esta planificación.
No hay comentarios:
Publicar un comentario