Auditoría Informática
Reunimos y evaluamos evidencias para determinar si los sistemas de información y controles asociados permiten alcanzar los objetivos de tu empresa y previenen o, al menos, identifican y corrigen los eventos no deseados.
Servicios para EMPRESAS:
Dirección General-Gerencia
- Auditoría de Cuentas y Estados Financieros
- Assurance Tecnológico
- Ayudas Públicas a la Inversión
- Concursal
- Consultoría Económico - Financiera
- Consultoría en Alta Dirección
- Data & Analytics
- Derecho Civil
- Derecho Societario
- Due Diligence
- Forensic
- Fusiones y Adquisiciones
- GRC Tecnológico
- Medioambiente y Energía
- Modelos de Gestión
- Procesal y Arbitraje
- Reestructuraciones
- RSC
- Software de gestión (ERP-BI)
- Valoración de Empresas
Finanzas-Contabilidad-Administración
- Auditoría de Cuentas Anuales
- Auditoría de Subvenciones
- Asesoramiento Fiscal
- Assurance Tecnológico
- Blanqueo de Capitales
- Concursal
- Consultoría Económico - Financiera
- Derecho Administrativo
- Derecho Societario
- Due Diligence
- ERP
- Financiación
- GRC Tecnológico
- Mercado de Capitales
- Forensic
- Fusiones y Adquisiciones
- Procesal y Arbitraje
- Reestructuraciones
- Servicios de Administración y Gestión
- Valoración de Empresas
Legal-Jurídico
- Asesoramiento Fiscal
- Asesoramiento Jurídico Laboral
- Asesoramiento Legal y Fiscal a Deportistas Profesionales
- Blanqueo de Capitales
- Compliance
- Concursal
- Derecho Administrativo
- Data & Analytics
- Derecho Civil
- Derecho Societario
- Forensic
- Medioambiente y Energía
- Modelos de Gestión
- Procesal y Arbitraje
- Protección de Datos
- RSC
Tecnologías de la Información
- Assurance Tecnológico
- Ayudas Públicas a la Inversión
- CashFlow Manager
- Consultoría de Sistemas de Información
- Data & Analytics
- Document Capture
- Forensic Tecnológico
- GesCol
- GRC Tecnológico
- Ingeniería de Software
- Jet Reports
- Microsoft Dynamics NAV
- Microsoft Dynamics 365
- PowerBI
- QliK
- Sage EM (X3)
- Sage Enterprise Intelligence
- Salesforce
- Software de Gestión
- Solmicro Expertis
- Soluciones Colaborativas
- Soluciones Sectoriales
RRHH-Personas-Organización
Comercial-Marketing
Producción - Calidad - I+D+I
Auditoría-GRC
Contacta con nosotros y trasladaremos tu consulta a nuestros expertos
Guía de Buenas prácticas
Retos en Seguridad, Control y Auditoría de los Servicios en la nube
Guía elaborada por:
BANKIA | DIA | FERROVIAL | IBERDROLA |
NH HOTELS | SAREB | PKF ATTEST
Nuestros servicios:
Diseño del plan de auditoría tecnológica
Sistemas de información
Data Analytics in Audit
Auditoría continua y a distancia
Procesos de negocio
Auditoría de aplicaciones
Calidad del dato
Auditoría técnica cumplimiento del Reglamento General de Protección de Datos
Migración de sistemas
Proyectos tecnológicos
Proveedores / Outsourcing de TI
El outsourcing de servicios tecnológicos es algo habitual hoy en día y su finalidad es aprovechar las ventajas de las economías de escala del proveedor y acceder a perfiles, recursos y conocimiento fuera del alcance por su coste o grado de especialización.
En PKF Attest evaluamos los riesgos inherentes y controles establecidos en relación a la cesión en modalidad de outsourcing de una actividad de TI y verificamos la correcta implantación de procedimientos de valoración y seguimiento adecuados.
Posible programa de trabajo
Análisis de actividades externalizables:
- Existencia de procedimientos de análisis adecuados (coste / beneficio, no se externalizan funciones core, etc.)
Evaluación del proveedor:
- Implantación en el mercado y conocimiento del negocio
- Alineamiento tecnológico con el cliente
- Capacidad de crecimiento vertical/horizontal
- Situación financiera (informes de auditoría de cuentas, otros)
- Reputación y referencias (informes expertos, mercado)
- Partners o subcontratas del proveedor aceptados
- Rigor en el cumplimiento de la normativa, (historial, denuncias, etc.)
- Capacidad de servicio (tiempos de entrega, planes de continuidad)
Elaboración del contrato:
- Procedimientos de elaboración (estructuras básicas de contrato, aprobación por la Dirección, supervisión por Asesoría Jurídica, etc.)
- Recogida de responsabilidades cliente/proveedor claramente limitadas
- Establecimiento clarificado de la tipología de servicio
- Procedimientos para cancelaciones anticipadas (cliente o proveedor)
- Acuerdos para la cesión ordenada de datos/sistemas a la extinción del contrato
- Enclausulado legal (RGPD, Ley de Propiedad Intelectual, cumplimiento de normativa interna)
- Arbitrajes y penalizaciones
- Garantía de continuidad en caso de incidencia.
- Notificaciones en caso de incidencia de seguridad
Procedimientos pre-implementación:
- Migración de datos/operativa al proveedor
- Retorno de la información cedida en formato legible en la extinción del contrato
- Implantación de plataforma según requisito legal, (usos y cesión de licencias por parte del proveedor al cliente, licencias por usuario, licencias por conexión, etc.)
- Implementación metodológica de sistemas de interconexión
- Entrenamiento de la plantilla
- Contratación de seguros
- Definición de los indicadores clave del servicio
- Recogida de datos según procedimiento fiable
- Capacidad de revisión de indicadores clave según cambios en plataforma
- Validez y adecuación de la distribución de informes de gestión del servicio
Evaluación del servicio:
- Indicadores de servicio diferentes en función del tipo de servicio de TI externalizado (desarrollo, explotación, help desk, etc.)
Procedimientos post-implantación:
- Migración de datos/operativa desde el proveedor
- Entrenamiento de la plantilla
- Ejecución de penalizaciones
- Trámite de expiración de contrato.
Servicios en la nube
Segregación de funciones
Canales digitales
Estrategia de ciberseguridad
Dispositivos móviles
IoT (Internet of Things)
Lean Audit IT
Continuidad de Negocio / Disaster Recovery Plan
El objetivo de los planes de continuidad es que -ante una contingencia grave- la empresa vuelva a funcionar normalmente y en el menor tiempo posible para que el negocio no quede afectado.
Dentro de estos planes, se incluyen los Disaster Recovery Plan, que abarcan la recuperación de la plataforma tecnológica de la compañía (servidores, aplicaciones, datos…).
Revisamos la estrategia de continuidad adoptada por la compañía, verificando la existencia, razonabilidad y grado de actualización de los planes de contigencia y recuperación de la actividad ante desastres.
Posible alcance de nuestros servicios
Aspectos generales del plan:
- Análisis de riesgos
- Análisis y evaluación de cualquier tipo de incidencia. Seguimiento de los informes ya existentes. Validar la correcta aplicación de los criterios establecidos para considerar una incidencia como “contingencia”
- Escenarios
- Grado de cobertura
- Nivel de actualización
- Establecimiento de responsabilidades
- Formación del personal
- Costes
Área de Tecnología:
- Alineamiento con el Plan de Continuidad de Negocio
- Gestión de backups
- Acciones a adoptar en caso de desastre
Centro de respaldo:
- Capacidad de proceso
- Nivel de servicio
- Seguridad física del centro de respaldo
Recuperación de software base y aplicaciones:
- Personal cualificado
- Backup de herramientas de desarrollo y aplicaciones
- Copias externas de programas y documentación del sistema
Recuperación de datos:
- Procedimientos existentes
- Evaluación del RPO (Recovery Point Objective)
- Evaluación del RTO (Recovery Time Objective)
Pruebas sobre el plan de contingencias:
- Frecuencia
- Unidades y servicios evaluados
- Condiciones y escenarios
- Planes de acción correctivos
Seguridad física