domingo, 4 de junio de 2017

ESTÁNDARES Y METODOLOGÍAS INTERNACIONALES
Metodología:
Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y estándares:
  • Utilización de metodologías, instrumentos y procedimientos operativos propios. 
  • En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. 
  • En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas. 
Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: 
  • ISACA - Asociación de Auditoría y Control de Sistemas de Información 
  • ISO – Organización Internacional para la estandarización. 
  • NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

COSO:
Es una organización voluntaria del sector privado, establecida en los EEUU, dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.


Hace más de una década el Committee of Sponsoring Organizations of the Treadway Commission, conocido como COSO, publicó el Internal Control - Integrated Framework (COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. Desde entonces ésta metodología se incorporó en las políticas, reglas y regulaciones y ha sido utilizada por muchas compañías para mejorar sus actividades de control hacia el logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework (COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de gestión de riesgo.

COSO I

Componentes del Control Interno.
Ambiente de Control:Es el fundamento de todos los demás componentes del control interno, proporcionando disciplina y estructura.
Valoración de Riesgos:Identificación y análisis de los riesgos relevantes para la consecución de los objetivos, constituyendo una base para determinar cómo se deben administrar los riesgos. 

Actividades de Control:Políticas y procedimientos que ayudan a segurar que las directivas administrativas se lleven a cabo.
Información y Comunicación. 
Identificación, obtención y comunicación de información pertinente en una forma y en un tiempo que le permita a los empleados cumplir con sus responsabilidades. 

Monitoreo
Proceso que valora el desempeño de sistema en el tiempo.

Definición de Riesgo
  • Es la probabilidad que ocurra un determinado evento que puede tener efectos negativos para la institución. 
  • Riesgos es uno de los cinco componentes del Marco de Control Interno COSO.

Gestion de Riesgo.

  • Todas las organizaciones independientemente de su tamaño, naturaleza o estructura, enfrentan riesgos 
  • LOS OBJETIVOS DE LA GESTIÓN DE RIESGO SON IDENTIFICAR, CONTROLAR Y ELIMINAR LAS FUENTES DE RIESGOS.

COSO II-Internal Control Integrated Framework

  • Los 8 componentes del coso II están interrelacionados entre si. Estos procesos debe ser efectuados por el director, la gerencia y los demás miembros del personal de la empresa a lo largo de su organización
  • Los 8 componentes están alineados con los 4 objetivos.
  • Donde se consideran las actividades en todos los niveles de la organización 
La administración de riesgos de la empresa (ERM) COSO describe en su marco basado en principios tales como:
  • La definición de administración de riesgos de la empresa 
  • Los principios críticos y componentes de un proceso de administración de riesgo corporativo efectivo. 
  • Pautas para las empresa, para que ellas sean capaces de administrar sus riesgos. 
  • Criterios para determinar si la administración de riesgo de la empresa es efectiva 
Conceptos claves de el COSO II
  • Administración del riesgo en la determinación de la estrategia 
  • Eventos y riesgo 
  • Apetito de riesgo 
  • Tolerancia al riesgo 
  • Visión de portafolio de riesgo
Descripción de Componente del COSO II.
Ambiente interno
  • Sirve como la base fundamental para los otros componentes del ERM, dandole disciplina y estructura. 
  • Dentro de la empresa sirve para que los empleados creen conciencia de los riesgos que se pueden presentar en la empresa
Actividades de control
  • Son las políticas y procedimientos para asegurar que las respuesta al riesgo se lleve de manera adecuada y oportuna. 
  • Tipo de actividades de control: 
  • Preventiva, detectivas, manuales, computarizadas o controles gerenciales.
Respuesta al riesgo
  • Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en relación al las necesidades de la empresa. 
  • Las respuestas al riesgo pueden ser: 
    • Evitarlo: se discontinúan las actividades que generan riesgo. 
    • Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas 
    • Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo. 
    • Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
Información y comunicación
  • La información es necesaria en todos los niveles de la organización para hacer frente a los riesgos identificando, evaluando y dando respuesta a los riesgos. 
  • La comunicación se debe realizar en sentido amplio y fluir por toda la organización en todo los sentidos. 
  • Debe existir una buena comunicación con los clientes, proveedores, reguladores y accionistas.
Monitoreo
  • Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente. 
  • El monitoreo se puede medir a través de: 
  • Actividades de monitoreo continuo 
  • Evaluaciones puntuales 
  • Una combinación de ambas formas
Relación entre COSO I y COSO II.

COSO III- Marco Integrado de Control Interno

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes, establecidos en el Marco anterior y 17 principios que la administración de toda organización debería implementar.

Entorno de control

Principio 1: Demuestra compromiso con la integridad y los valores éticos
Principio 2: Ejerce responsabilidad de supervisión
Principio 3: Establece estructura, autoridad, y responsabilidad
Principio 4: Demuestra compromiso para la competencia
Principio 5: Hace cumplir con la responsabilidad

Evaluación de riesgos

Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
Principio 8: Evalúa el riesgo de fraude
Principio 9: Identifica y analiza cambios importantes

Actividades de control

Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
Principio 12: Se implementa a través de políticas y procedimientos
Principio 13: Usa información Relevante

Sistemas de información

Principio 14: Comunica internamente
Principio 15: Comunica externamente

Supervisión del sistema de control - Monitoreo

Principio 16: Conduce evaluaciones continuas y/o independientes
Principio 17: Evalúa y comunica deficiencias

COBIT

El Marco de COBIT 5
  • Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos. 
  • COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas. 
  • Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

Principios de Cobit

COBIT 5 une los cinco principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

1. Satisfacer las Necesidades de las Partes Interesadas
  • Las Compañías existen para crear valor para sus partes interesadas.  
  • Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes – a veces conflictivas – para cada una de ellas. 
  • En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas. 
  • El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de recursos. 
  • Para cada decisión se puede, y se debe, hacer las siguientes preguntas: 
  • ¿Quién recibe los beneficios? 
  • ¿Quién asume el riesgo? 
  • ¿Qué recursos se necesitan?




2. Cubrir la Compañía de Forma Integral
  • COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. 
  • Esto significa que COBIT 5: 
  • Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo. 
  • Cubre todas las funciones y los procesos dentro de la Organización; COBIT 5 no solamente se concentra en la “Función de la TI”, sino trata la tecnología de la información y relacionadas como activos que necesitan ser manejados como cualquier otro activo, por todos en la Organización.

3. Aplicar un único Marco Integrado
  • COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: 
  • Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 
  • Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI, Etc. 
  • Así se permite a la Organización utilizar COBIT 5 como integrador macro en el marco de gobierno y administración. 
  • ISACA está desarrollando el modelo de capacidad de los procesos para facilitar al usuario de COBIT el mapeo de las prácticas y actividades contra los marcos y normas de terceros.

4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son: 
  • Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa. 
  • Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores. 
  • Descritos por el marco de COBIT 5 en siete categorías.

Principio 4. Habilitar un Enfoque Holístico:

1.Procesos – Describen una serie organizada de prácticas y actividades para lograr determinados objetivos y producir una serie de resultados como apoyo al logro de las metas globales relacionadas con la TI.

2.Estructuras Organizacionales – Constituyen las entidades claves para la toma de decisiones en una organización.
3.Cultura, Ética y Comportamiento – De los individuos así como de la organización; se subestima frecuentemente como factor de éxito en las actividades de gobierno y administración.
4.Principios, Políticas y Marcos – Son los vehículos para traducir el comportamiento deseado en una orientación práctica para la administración diaria.
5.Información – Se encuentra presente en todo el ambiente de cualquier organización; o sea se trata de toda la información producida y usada por la Organización. La información es requerida para mantener la organización andando y bien gobernada, pero a nivel operativo, la información frecuentemente es el producto clave de la organización en si.
6.Servicios, Infraestructura y Aplicaciones – Incluyen la infraestructura, la tecnología y las aplicaciones que proporcionan servicios y procesamiento de tecnología de la información a la organización.
7.Personas, Habilidades y Competencias – Están vinculadas con las personas y son requeridas para completar exitosamente todas las actividades y para tomar las decisiones correctas, así como para llevar a cabo las acciones correctivas.


Las Dimensiones Habilitadores de COBIT 5: 
  • Todos los habilitadores tienen una serie de dimensiones comunes. Dicha serie de dimensiones comunes: 
  • Proporciona una manera común, sencilla y estructurada para tratar los habilitadores 
  • Permite a una entidad manejar sus interacciones complejas 
  • Facilita resultados exitosos de los habilitadores


5. Separar el Gobierno de la Administración


  • El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. 
  • Dichas dos disciplinas: 
  • Comprenden diferentes tipos de actividades 
  • Requieren diferentes estructuras organizacionales 
  • Cumplen diferentes propósitos 
  • Gobierno— En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. 
  • Administración— En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).
  • El Gobierno asegura que se evalúen las necesidades de las partes interesadas, así como las condiciones y opciones, para determinar los objetivos corporativos balanceados acordados a lograr; fijando directivas al establecer prioridades y tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso comparándolos contra las directivas y objetivos fijados (EDM). 
  • La Administración planifica, construye, ejecuta y monitorea las actividades conforme a las directivas fijadas por el ente de Gobierno para lograr los objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).

    COBIT 5 no es obligatorio, pero propone que las organizaciones implementen los procesos de gobierno y administración de tal manera que las áreas claves queden cubiertas, tal como se muestra a continuación:

Sistema de Gestión de la Seguridad de la Información

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. 

Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. 

El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.  

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: 
Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. 
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. 
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.


 ¿Cómo se implementa un SGSI? 
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. 

  •  Plan (planificar): establecer el SGSI. 
  •  Do (hacer): implementar y utilizar el SGSI. 
  •  Check (verificar): monitorizar y revisar el SGSI. 
  •  Act (actuar): mantener y mejorar el SGSI. 


Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. 

Definir una política de seguridad que: – incluya el marco general y los objetivos de seguridad de la información de la organización; – considere requerimientos legales o contractuales relativos a la seguridad de la información; – esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI; – establezca los criterios con los que se va a evaluar el riesgo; – esté aprobada por la dirección. 

Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia). 

Identificar los riesgos: – identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;  

Do: Implementar y utilizar el SGSI

• Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. 

• Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades. 

• Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. 

• Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. 

• Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal. 

• Gestionar las operaciones del SGSI. • Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información. 

• Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.  

Act: Mantener y mejorar el SGSI

La organización deberá regularmente:

• Implantar en el SGSI las mejoras identificadas. 

• Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. 

• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. 

• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. 

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad. 




Publicadas por a la/s No hay comentarios.:
SEGURIDAD INFORMÁTICA

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras.


La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

  • La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en este área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
  • Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
  • La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
Amenazas

Las amenazas pueden ser causadas por:
  • Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias, etc.
  • Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
  • Errores de programación: la mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
  • Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
  • Un siniestro (robo, incendio, inundación): una mala manipulación o mala intención derivan en la pérdida del material o de los archivos.
  • Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
  • Fallos electrónicos o lógicos de los sistemas informáticos en general.
  • Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
Esquema de la Seguridad Informática


Políticas y Nomativa de Seguridad

POLÍTICA DE SEGURIDAD INFORMÁTICA

 SEGURIDAD ORGANIZATIVA
  •  El Lider de proceso de cada unidad organizativa dentro de la red institucional es el único responsable de las actividades procedentes de sus acciones.
  • El administrador de sistemas es el encargado de mantener en buen estado los servidores dentro de la red institucional.
  • Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los requisitos mínimos de seguridad para acceder a este servicio y se acaten las disposiciones de conectividad de la unidad de informática.
 SEGURIDAD LÓGICA 
  • Control de accesos.
  • Administración del acceso de usuarios.
  • Uso de correo electrónico
  • Seguridad de acceso en terceros
  • Monitoreo del uso del acceso y sistema operativo.
SEGURIDAD FISICA
  • Seguridad de los equipos.
  • Controles generales
SEGURIDAD LEGAL 
  • Cumplimiento de requisitos legales
  • Revisiòn de politicas de seguridad y cumplimiento tècnico.
algunas politicas:
  • Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red, semestral, enmarcada en pruebas de acceso tanto internas como externas, desarrolladas por personal tècnico especializado o en su defecto personal capacitado en el ·rea de seguridad. 
  • Toda auditoria a los sistemas, estarà debidamente aprobada, y tendrà el sello y firma de la gerencia.
  • Cualquier acciòn que amerite la ejecuciòn de una auditoria a los sistemas informàticos deberà ser documentada y establecida su aplicabilidad y objetivos de la misma, asì como razones para su ejecuciòn, personal involucrada en la misma y sistemas implicados. 
  • La auditoria no deberà modificar en ningùn momento el sistema de archivos de los sistemas implicados, en caso de haber necesidad de modificar algunos, se deber· hacer un respaldo formal del sistema o sus archivos. 
  • Las herramientas utilizadas para la auditoria deberàn estar separadas de los sistemas de producciòn y en ningùn momento estas se quedaran al alcance de personal ajeno a la elaboraciòn de la auditoria. 

NORMATIVA DE LA SEGURIDAD

  • La ejecución de una auditoria a los sistemas informáticos, ameritarà la planificación de la misma, herramientas a utilizar en la auditoria, objetivos de la auditoria, implicaciones legales, contractuales, requisitos y conformidad con la gerencia. 
  • De no existir personal técnicamente preparado para efectuar auditorias a la seguridad de la información, estos deberán ser capacitados por personal especializado en el àrea. 
  • Salvo casos especiales toda auditoria, deber· estar respaldada por la gerencia. 
  • La implicación de casos especiales, en los cuales sea necesario de inmediato, amerita realizar auditorias sin una fecha planificada. 
  • Sin importar la razón de la auditoria, se llevara un control exhaustivo, se tomarà registro de cada actividad relaciona con esta, quienes la realizan, fechas, horas y todo lo que tenga que ver con la auditoria en si. 
  • El personal de auditoria no esta facultado a realizar cambios en los sistemas informáticos, ya sea de los archivos que integran el sistema o de la información que en ellos se procesa. 
  • Salvo caso especial, cualquier cambio efectuado al sistema de archivos, será motivo de sanción. 
  • Las auditorias a los sistemas, serán realizadas con equipos móviles (Laptops) conectados a la red, en ningún momento el sistema de producción mantendrá instalado software para auditoria en su disco duro. 
  • Toda aplicación para la auditoria será instalado correctamente y supervisado su uso, desde las terminales remotas en el mismo segmento de red. 



Publicadas por a la/s 1 comentario:

SOFTWARE ESPECIAL PARA AUDITORIA


  • ManagePC 2.5.0.18
ManagePC es un programa para hacer inventarios de todos los aspectos de las máquinas que pertenecen a un mismo dominio.

Con ManagePC puedes conocer el hardware disponible en cada uno de las máquinas, los servicios operativos, el software instalado, los procesos activos en cada momento y administrar los usuarios y los grupos habilitados en el dominio.

“Entorno para hace inventarios de redes Windows convencionales o Active Directory”

  • WinAudit 2.28.2
WinAudit te inventariará toda la información. Se trata de un programa totalmente gratuito que analiza tu PC y en pocos segundos te muestra toda la información referente a programas instalados, sistema operativo, procesador, memoria, discos duros, etc.
  • iInventory 7.0.1.12
Inventory es una utilidad que te permitirá realizar audiciones o inventarios de los programas y el hardware instalado en una red de ordenadores.


Con Inventory puedes averiguar, para cada uno de los terminales de una misma red, las versiones y programas que tienen instalados, los respectivos números de serie y las características técnicas de cada máquina.
  • EZSBenford
Esta herramienta toma como base la ley de Benford, de allí su funcionalidad, se basa en determinar la correlación de cifras en un documento buscando repeticiones, ósea que busca la frecuencia de repeticiones para así encontrar anomalías esto se hace comparando los datos de resultado con los teóricos esperados. La herramienta recibe un archivo a analizar y este se puede evaluar por distintos tipos de análisis que se pueden seleccionar por el usuario, dando así flexibilidad a el tipo de búsqueda según las necesidades o preferencias de cada auditor. 
  • AUDAP / AUDIRISK 
Software de Auditoría Basada en Riesgos para Procesos de Negocio, Sistemas de Información y la Infraestructura de TI El software AUDAP (AUDIRISK, a partir del año 2010) es una herramienta para apoyar a auditores internos, externos y de sistemas en el desarrollo de "AUDITORÍAS BASADAS EN RIESGOS" a los procesos del modelo de operación de la Empresa (estratégicos, misionales, de apoyo y de evaluación), procesos de tecnología de información (modelos COBIT, ITIL), Aplicaciones de Computador (o módulos de ERPs) y el seguimiento a los planes de mejoramiento institucional que surgen de auditorías internas y externas realizadas en la organización. El software AUDAP consta de 5 módulos:
1) Planeación Anual de la Auditoria; 
2) Auditorías Basadas en Riesgos; 
3) Seguimiento a Auditorías efectuadas por terceros; 
4) Gestión de la Auditoría 
5) Administración y Seguridad del software. 

  • InvGate Assets
La función de Gestión de Activos de TI de InvGate incluye todo lo que se puede esperar de una herramienta ITAM y SAM (Gestión de Activos de Software) orientada al cumplimiento de objetivos, incluyendo una integración perfecta con InvGate Service Desk para una mejor resolución de problemas.

Publicadas por a la/s 1 comentario:

domingo, 23 de abril de 2017

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Marco Metodològico:
Para el uso adecuado de herrameintas de auditoria se debe aplicar cierta metodologia, que abarca:

  • Efectuar pruebas.
  • Tener etica profesional.
  • planificar
  • Documentar.
Efectuar Pruebas: 
  • El uso de TAAC`s no debe alterar la integridad ni el desempeño de los recursos del cliente.
  • Deben ser probadas antes de ser utilizadas.
Tener etica profesional:
  • La informacion recopilada por las herramientas de auditoria debe ser confidencial.
  • La informaciòn debe estar guardada con cierto nivel de seguridad.
Planificar:
  ISACA recomienda:
  • Definir los objetivos de la auditoria.
  • Determinar la accesibilidad y disponibilidad de TI.
  • Determinar los requisitos de TAAC`s.
  • Obtener acceso a los recursos de la empresa a auditar.
  • Documentar las TAAC`s a utilizar y los objetivos de cada una.
Documentar:
  La documentaciòn relacionada con el uso de TAAC`s debe incluir:
  • Las herramientas utilizadas y su objetivo.
  • Forma en que se preparò la herramienta.
  • Detalles de la ejecuciòn de la herramienta: Entradas, procesos y salidas.
  • El analisis realizado por el auditor a partir de la salida de la herramienta.
Tipos de Herramientas:
  • Cuestionarios:
Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.


  • Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.


  • Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

  • Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.
  • Software de Interrogación
  1. Se han utilizado productos software llamados genéricamente, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.
  2. Los productos Software especiales para la auditoria informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada.
  3. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.


Publicadas por a la/s No hay comentarios.:

INFORMES ESPECIALES

Cuando en el desempeño de sus funciones los auditores detecten acciones u omisiones presumiblemente delictivas, se presentan dichas evidencias a las autoridades competentes a través de informes especiales de auditorías.
Los informes especiales tienen que ser revisados por un abogado vinculado a la unidad de auditoría.
Es importante presentar los datos y elementos precisos para que el alcance de las evidencias obtenidas, mediante las acciones de control realizadas posibiliten homologarlas “a prueba" de abrirse el proceso penal.

Estos informes tendrán como formato

1. Encabezamiento
  • Datos generales de la entidad auditada
  • Fecha de inicio de la acción de control
  • Fecha del informe
  • Tipo y alcance de la acción de control
2. Contenido
  • Fecha en que se detecto el presunto hecho delictivo
  • Descripción del hecho o conducta presuntamente delictiva, disposiciones jurídicas, normas y procedimientos que se transgreden o incumplen
  • Cuantificación total de la afectación económica, exponiendo los daños y perjuicios ocasionados cuando sea posible
  • Pruebas documentales que permitieron determinar los hechos
  • Nombres y apellidos de las personas implicadas en el hecho o conducta presuntamente delictiva y su relación causal con el hecho o conducta y la expresión de la afectación económica o los daños atribuibles a cada uno de ellos.
3. Nombre y firma del jefe de grupo.
4. Acta de entrega detallada de los documentos originales que se adjuntan, así como de las pruebas documentales que permitieron determinar el hecho.
5. Anexos.

Publicadas por a la/s No hay comentarios.:

viernes, 14 de abril de 2017

PROCEDIMIENTOS Y TÉCNICAS DE AUDITORIA

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria, además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.


Planificación de la auditoria

Una planificación adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria, así como los riesgos del negocio y control asociado. A continuación se mencionan algunas de las áreas que deben ser cubierta durante la planificación de la auditoria.

a) Comprensión del negocio y de su ambiente
Al planificar una auditoria, el auditor informático debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que se utilizan. El auditor informático también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor informático para obtener una comprensión del negocio son:

  • Recorrer las instalaciones del ente.
  • Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros.
  • Entrevistas a gerentes claves para comprender los temas comerciales esenciales.
  • Estudio de los informes sobre normas o reglamentos.
  • Revisión de planes estratégicos a largo plazo.
  • Revisión de informes de auditorias anteriores.
b) Riesgo y materialidad de auditoria.
Se pueden definir los riesgos de auditoria como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera:
  • Riesgo Inherente: Cuando un error material no se pueda evitar que suceda porque no existen controles compensatorios relacionados que se puedan establecer.
  • Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.
  • Riesgo de Detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.
La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoria. En una auditoria de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoria al planificar. Una auditoria tal vez no detecte cada uno de los potenciales errores en un universo, Pero, si el tamaño de la muestra es lo suficientemente grande, o se utilizan procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección.

De manera similar, al evaluar los controles internos, el auditor informático debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertirse en un error material para todo el sistema. La materialidad en la auditoria de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.


c) Técnicas de evaluación de riesgos.

Al determinar que áreas funcionales o temas de auditoria deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor informático debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son:
  • Permitir que la gerencia asigne recursos necesarios para la auditoria.
  • Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoria se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia.
  • Constituir la base para la organización de la auditoria a fin de administrar eficazmente el departamento.
  • Proveer un resumen que describa como el tema individual de auditoria se relaciona con la organización global de la empresa así como los planes del negocio.

d) Objetivos de controles y objetivos de auditoria.
El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoria es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoria de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoria se consiguen mediante los procedimientos de auditoria.


e) Procedimientos de auditoria.
Algunos ejemplos de procedimientos de auditoria son:
  • Revisión de la documentación de sistemas e identificación de los controles existentes.
  • Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.
  • Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos.
  • Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Desarrollo del programa de auditoria
Un programa de auditoria es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoria planificados. El esquema típico de un programa de auditoria incluye lo siguiente:

  • Tema de auditoria: Donde se identifica el área a ser auditada.
  • Objetivo de auditoria: Donde se indica el propósito del trabajo de auditoria a realizar.
  • Alcances de auditoria: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un periodo de tiempo determinado.
  • Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.
  • Procedimientos de auditoria para:
  1. Recopilación de datos
  2. Identificación de lista de personas a entrevistar
  3. Identificación y selección del enfoque del trabajo
  4. Identificación y obtención de políticas, normas y directivas.
  5. Desarrollo de herramientas y metodología para probar y verificar los controles existentes.
  6. Procedimientos para evaluar los resultados de las pruebas y revisiones.
  7. Procedimientos de comunicación con la gerencia.
  8. Procedimientos de seguimiento.

Publicadas por a la/s No hay comentarios.:

martes, 4 de abril de 2017



METODOLOGÍA DE AUDITORIA DE SISTEMAS-
(Muñoz Razo)

1ª ETAPA: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

1. Identificar el origen de la auditoría
El primer paso formal para iniciar la planeación de una auditoría en el área de sistemas es identificar el origen de la auditoría; es decir, lo primero es saber por qué surge la necesidad o inquietud de realizar una auditoría. Para esto nos debemos preguntar ¿de dónde?, ¿por qué?, ¿quién? o para qué se requiere hacer la evaluación de algún aspecto de sistemas de la empresa. Para el responsable de realizar la planeación de la auditoría de sistemas es de suma importancia identificar el origen de la auditoría, debido a que además de proporcionarle los elementos necesarios para hacer una buena planeación de la revisión, también le ayuda a definir los elementos de juicio que contribuirán a normar su criterio de evaluación. Además, conociendo el origen de la auditoría, el auditor también puede definir la manera de enfocar la revisión.

También puede saber de antemano cuáles serán los aspectos primordiales en la evaluación; es decir, puede saber cuáles serán los asuntos más relevantes sobre los que deberá trabajar, a fin de satisfacer lo que se espera de la auditoría de sistemas. Dentro de este punto de la auditoría de sistemas encontramos estas posibles causas: 

· Por solicitud expresa de procedencia interna 

· Por solicitud expresa de procedencia externa 

· Como consecuencia de emergencias y condiciones especiales 

· Por riesgos y contingencias informáticas 

· Como resultado de los planes de contingencia 

· Por resultados obtenidos de otras auditorías 

· Como parte del programa integral de auditoría 


2. Realizar una visita preliminar al área que será evaluada
Es recomendable, diríamos que casi imprescindible, que el auditor realice una visita preliminar al área de informática que será auditada, justo después de conocer el origen de la petición de auditoría, y antes de iniciarla formalmente; el propósito es que tenga un contacto inicial con el personal de dicha área y que observe cómo se encuentran distribuidos los sistemas, cuántos y cuáles son los equipos que están instalados en el centro de cómputo, cuáles son sus principales características, de qué tipo son las instalaciones, cuáles son las medidas de seguridad visibles que existen, y en sí, que conozca la problemática a la cual se enfrentará, de manera muy simple y de carácter tentativo.

3. Establecer los objetivos de la auditoría
El siguiente paso, después de haber identificado el origen de la auditoría y haber realizado una visita preliminar al área que será auditada, es establecer lo más claramente posible el (los) objetivo(s) de la auditoría, ajustándose lo más posible a las necesidades de la evaluación. El propósito es establecer claramente lo que se busca con este tipo de trabajo.

Objetivo: el objetivo representa las condiciones futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es sumamente aplicable para el caso de la auditoría de sistemas, ya que al establecer el objetivo de una auditoría se busca anticipar lo que se desea alcanzar, ya sea en el área de sistemas o en toda la institución. Más concretamente, desde el punto de vista de los autores de referencia, en el caso de una auditoría de sistemas el establecimiento del objetivo es el establecimiento de lo que se pretende satisfacer con dicha auditoría; se incluyen los siguientes conceptos:

· Misión: Deber moral que se impone a la realización de la auditoría de sistemas. 

· Visión: La forma como se ve la realización de la auditoría y lo que se espera de ella. 

· Propósitos: Objetivo que se pretende alcanzar con la auditoría. 

· Metas: Fines específicos de la auditoría. 

· Fines: Son los últimos aspectos que se busca satisfacer con la auditoría. 

· Plazos: Los términos en unidades de tiempo en que se satisface el fin que se pretende con la auditoría.


4. Determinar los puntos que serán evaluados en la auditoría
Después de haber determinado el origen de la auditoría y de establecer los objetivos concretos que se pretenden alcanzar con ésta, el siguiente paso es determinar los puntos concretos que serán evaluados. Esta definición de los puntos que tienen que ser evaluados debe ser realizada considerando aspectos muy específicos de los sistemas computacionales, tales como los siguientes:

· La gestión administrativa e informática del centro de cómputo 

· El cumplimiento de las funciones del personal informático y usuarios de los sistemas 

· El análisis, diseño y desarrollo de los sistemas computacionales 

· La operación de los sistemas computacionales 

· La capacitación y adiestramiento del personal y usuarios del sistema La protección, custodia y niveles de acceso a las bases de datos 

· La protección y respaldo de archivos e información La seguridad y protección de los usuarios, de la información, de los archivos y en general del centro de cómputo


5. Elaborar planes, programas y presupuestos para realizar la auditoría
Después de haber considerado todos los puntos antes señalados, el siguiente paso es realizar la planeación formal de la auditoría de sistemas, en la cual se concreten los planes, programas y presupuestos para dicha auditoría; es decir, se deben elaborar los documentos que contemplen los planes formales para el desarrollo de la auditoría, los programas en donde se delimiten perfectamente las etapas, eventos, actividades y los tiempos de ejecución para cumplir con el objetivo, así como los presupuestos de la auditoría, documentos en donde se deben asignar los costos de los recursos que serán utilizados y el tiempo que serán utilizados para determinada actividad.

6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría
El siguiente paso es determinar los documentos y medios con los cuales se llevará a cabo la revisión a los sistemas de la empresa, lo cual se logrará a través de la selección o diseño de los métodos, procedimientos, herramientas e instrumentos necesarios, de acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la auditoría. 

7. Asignar los recursos y sistemas computacionales para la auditoría 
Una vez definidos todos los aspectos señalados en las fases anteriores, el siguiente paso es asignar los recursos que serán utilizados para realizar la auditoría, de acuerdo con los aspectos ya establecidos con anterioridad. Con la asignación de estos recursos especializados, sean humanos, informáticos, tecnológicos o cualesquiera otros que se hayan establecido para la auditoría, es como se lleva a cabo la misma.


2ª ETAPA: EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

El siguiente paso después de la planeación de la auditoría es su ejecución, la cual estará determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación.

1. Realizar las acciones programadas para la auditoría
De acuerdo con el programa de auditoría, cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar; el propósito es ejecutar los eventos programados y alcanzar el objetivo de la auditoría.

2. Aplicar los instrumentos y herramientas para la auditoría
Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la recopilación y análisis de la información, la observación, las pruebas y simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se diseñaron previamente para esta revisión.

3. Identificar y elaborar los documentos de desviaciones encontradas
Una vez que se realizaron las actividades diseñadas en el programa de trabajo de auditoría, que se utilizaron los instrumentos de recopilación de información y/o se utilizaron los instrumentos determinados para la auditoría, entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, así como los responsables de solucionar dichas desviaciones y las posibles fechas para hacerlo.

El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo puede elaborar conforme va realizando cada evaluación, conforme va evaluando áreas completas, conforme va realizando cada evento programado o conforme a cualquier otro criterio. Lo importante es que conforme el auditor detecte las desviaciones, elabore de inmediato el documento de desviaciones. 

4. Elaborar el dictamen preliminar y presentarlo a discusión
Una vez que el auditor determinó las desviaciones encontradas durante la evaluación, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. Una vez hecho esto, es obligación del auditor comentarlas con las personas que están involucradas directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y, derivado de este intercambio de opiniones, debe determinar las posibles soluciones para cada una de estas causas. También puede asignar a los responsables de solucionarlas y, de ser posible, las fechas para hacerlo. 

Es muy conveniente señalar que la importancia de la auditoría no sólo estriba en reportar las desviaciones encontradas en una operación normal, sino que las personas que están involucradas directamente en la operación deben conocerlas; el propósito es que estén conscientes de las desviaciones encontradas en su trabajo para que puedan emprender las acciones necesarias para corregirlas, si es que las correcciones están en sus manos.

5. Integrar el legajo de papeles de trabajo de la auditoría
El auditor tiene la obligación de conservar en el llamado legajo de papeles de la auditoría cada uno de los instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el caso, las observaciones reportadas.


3ª ETAPA: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

1. Dictamen de la auditoría de sistemas computacionales
Al emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales. Se debe presentar los siguientes puntos:

· La información y elaborar un informe de situaciones detectadas

· Elaborar el dictamen final

· Presentar el informe de auditoría

2. Elaborar un informe de situaciones detectadas
El análisis de los papeles de trabajo y la elaboración en borrador de las llamadas situaciones detectadas como:

· Que el auditor elabore su borrador y comente las desviaciones con los auditados. 

· Que el auditor elabore las modificaciones pertinentes, así como el informe definitivo de las situaciones encontradas. 

· Advertir que el fin de una auditoría de sistemas computacionales no es encontrar culpables, sino ayudar a corregir las desviaciones encontradas en la operación normal de dichos sistemas; esto se logra comentando las desviaciones con los responsables directos, con el fin de que las conozcan y tomen las acciones necesarias para su corrección. 

3. Elaborar los papeles de trabajo
El propósito del estudio de los papeles de trabajo es detectar las posibles desviaciones en la operación normal del área o sistema computacional que está auditando. Luego debe colocar las desviaciones que encontró en el formato como por ejemplo de situaciones, causas y soluciones, mismo que debe elaborar primero en borrador para comentar estos aspectos con los involucrados, y por ultimo elaborar el definitivo.

4. Desviaciones Detectadas
· El auditor debe indicar en forma específica y lo más claro posible las desviaciones encontradas en la operación del sistema o en el área que está evaluando y,

· Debe señalar las causas que las generaron, basándose en los papeles de trabajo, su experiencia en el ramo y las situaciones detectadas, 

· Elaborar el borrador de lo detectado que se encontró durante la evaluación de los sistemas, procurando detallar, hasta donde le sea posible, en qué consisten, como puede afectar y los demás que crea pertinentes, y por ultimo

· Señalar concretamente lo observado correspondiente al informe de auditoría analizando más a fondo el formato de desviaciones detectadas.

5. Indicar las situaciones encontradas al personal de las áreas afectadas
Una vez que ha detectado las desviaciones, es obligación del auditor comentarlas en forma directa y abierta con los responsables de la operación, a fin de que las conozcan, acepten, aclaren, complementen y/o las modifiquen con detalles y pruebas. 

El auditor no debe, presentar las desviaciones encontradas sin antes haberlas comentado con el auditado. Sin embargo, si el auditor no tiene la suficiente experiencia, los comentarios con los auditados se pueden desviar e incluso provocar conflictos que puede perjudicar.

Es un requisito que el auditor comente las desviaciones encontradas, debido a que además de servirle para refirmar sus observaciones, le ayudará a comprobarlas, complementarlas y en su caso ampliarlas; esto también le ayudará a establecer las causas que ocasionaron las desviaciones, así como sus posibles soluciones. 

6. Modificaciones necesarias
Una vez el auditor haya comentado ampliamente las desviaciones con los involucrados, deberá ratificar las observaciones y, de ser necesario, elaborar las correcciones que sean pertinentes, modificando el borrador, las causas o las posibles soluciones. También podría elaborar nuevamente el borrador del informe, e incluso lo podría comentar nuevamente si fuera necesario. 

7. Situaciones relevantes
Una vez que el auditor ha comentado y corregido el borrador inicial, conforme a lo señalado en los puntos anteriores, debe proceder a elaborar un documento que contenga las situaciones relevantes que encontró durante la auditoría y, según el plan de trabajo, puede continuar con la elaboración del dictamen de auditoría.

8. Elaborar el informe y el dictamen formales
Después de analizar los informes anteriores (el borrador inicial comentado), el auditor debe elaborar, de manera formal, lo siguiente:

· El informe de las desviaciones encontradas, especificándolas por área, por servicio o por cualquier otro formato de presentación, de manera clara y precisa. 

· También deberá presentar las desviaciones conforme a la costumbre de la empresa; ya sea por importancia, por orden cronológico, por secuencia de operaciones o por cualquier otro criterio. 

· Elaborará dictamen y tomar en cuenta todas las desviaciones, analizarlas y emitir su opinión acerca de la situación de las áreas y sistemas auditados, especificando, lo más clara y sinceramente posible, su opinión respecto a dichas desviaciones y, de ser posible, debe presentar una sugerencia profesional para corregirlas.

· Comentar el informe y el dictamen con los directivos del área.

· Presentar el informe de auditoría

· Elaboración del dictamen formal


Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)