Auditoria de Sistemas de Información

Nota:

• Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse. Revisión y verificación de las cuentas y de la situación económica de una empresa o entidad.

1. Tipos de auditoria

   Nota:

   • De cumplimiento Financieras Integradas Operativas Forences
   • Según quién la ejecuta: Interna: La función de auditoría forma parte de la estructura de la organización. Es llevada a cabo por personal propio de la organización. Externa: La función de auditoría es llevada a cabo por personal ajeno a la organización. Suelen tener un enfoque hacia auditorías financieras y cumplimiento.

Nota:

• La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de Gestión, Control y Gobierno.

Nota:

• Un sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo.

1. Componentes
   1. Datos, Hardware, Telecomunicaciones, Personas, Procedimientos, Software

1. Evaluación formal de los sistemas de información

   Nota:

   • •Los sistemas de información están en conformidad con las leyes aplicables, reglamentos , contratos y/o pautas de la industria .  •Los datos y la información del sistema de información tienen niveles adecuados de confidencialidad , integridad y disponibilidad.  •Las operaciones de los sistemas de información se llevan a cabo de manera eficiente y los objetivos de efectividad son alcanzados.

Nota:

• Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La dirección planifica, organiza y dirige la realización de las acciones suficientes para proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas

1. Tipos de controles y objetivo de control
   1. Directivo

      Nota:

      • •Causan o favorecen la ocurrencia de eventos deseables
   2. Preventivo

      Nota:

      • •Detectan los problemas antes de que aparezcan.  •Monitorean tanto la operación como las entradas. •Intentan predecir los problemas potenciales antes de que ocurran y realizan ajustes. •Evitan que ocurra un error, omisión o acto malicioso.
   3. Detectivos

      Nota:

      • •Utilizan controles que detectan e informan la ocurrencia de un error, omisión o acto fraudulento.
   4. Correctivos

      Nota:

      • •Minimizar el impacto de una amenaza. •Remediar problemas descubiertos  por controles detectivos. •Identificar la causa de un problema. •Corregir errores que surgen de un problema. •Modificar los sistemas de procesamiento para minimizar futuras ocurrencias del problema.

Nota:

• ISACA http://www.isaca.org/chapters4/Mexico-City/pages/default.aspx

Nota:

• El gobierno corporativo incluye un conjunto de relaciones entre la dirección de una compañía, su consejo de administración, sus accionistas y otras partes interesadas. El Gobierno Corporativo también ofrece la estructura a través de la cual se establecen los objetivos de las compañías, y se determinan los medios para llegar a esos objetivos y monitorear el desempeño.

Nota:

• El gobierno de Ti de la Empresa (GEIT) implica un sistema en el cual todas las partes interesadas, incluyendo el consejo de administración, clientes y departamentos internos, proporcionan una entrada en el proceso de la toma de decisiones de TI.

1. Propósito de GEIT
   1. Genere valor al negocio
   2. Riesgos de TI gestionados
2. Marcos integrales para GEIT
   1. COBIT

      Nota:

      • ISACA desarrolló COBIT 5 para respaldar GEIT proporcionando un marco para garantizar que: TI se alinee con el negocio, TI apoye el negocio y maximice los beneficios, los recursos de TI se usen responsablemente y los riesgos de TI se gestionen adecuadamente.
   2. ISO 27001

      Nota:

      • Es un conjunto de mejores prácticas que proporcionan orientación a las organizaciones que aplican y mantienen programas de seguridad de la información. ISO 27001 se ha convertido en un estándar muy conocido en la industria.
   3. ITIL

      Nota:

      • Fue desarrollado por la Oficina de Comercio Gubernamental del Reino Unido, en colaboración con el Foro de Gestión de Servicios de TI, y es un marco de referencia detallado con información práctica acerca de cómo lograr una gestión exitosa de servicios operativos de TI.
   4. ISO/IEC 38500

      Nota:

      • Proporciona un marco para el gobierno efectivo de TI. Ayuda a aquellos en el nivel más alto de la Organización a entender y cumplir con sus obligaciones legales, reglamentarias y éticas con respecto al uso de TI de su organización. Se aplica en las organizaciones de todos los tamaños, incluyendo compañías públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro.
   5. ISO 20000

      Nota:

      • Es una especificación para gestión de servicios de TI que está alineada con el marco de gestión de servicios de ITIL.

1. Linea 1

   Nota:

   • *Controles de gerencia *Medidas de control interno
2. Linea 2

   Nota:

   • *Controles financieros *Seguridad *Gestión de riesgos *Calidad *Inspección  *Cumplimiento
3. Linea 3

   Nota:

   • Auditoria interna

Nota:

• La auditoría tiene un rol significativo en una implementación del GEIT dentro de una organización. La auditoría está bien posicionada para proveer recomendaciones sobre mejores prácticas a la alta Dirección para ayudar a mejorar la calidad y efectividad de las iniciativas implementadas de gobierno de TI.

1. Planeación

   Nota:

   • Una planificación adecuada es el primer paso necesario para realizar auditorías de SI efectivas. Ayuda a garantizar que se dedica la atención adecuada a las áreas importantes de la auditoría, se identifican y resuelven los problemas potenciales de manera oportuna, y que el trabajo de auditoría esté organizado adecuadamente, gestionando y realizado de una forma efectiva y eficaz.
   1. Norma que regula la actividad: 1201- Planificación de la Asignación. Guía de Auditoría Relacionada: 2201- Planificación de la Asignación.
2. Ejecución

   Nota:

   • Esta fase consiste en realizar las actividades establecidas en el Programa de Trabajo, recolectar la evidencia necesaria para soportar las observaciones de auditoría, y en general, probar que los controles establecidos por la Dirección funcionan correctamente. La supervisión del trabajo por parte de los responsables del proyecto es de vital importancia para detectar posibles eventos que afecten la conclusión de las actividades de auditoría, así como posibles limitaciones al alcance que se presenten durante la auditoría.
   1. Norma que regula la actividad: 1203- Desempeño y Supervisión. 1205- Evidencia. Guía de Auditoría Relacionada: 2201- Rendimiento y Supervisión.
3. Comunicación de resultados

   Nota:

   • El informe debe incluir cuando menos: •Identificación de la empresa, los destinatarios previstos y cualquier restricción sobre el contenido y la circulación •Alcance, objetivos de la asignación, período de cobertura y la naturaleza, los plazos y el alcance del trabajo realizado. •Hallazgos, conclusiones y recomendaciones de la auditoría. •Cualquier calificación o limitación dentro del alcance que el profesional de auditoría y aseguramiento de SI tenga con respecto a la asignación •Firma, fecha y distribución según los términos del estatuto de la función de auditoría o carta de asignación de auditoría
   1. Recomendacioines

      Nota:

      • La función interna de auditoría de SI debe establecer un proceso de seguimiento para monitorear y asegurar que las acciones de la dirección han sido implementadas de manera efectiva o que la alta dirección ha aceptado el riesgo de no tomar ninguna acción.
   2. Documentación

      Nota:

      • •La planificación y preparación del alcance y de los objetivos de la auditoría. •La descripción y preparación y/o recorridos en el área de auditoría vista. •El programa de auditoría. •Los pasos de auditoría realizados y la evidencia de auditoría recopilada. •El uso de servicios de otros auditores y expertos, si aplica. •Los hallazgos, conclusiones y recomendaciones de auditoría. •La relación de la documentación de auditoría con la identificación y las fechas de documentos. •Una copia del informe emitido como resultado del trabajo de auditoría. •Evidencia de revisión supervisora de auditoría. •La documentación de auditoría es generalmente propiedad de la entidad de auditoría y debe ser accesible solo al personal autorizado bajo permiso específico o general, obteniendo permiso de la alta dirección en caso de ser requeridos por partes externas.
   3. Norma que regula la actividad: 1401- Reportes. Guía de Auditoría Relacionada: 2401- Reportes.