El concepto de la carta de auditoría, la carta de la transmisión y de la definición de la función del comité de auditoría en la organización

5.- ¿Hay algún escrito en el que se establezcan las responsabilidades de las partes?

Si, estos escritos incluyen la carta de auditoría, la carta compromiso y la definición del rol del comité auditor en la organización y en la auditoría.

Carta de auditoría: Este documento es la base para empezar la auditoria lineada con las especificaciones del cliente, cómo, dónde y con quién trabajarás en la organización. Define de manera concreta todo el ámbito de aplicación en donde se realizará la auditoria, además, establece claramente el estado de las responsabilidades dentro de la organización, sus objetivos y la delegación de la autoridad través de la responsabilidad, autoridad y la rendición de cuentas.

Carta compromiso: En este documento se delega el proceso de auditoria a una organización externa, es decir, ayuda a definir la relación de un auditor independiente para las asignaciones individuales a través de los acuerdos entre el comité de auditoría y el equipo que realizara la auditoria, que a su vez será independiente uno del otro.

Esta carta debe incluir:

• Todos los puntos especificados en la carta de auditoría.

• La responsabilidad e independencia del auditor.

• Evidencia de los acuerdos para los términos y condiciones establecidos los cuales otorgan autoridad al auditor.

• Establecimiento de fechas de entrega para definir una rendición de cuentas efectiva en caso de atrasos.

6.- ¿Cuál sería la estrategia de la auditoría?

Realizar una adecuada planeación y establecer prioridades antes de comenzar la auditoria, lo cual empieza con las cartas mencionadas anteriormente. Además se debe proveer a la organización auditada una lista con los requerimientos básicos y los recursos necesarios con anticipación suficiente para cuando el equipo de auditoría comience con la implementación de la auditoria.

1. Identificar los riesgos de la información.

Se deben contar con una serie de elementos de vital importancia para la organización para asegurar un nivel minimo en la seguridad de información. Se debe confirmar que la organización cumpla con los siguientes elementos:

• Compromiso y soporte de la dirección.

• Políticas y procedimientos.

• Organización para el establecimiento de responsabilidades para los activos individuales.

• Conciencia de la seguridad y la educación.

• Monitoreo y cumplimiento de los elementos mencionados.

Para lograr tener una óptima administración de la seguridad de información se deberán realizar diversas actividades como son: inventarios de activos de información, clasificación de los activos de información, control de accesos lógicos y exposiciones, y control de accesos físicos.

3.- Establecer el objetivo de la auditoría y las pruebas que realizarás.

Verificar el cumplimiento de leyes y estándares, confirmar la integridad en los procesos y los datos que son resultado del flujo de información en la organización, basándose en estándares internacionales como son: ISO, Sarbanes-Oxley, NIST, OECD, entre otros.

Después de lo anterior se definirán las pruebas para cada proceso dependiendo del objetivo. Dichas pruebas son:

Pruebas de cumplimiento de políticas y procedimientos, permisos adecuados para acceso de los usuarios, control de cambios en los procedimientos y programas, auditoria de registros del sistema. Además pruebas de confirmación, para verificar el contenido y la integridad de la evidencia recabada así como cálculos complejos: las acciones que se realizaran son: verificar balances de cuentas, realizar cuentas de inventarios físicos, transacciones de prueba para verificar la integridad de la documentación de apoyo.

...