Tipos De Auditoria

Tipos de auditoría.

• Auditorías y valoraciones internas. Involucra auditar a la organización donde trabajas para descubrir evidencia de lo que está ocurriendo dentro de la organización.

• Auditoría externa. Involucra que el cliente realice la auditoría o que tu empresa audite a algún proveedor.

• Auditoría independiente. Es realizada por entidades externas especializadas en el tema

Programas de auditoría a los cuales puedes estar ligado:

1.

2. Productos o servicios. Eficiencia, efectividad, controles y costos del ciclo de vida

3. Procesos. Métodos o resultados

4. Sistema. Diseño o configuración

5. Controles generales. Preventivos, detecciones y correctivos

6. Planes organizacionales. Objetivos actuales y futuros

Directrices de la auditoría:

1. Desarrollar e implementar una estrategia de auditoría basada en el riesgo para la organización en las demandas con los estándares de auditoría de SI y mejores prácticas.

2. Planear auditorías específicas para asegurar que la tecnología de información y los sistemas de información del negocio son protegidos y controlados.

3. Dirigir auditorías de acuerdo con los estándares de auditoría de sistemas de información y las mejores prácticas para alcanzar los objetivos planeados de la auditoría.

4. Comunicar problemas que surjan, riesgos potenciales y los resultados de la auditoría a los socios más importantes de la empresa.

5. Aconsejar la importancia de la implementación de la administración de riesgo y prácticas de control dentro de la organización mientras se mantiene la independencia.

Administración de proyectos

La auditoría de sistemas de información y la administración de proyectos son dos ramas que van de la mano, ya que como administrador de proyectos defines lo que debes cumplir y las acciones que realizas como parte del proyecto.

Todos los proyectos tienen las siguientes características:

1. Es temporal. Tiene una duración establecida.

2. Es único. Todos los proyectos son aplicados con un propósito único.

3. Es elaborado progresivamente. Empiezan con ideas de alto nivel y se van especificando conforme va avanzando la planeación.

Un administrador de proyectos debe balancear las demandas y su valor se puede dividir en:

• Ámbito de aplicación. En dónde se está realizando el proyecto y cómo afecta en la organización.

• Recursos (costo, tiempo). Especificar y administrar costos, riesgos y tiempo para la realización del proyecto.

• Calidad. Establecer los estándares mínimos para la realización del proyecto.

Políticas

Las políticas son los documentos de más alto nivel dentro de la empresa y son firmados por una persona con muy alta autoridad. La política es un documento muy simple donde se establece que un objetivo de control particular es muy importante para el éxito de la empresa.

Las características más importantes de las políticas son las siguientes:

• Proveen énfasis a objetivos vitales en la empresa.

• Definen la dirección de la empresa.

• Son firmadas por una autoridad directiva reconocida.

• Se crean, principalmente, por los ejecutivos en jefe, oficiales financieros y oficiales operativos.

Estándares

Son documentos de nivel medio que aseguran la aplicación uniforme de las políticas; su cumplimiento es obligatorio. Todos los estándares son utilizados como puntos de referencia para asegurar que se cumplan, en todo el entorno de la empresa y en su estructura organizacional, los niveles esperados en la aplicación de las políticas.

Sus características más importantes son las siguientes:

• Especifican métodos uniformes para la aplicación de la política.

• Su cumplimiento es obligatorio.

• Estándares públicos incluyen a los siguientes:

o ISO (International Organization for Standardization)

o Sarbanes-Oxley

o Las leyes establecidas por el gobierno en donde se desenvuelve la empresa

Líneas

Están diseñadas para proveer consejo sobre cómo los objetivos organizacionales pueden ser obtenidos en caso de que los estándares no estén aprobados por la administración.

Su propósito es proveer información que ayude a tomar decisiones acerca de las acciones que afecten directamente al cumplimiento de los objetivos.

Sus principales características son:

• Son acciones sugeridas y a considerar en caso de que no exista un estándar aplicable.

• Su uso es discrecional.

• Se pueden utilizar como base para la creación de nuevos estándares.

Procedimientos

Los procedimientos los puedes ver como libros de cocina, ya que se realizan las instrucciones paso a paso y se llevan a cabo tareas específicas que son necesarias para cumplir un estándar. El cumplimiento de los procedimientos establecidos es obligatorio, ya que se asegura consistencia y exactitud en los resultados. El propósito de un proceso es mantener control del resultado.

Sus principales características son las siguientes:

• Instrucciones “paso a paso” para realizar acciones deseadas.

• Proveen soporte para el cumplimiento del estándar.

• El cumplimiento es obligatorio

SLA

Los SLA son medios contractuales para ayudar al departamento de SI a administrar los recursos de información bajo el control de un proveedor; estipulan y comprometen al proveedor a un nivel mínimo de servicio y opciones de servicios.

Tipos de evidencia

• Directas. Prueban la existencia de un hecho, sin interferencia o presunción. La interferencia se da cuando se diseña una proposición lógica y razonable de algún supuesto que puede ser verdad.

• Indirectas. Usan la hipótesis, sin evidencia directa, para hacer demandas consistentes en interferencias y presunciones. Esta evidencia está basada en una cadena de circunstancias, que las llevan a las demandas.

Una auditoría sin evidencia directa, típicamente, es inaceptable.

Algunas de las evidencias que puedes encontrar son las siguientes:

1. Evidencia documentada

2. Extracción de datos por medio de herramientas automatizadas

3. Reclamos del auditado

4. Análisis de la planeación, políticas, procedimientos y diagramas de flujo de la organización

5. Resultados de las quejas y exámenes de auditoría de fondo

6. Observaciones del auditor sobre el trabajo del auditado o repetición del proceso seleccionado

Clasificación de pruebas

• Pruebas de cumplimiento. Comprueban la presencia o ausencia de algo, incluyendo la verificación de políticas y procedimientos establecidos, y revisando que los usuarios, que cuenten con el permiso adecuado, puedan cambiar los controles de procesos llevando un control en los logs del sistema

• Pruebas extensas. Buscan verificar el contenido y la integridad de la evidencia, pueden incluir cálculos complejos para verificar las cuentas de los balances, hacer inventarios físicos, etc. Usan muestras de auditoría seleccionadas por el valor monetario o para proyectar un grupo total de grupos con mismas características.

Ciclo de vida de las evidencias

Las 7 fases del ciclo de vida de las evidencias son las siguientes:

1. Identificación. El auditor necesita identificar los artículos y objetos, que puedan ser evidencia, que se puedan solicitar a préstamo.

2. Colección. El proceso de colección involucra tomar posesión de la evidencia y colocarla bajo custodia de un auditor.

3. Preservación inicial del almacenaje. Uno de los problemas más graves con la evidencia es el reto de preservarla en su estado original, por lo que este proceso es un componente vital en la cadena de custodia, ya que su objetivo es que se garantice que esté protegida y no sea alterada en ningún momento.

4. Análisis. En esta fase, las muestras de evidencia son examinadas por observación, exámenes científicos y mediciones cualitativas y cuantitativas. Todo este proceso debe ser documentado.

5. Preservación y post análisis del almacenaje. Después de las pruebas, la evidencia y las muestras deben ser regresadas para preservarse y tener un almacenaje seguro. La evidencia seguirá en almacenaje hasta que se presente o se vuelvan a realizar exámenes; en caso de volver a realizar exámenes la evidencia se regresará a la fase de análisis, de no ser así, continuará a la siguiente fase.

6. Presentación. La evidencia y los hallazgos son presentados en apoyo del reporte del auditor, en caso de ser necesario la evidencia y hallazgos regresarán a la fase previa hasta que estén totalmente listos para presentarlos.

7. Regreso de la evidencia. La evidencia es regresada al dueño después de que los exámenes de la auditoría sean evaluados exitosamente o después de que los procedimientos legales sean concluidos.

Aprobando la carta de auditoría

La carta de auditoría debe de establecer claramente el estado de las responsabilidades dentro de la organización, sus objetivos y la delegación de la autoridad; como puedes observar, en esta carta se esquematizan la responsabilidad, autoridad y la rendición de cuentas del auditor.

Se puede decir que la carta de auditoría es la base para empezar la auditoría en línea con las especificaciones del cliente y definiendo claramente todo el ámbito de aplicación en donde se

...