Proceso De Auditoria
Páginas: 18 (4438 palabras)
Publicado: 22 de septiembre de 2011
EL PROCESO DE AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
Introducción
El principal objetivo de este tema es proporcionar los conceptos básicos de auditoría de Sistemas de Información, a fin de que se tengan los elementos para poder cumplir con los requerimientos mínimos de una auditoría. De igual forma presenta apoyos para el auditor, tal y como lo pueden llegar a ser los estándares,directrices y procedimientos emitidos por ISACA.
Desarrollo
Existen siete tareas dentro del proceso de auditoría:
* Desarrollar y/o implementar la estrategia y objetivos de la auditoría de SI, los cuales deben estar basados en los riesgos, alineándose con los estándares generalmente aceptados de auditoría, para garantizar que la tecnología de información y los procesos de negocio de laorganización sean controlados, supervisados y evaluados de manera adecuada, y estén acordes con los objetivos del negocio de la organización.
* Planificar las auditorías que asegurarán el cumplimiento de la estrategia y los objetivos de la auditoría de SI.
* Obtener evidencias suficientes, confiables, relevantes y útiles para lograr los objetivos de la auditoría.
* Analizar la informaciónrecopilada para identificar los puntos a reportar y obtener las conclusiones.
* Revisar el trabajo realizado para garantizar la consecución de los objetivos.
* Comunicar los resultados de la auditoría a la gerencia y accionistas clave.
* Facilitar y supervisar la implementación de prácticas de administración y control de riesgos dentro de la organización.
Organización de la Funciónde Auditoría de SI
La auditoría de sistemas debe estar regida por un estatuto de auditoría, el cual puede incluir elementos de otro tipo de auditorías, ya que la de sistemas generalmente forma parte de una auditoría interna. El estatuto debe definir claramente la responsabilidad y los objetivos de la gerencia, así como la delegación de autoridad para la ejecución de la auditoría de sistemas.El documento deberá describir la autoridad, alcance y responsabilidades generales de la auditoría, además de que deberá ser autorizado por la alta gerencia y el comité de auditoría, en caso de existir. El estatuto sólo podrá ser modificado si el cambio en cuestión está correctamente justificado. La responsabilidad, autoridad y obligación de rendir cuentas de la auditoría de sistemas deben estardocumentadas en una carta de auditoría o carta compromiso.
Administración de los Recursos de la Auditoría de SI
Es importante mantener a los auditores de sistemas actualizados en sus conocimientos ya que la tecnología de sistemas de información está cambiando constantemente; de igual forma, el auditor debe ser capaz de administrar los proyectos de auditoría y sus recursos. Es importante teneren cuenta la capacidad y destreza de los auditores al realizar la planeación correspondiente, a fin de poder hacer las asignaciones adecuadas a cada proyecto.
Lo ideal es diseñar un plan anual de capacitación del personal basado en la dirección de la organización, en función de la tecnología y aspectos relacionados de riesgo que deban resolverse. Dicho plan deberá ser revisado semestralmentepara asegurar que siga alineado c las necesidades de la organización. La gerencia de auditoría de sistemas deberá proveer las herramientas necesarias para ejecutar de forma adecuada la auditoría, por ejemplo software, herramientas para pruebas de penetración, etc.
Planificación de la Auditoría
Se debe realizar tanto a corto como a largo plazo. La planificación a corto plazo toma en cuentalos problemas de auditoría que deberán cubrirse durante el año, mientras que la de largo plazo considera los riesgos relacionados a los cambios en la dirección estratégica de TI de la organización que afecten al ambiente de TI. Este análisis debe hacerse una vez al año.
Además de la planificación anual, cada auditoría individual debe ser planeada correctamente. Se deberá tener en cuenta...
Introducción
El principal objetivo de este tema es proporcionar los conceptos básicos de auditoría de Sistemas de Información, a fin de que se tengan los elementos para poder cumplir con los requerimientos mínimos de una auditoría. De igual forma presenta apoyos para el auditor, tal y como lo pueden llegar a ser los estándares,directrices y procedimientos emitidos por ISACA.
Desarrollo
Existen siete tareas dentro del proceso de auditoría:
* Desarrollar y/o implementar la estrategia y objetivos de la auditoría de SI, los cuales deben estar basados en los riesgos, alineándose con los estándares generalmente aceptados de auditoría, para garantizar que la tecnología de información y los procesos de negocio de laorganización sean controlados, supervisados y evaluados de manera adecuada, y estén acordes con los objetivos del negocio de la organización.
* Planificar las auditorías que asegurarán el cumplimiento de la estrategia y los objetivos de la auditoría de SI.
* Obtener evidencias suficientes, confiables, relevantes y útiles para lograr los objetivos de la auditoría.
* Analizar la informaciónrecopilada para identificar los puntos a reportar y obtener las conclusiones.
* Revisar el trabajo realizado para garantizar la consecución de los objetivos.
* Comunicar los resultados de la auditoría a la gerencia y accionistas clave.
* Facilitar y supervisar la implementación de prácticas de administración y control de riesgos dentro de la organización.
Organización de la Funciónde Auditoría de SI
La auditoría de sistemas debe estar regida por un estatuto de auditoría, el cual puede incluir elementos de otro tipo de auditorías, ya que la de sistemas generalmente forma parte de una auditoría interna. El estatuto debe definir claramente la responsabilidad y los objetivos de la gerencia, así como la delegación de autoridad para la ejecución de la auditoría de sistemas.El documento deberá describir la autoridad, alcance y responsabilidades generales de la auditoría, además de que deberá ser autorizado por la alta gerencia y el comité de auditoría, en caso de existir. El estatuto sólo podrá ser modificado si el cambio en cuestión está correctamente justificado. La responsabilidad, autoridad y obligación de rendir cuentas de la auditoría de sistemas deben estardocumentadas en una carta de auditoría o carta compromiso.
Administración de los Recursos de la Auditoría de SI
Es importante mantener a los auditores de sistemas actualizados en sus conocimientos ya que la tecnología de sistemas de información está cambiando constantemente; de igual forma, el auditor debe ser capaz de administrar los proyectos de auditoría y sus recursos. Es importante teneren cuenta la capacidad y destreza de los auditores al realizar la planeación correspondiente, a fin de poder hacer las asignaciones adecuadas a cada proyecto.
Lo ideal es diseñar un plan anual de capacitación del personal basado en la dirección de la organización, en función de la tecnología y aspectos relacionados de riesgo que deban resolverse. Dicho plan deberá ser revisado semestralmentepara asegurar que siga alineado c las necesidades de la organización. La gerencia de auditoría de sistemas deberá proveer las herramientas necesarias para ejecutar de forma adecuada la auditoría, por ejemplo software, herramientas para pruebas de penetración, etc.
Planificación de la Auditoría
Se debe realizar tanto a corto como a largo plazo. La planificación a corto plazo toma en cuentalos problemas de auditoría que deberán cubrirse durante el año, mientras que la de largo plazo considera los riesgos relacionados a los cambios en la dirección estratégica de TI de la organización que afecten al ambiente de TI. Este análisis debe hacerse una vez al año.
Además de la planificación anual, cada auditoría individual debe ser planeada correctamente. Se deberá tener en cuenta...
Leer documento completo
Regístrate para leer el documento completo.