auditoria de mugración
Páginas: 14 (3407 palabras)
Publicado: 18 de septiembre de 2015
INTRODUCCIÓN
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.
Auditoría interna
Se realizan por o en el nombre de la organización para la revisión por la dirección y con otros fines internos, y pueden constituir la base para unaauto-declaración de conformidad de una organización.
Auditoría combinada
Cuando se auditan juntos un sistema de gestión de la calidad y un sistema de gestión ambiental.
Auditoría conjunta
Cuando dos o más organizaciones cooperan para auditar a un único auditado.
Alcance de Auditoría
Extensión y límites de la auditoría. (Descripción de ubicaciones, unidades de la organización, actividades yprocesos, y periodo de tiempo cubierto).
COBIT 5
Es un marco de referencia para la implementación del gobierno y gestión de los recursos de Tecnología de la Información en las organizaciones. Su objetivo es proporcionar valor a la organización por medio de un coste óptimo de recursos, a la vez que los riesgos son controlados.
Auditorías Integradas - Un Modelo Práctico
Una auditoría integrada es elproceso en el cual se combinan las disciplinas de auditoría para evaluar los riesgos y controles claves de un proceso de negocio, producto o servicio organizacional. Este concepto de auditoría integrada emerge y cambia radicalmente la forma en que son consideradas las auditorías internas por las diferentes partes interesadas. El presente artículo describe un modelo de auditoría integrada basado enmejores prácticas y normas como la ISO/IEC 27005:2008 y COSO.
Un Modelo Práctico
Algunas actividades se pueden incluir en modelos aislados para conducir auditorías tradicionales por ejemplo, la evaluación del diagnóstico de control interno y gestión de riesgos basados en los dominios de COSO. Otras actividades como el análisis de estrategias y evaluación de riesgos contra los criterios de impacto yaceptación, posiblemente no apliquen por el contexto y madurez de la organización. Las fases de un modelo son:
Fase de análisis
Fase evaluación
Matriz de riesgos
Fase de planeación
Fase de ejecución
Informe
Fase de Análisis
El equipo de auditores comienza analizando el entorno de la organización y se enfoca en conocer las estrategias, contexto y proceso del servicio, producto o proceso de negocioque se está auditando.
Diagrama de Proceso
Para analizar riesgos, es necesario conocer las actividades de proceso sujeto a evaluación, por lo que, el equipo de auditores tiene la tarea de documentarlo. Existen diferentes maneras para documentar un proceso, por ejemplo:
Actividades: Reconocer puestos claves e identificar concentración defunciones y riesgos.
Área: Identificar alta dependencia delos activos tecnológicos.
Control: Conocer los controles de los riesgos identificados.
Por etapas: Conocer el flujo que siguen los datos y/o activos tecnológicos.
Fase De Evaluación
En esta fase se realiza una evaluación del control interno y gestión de riesgos, activos tecnológicos, controles y criterios (de impacto y aceptación) vs. Riesgos identificados.
Evaluación del componente COSO
Insumopara la evaluación
Aspecto claves para la evaluación
Si
No Observaciones
Matriz De Riesgo
La matriz de riesgo que se obtiene después de analizar y evaluar los diferentes componentes señalados en fases anteriores contiene las actividades, riesgos, controles, brechas de controles, impacto y nivel de riesgo.
Estructura de matriz de riesgo:
Fuente
Ref. Doc.
Tipo de Riesgo
Riesgo
Nivel de Riesgo
Ref.Criterios
Controles Identificados
Brecha de los controles
Criterio de evaluación
En base a esta matriz de riesgo, el equipo de auditores junto con el líder/supervisor del equipo seleccionan las áreas con mayor riesgo y que desean abarcar en la auditoría, se enfocan en los riesgos altos y medios del proceso, servicio o producto sujeto a evaluación, de esta manera la auditoría es más efectiva ya que...
INTRODUCCIÓN
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.
Auditoría interna
Se realizan por o en el nombre de la organización para la revisión por la dirección y con otros fines internos, y pueden constituir la base para unaauto-declaración de conformidad de una organización.
Auditoría combinada
Cuando se auditan juntos un sistema de gestión de la calidad y un sistema de gestión ambiental.
Auditoría conjunta
Cuando dos o más organizaciones cooperan para auditar a un único auditado.
Alcance de Auditoría
Extensión y límites de la auditoría. (Descripción de ubicaciones, unidades de la organización, actividades yprocesos, y periodo de tiempo cubierto).
COBIT 5
Es un marco de referencia para la implementación del gobierno y gestión de los recursos de Tecnología de la Información en las organizaciones. Su objetivo es proporcionar valor a la organización por medio de un coste óptimo de recursos, a la vez que los riesgos son controlados.
Auditorías Integradas - Un Modelo Práctico
Una auditoría integrada es elproceso en el cual se combinan las disciplinas de auditoría para evaluar los riesgos y controles claves de un proceso de negocio, producto o servicio organizacional. Este concepto de auditoría integrada emerge y cambia radicalmente la forma en que son consideradas las auditorías internas por las diferentes partes interesadas. El presente artículo describe un modelo de auditoría integrada basado enmejores prácticas y normas como la ISO/IEC 27005:2008 y COSO.
Un Modelo Práctico
Algunas actividades se pueden incluir en modelos aislados para conducir auditorías tradicionales por ejemplo, la evaluación del diagnóstico de control interno y gestión de riesgos basados en los dominios de COSO. Otras actividades como el análisis de estrategias y evaluación de riesgos contra los criterios de impacto yaceptación, posiblemente no apliquen por el contexto y madurez de la organización. Las fases de un modelo son:
Fase de análisis
Fase evaluación
Matriz de riesgos
Fase de planeación
Fase de ejecución
Informe
Fase de Análisis
El equipo de auditores comienza analizando el entorno de la organización y se enfoca en conocer las estrategias, contexto y proceso del servicio, producto o proceso de negocioque se está auditando.
Diagrama de Proceso
Para analizar riesgos, es necesario conocer las actividades de proceso sujeto a evaluación, por lo que, el equipo de auditores tiene la tarea de documentarlo. Existen diferentes maneras para documentar un proceso, por ejemplo:
Actividades: Reconocer puestos claves e identificar concentración defunciones y riesgos.
Área: Identificar alta dependencia delos activos tecnológicos.
Control: Conocer los controles de los riesgos identificados.
Por etapas: Conocer el flujo que siguen los datos y/o activos tecnológicos.
Fase De Evaluación
En esta fase se realiza una evaluación del control interno y gestión de riesgos, activos tecnológicos, controles y criterios (de impacto y aceptación) vs. Riesgos identificados.
Evaluación del componente COSO
Insumopara la evaluación
Aspecto claves para la evaluación
Si
No Observaciones
Matriz De Riesgo
La matriz de riesgo que se obtiene después de analizar y evaluar los diferentes componentes señalados en fases anteriores contiene las actividades, riesgos, controles, brechas de controles, impacto y nivel de riesgo.
Estructura de matriz de riesgo:
Fuente
Ref. Doc.
Tipo de Riesgo
Riesgo
Nivel de Riesgo
Ref.Criterios
Controles Identificados
Brecha de los controles
Criterio de evaluación
En base a esta matriz de riesgo, el equipo de auditores junto con el líder/supervisor del equipo seleccionan las áreas con mayor riesgo y que desean abarcar en la auditoría, se enfocan en los riesgos altos y medios del proceso, servicio o producto sujeto a evaluación, de esta manera la auditoría es más efectiva ya que...
Leer documento completo
Regístrate para leer el documento completo.