Nias
Páginas: 5 (1238 palabras)
Publicado: 3 de septiembre de 2012
EL PROCESO DE AUDITORÍA DE SI
INICIO
El primer paso en la planificación de una auditoría es lograr una comprensión de la misión, los objetivos y el propósito del negocio, que a su vez identifique las políticas, los estándares, las directrices, los procedimientos y la estructura relevantes de la organización.
En el curso de una auditoría lo más representativoes entender el proceso y el ambiente de negocio aplicable a la revisión de lo que ocurre al principio. Otras actividades que se puedan presentar se dan dentro del proceso de la auditoría.
La Auditoría de SI posee 16 estándares con parámetros regulatorios, el estándar S5, Planificación, es el que aplica en este caso, porque provee orientación sobre la planeación de una auditoría yrequiere un enfoque basado en el riesgo.
Otro asunto que puede aforntar un auditor de SI en su trabajo o examen es que se vaya a implementar un nuevo ERP en la empresa que siempre tendrá consecuencias de largo alcance en la forma en que los controles de SI estén configurados por eso el auditor de SI debe estudiar el impacto de la implementación y planificar un cronograma deauditoría en consecuencia. Preferentemente, el auditor de SI debe discutir el plan de auditoría con el auditor externo y la división de auditoría interna de la entidad para hacer la auditoría más efectiva y útil para la entidad.
Para finalizar hay que tomar en cuenta que el informe de entrega de servicio que captura el desempeño real del proveedor de servicio contra los niveles acordadoscontractualmente provee la base mejor y más objetiva para la evaluación de las operaciones informáticas.
RIESGOS
Un enfoque de auditoría basado en riesgos se concentra en la comprensión de la naturaleza del negocio y en ser capaz de identificar y categorizar el riesgo. Los riesgos del negocio tienen impacto en la viabilidad a lo largo de unnegocio específico. Por lo tanto, un auditor de SI que use un enfoque de auditoría basado en riesgos debe ser capaz de comprender los procesos del negocio.
Primero se debe efectuar una evaluación del riesgo de TI para determinar qué áreas presentan los mayores riesgos y qué controles mitigan esos riesgos. A pesar de que existan las narrativas y los flujos de proceso, la organizaciónen ellas no determina qué controles son críticos.
Para decidir si el alcance de auditoría debe incluir componentes específicos de infraestructura (en este caso, las reglas de cortafuegos (firewall) y los parámetros de configuración de VPN), el auditor debe realizar y documentar un análisis del riesgo para determinar qué secciones presentan el mayor riesgo e incluir estassecciones en el alcance de la auditoría. El análisis del riesgo puede considerar factores, como por ejemplo las revisiones anteriores al sistema, incidentes de seguridad relacionados dentro de la compañía y otras compañías de los mismos sectores, recursos disponibles para hacer la revisión y otros. La disponibilidad de la experiencia y conocimientos técnicos y el método usado en auditorías anteriorespueden ser tomados en consideración; sin embargo, estos deben ser de importancia secundaria. Las directrices y mejores prácticas de auditoría de SI proveen una guía para el auditor sobre cómo cumplir con los estándares de auditoría de SI, pero por ellos mismos no serían suficientes para tomar esta decisión.
El riesgo inherente es el riesgode que exista un error que pudiera ser importante o significativo cuando se combine con otros errores encontrados durante la auditoría, no habiendo controles compensatorios relacionados. El riesgo de control es el riesgo de que exista un error importante que no sea prevenido o detectado oportunamente por el sistema de controles internos. El riesgo de detección es el riesgo de que un auditor...
INICIO
El primer paso en la planificación de una auditoría es lograr una comprensión de la misión, los objetivos y el propósito del negocio, que a su vez identifique las políticas, los estándares, las directrices, los procedimientos y la estructura relevantes de la organización.
En el curso de una auditoría lo más representativoes entender el proceso y el ambiente de negocio aplicable a la revisión de lo que ocurre al principio. Otras actividades que se puedan presentar se dan dentro del proceso de la auditoría.
La Auditoría de SI posee 16 estándares con parámetros regulatorios, el estándar S5, Planificación, es el que aplica en este caso, porque provee orientación sobre la planeación de una auditoría yrequiere un enfoque basado en el riesgo.
Otro asunto que puede aforntar un auditor de SI en su trabajo o examen es que se vaya a implementar un nuevo ERP en la empresa que siempre tendrá consecuencias de largo alcance en la forma en que los controles de SI estén configurados por eso el auditor de SI debe estudiar el impacto de la implementación y planificar un cronograma deauditoría en consecuencia. Preferentemente, el auditor de SI debe discutir el plan de auditoría con el auditor externo y la división de auditoría interna de la entidad para hacer la auditoría más efectiva y útil para la entidad.
Para finalizar hay que tomar en cuenta que el informe de entrega de servicio que captura el desempeño real del proveedor de servicio contra los niveles acordadoscontractualmente provee la base mejor y más objetiva para la evaluación de las operaciones informáticas.
RIESGOS
Un enfoque de auditoría basado en riesgos se concentra en la comprensión de la naturaleza del negocio y en ser capaz de identificar y categorizar el riesgo. Los riesgos del negocio tienen impacto en la viabilidad a lo largo de unnegocio específico. Por lo tanto, un auditor de SI que use un enfoque de auditoría basado en riesgos debe ser capaz de comprender los procesos del negocio.
Primero se debe efectuar una evaluación del riesgo de TI para determinar qué áreas presentan los mayores riesgos y qué controles mitigan esos riesgos. A pesar de que existan las narrativas y los flujos de proceso, la organizaciónen ellas no determina qué controles son críticos.
Para decidir si el alcance de auditoría debe incluir componentes específicos de infraestructura (en este caso, las reglas de cortafuegos (firewall) y los parámetros de configuración de VPN), el auditor debe realizar y documentar un análisis del riesgo para determinar qué secciones presentan el mayor riesgo e incluir estassecciones en el alcance de la auditoría. El análisis del riesgo puede considerar factores, como por ejemplo las revisiones anteriores al sistema, incidentes de seguridad relacionados dentro de la compañía y otras compañías de los mismos sectores, recursos disponibles para hacer la revisión y otros. La disponibilidad de la experiencia y conocimientos técnicos y el método usado en auditorías anteriorespueden ser tomados en consideración; sin embargo, estos deben ser de importancia secundaria. Las directrices y mejores prácticas de auditoría de SI proveen una guía para el auditor sobre cómo cumplir con los estándares de auditoría de SI, pero por ellos mismos no serían suficientes para tomar esta decisión.
El riesgo inherente es el riesgode que exista un error que pudiera ser importante o significativo cuando se combine con otros errores encontrados durante la auditoría, no habiendo controles compensatorios relacionados. El riesgo de control es el riesgo de que exista un error importante que no sea prevenido o detectado oportunamente por el sistema de controles internos. El riesgo de detección es el riesgo de que un auditor...
Leer documento completo
Regístrate para leer el documento completo.