Beruflich Dokumente
Kultur Dokumente
Al iniciar una auditora es importante que identifiques los diferentes programas de auditora a los cuales puedes estar ligado: 1. 2. 3. 4. 5. Productos o servicios. Eficiencia, efectividad, controles y costos del ciclo de vida Procesos. Mtodos o resultados Sistema. Diseo o configuracin Controles generales. Preventivos, detecciones y correctivos Planes organizacionales. Objetivos actuales y futuros
Como puedes observar, cada tipo de auditora se enfoca en diferentes componentes de la organizacin, por lo que es necesario que, para que la auditora refleje completamente el estado actual de la organizacin (con sus reas de oportunidad y sus fortalezas), el auditor se enfoque en una bsqueda de hechos. A su vez, debers considerar los requerimientos especficos del negocio ya que algunos son nicos para cada auditora y otros pueden ser comunes dependiendo de su entorno, ya que cada negocio tiene sus propias oportunidades, desafos y limitaciones. Es necesaria una planeacin adecuada para asegurar que la auditora misma no afecte a la
Para poder definir y alinear adecuadamente Conocimiento del la auditora es importante que conozcas las entorno de regulaciones que se establecen en el negocio entorno industrial o comercial en donde se desenvuelve la empresa.
Objetivos estratgicos
Esta estrategia define lo que la empresa estar haciendo durante los siguientes tres o Cul es el plan cinco aos. organizacional para la integracin de los sistemas de informacin? Cmo son administrados sus activos? Enfoque para el manejo de sus inversiones. Cules son los planes de continuidad del negocio? Las actividades operacionales se enfocan en el funcionamiento en un perodo del negocio (usualmente de 12 a 14 meses); siendo el enfoque que se tiene que hacer en el da a da y en el ao. Cules son las polticas o procedimientos que se deben probar? Esta auditora solamente se basar en aspectos administrativos?
Objetivos financieros
PM (Administracin de Proyectos) es PMI (Project Management Institute ), la cual cuenta con varias certificaciones y lineamientos establecidos para ser un administrador de proyectos certificado. Un administrador de proyectos debe balancear las demandas y su valor se puede dividir en: mbito de aplicacin. En dnde se est realizando el proyecto y cmo afecta en la organizacin. Recursos (costo, tiempo). Especificar y administrar costos, riesgos y tiempo para la realizacin del proyecto. Calidad. Establecer los estndares mnimos para la realizacin del proyecto.
A su vez, un administrador de proyectos debe contar con un conjunto de habilidades y conocimientos, que como auditor facilitarn el trabajo: Saber cmo liderar y administrar los proyectos. Entender los detalles del entorno del negocio. Ser amable y sin embargo convencer a la gente de llegar a un acuerdo. Saber cmo funcionan, especficamente, las aplicaciones.
2.2 Estndares
Son documentos de nivel medio que aseguran la aplicacin uniforme de las polticas. Despus de que los estndares son aprobados por la administracin, su cumplimiento es obligatorio. Todos los estndares son utilizados como puntos de referencia para asegurar que se cumplan, en todo el entorno de la empresa y en su estructura organizacional, los niveles esperados en la aplicacin de las polticas. Los estndares son utilizados como base en las pruebas y en las auditoras para verificar que los procesos y los sujetos estn realizando las acciones o pasos a seguir de acuerdo a lo establecido por la empresa y, de esta forma, certificar que hay un nivel mnimo uniforme de cumplimiento. Sus caractersticas ms importantes son las siguientes: Especifican mtodos uniformes para la aplicacin de la poltica. Su cumplimiento es obligatorio. Estndares pblicos incluyen a los siguientes: o ISO (International Organization for Standardization ) o Sarbanes-Oxley o Las leyes establecidas por el gobierno en donde se desenvuelve la empresa
2.3 Lneas
Estn diseadas para proveer consejo sobre cmo los objetivos organizacionales pueden ser obtenidos en caso de que los estndares no estn aprobados por la administracin. Su propsito es proveer informacin que ayude a tomar decisiones acerca de las acciones que afecten directamente al cumplimiento de los objetivos (lo que se debe hacer), beneficios alternativos (lo que se puede hacer) y acciones que no podran crear problemas (lo que no lastimar). Su uso es discrecional. Sus principales caractersticas son: Son acciones sugeridas y a considerar en caso de que no exista un estndar aplicable. Su uso es discrecional. Se pueden utilizar como base para la creacin de nuevos estndares.
2.4 Procedimientos
Los procedimientos los puedes ver como libros de cocina, ya que se realizan las instrucciones paso a paso y se llevan a cabo tareas especficas que son necesarias para cumplir un estndar. Los detalles de estas tareas son escritos y se utiliza un formato que muestre el paso a paso, es decir, desde el inicio del procedimiento hasta el final del mismo. Deben incluir un apartado de problemas comunes y los pasos necesarios para que en caso de que el usuario se tope con alguno de ellos sea capaz de resolverlo y cumplir con el estndar establecido sin afectar el funcionamiento del procedimiento. El cumplimiento de los procedimientos establecidos esobligatorio, ya que se asegura consistencia y exactitud en los resultados. El propsito de un proceso es mantener control del resultado. Sus principales caractersticas son las siguientes: Instrucciones paso a paso para realizar acciones deseadas. Proveen soporte para el cumplimiento del estndar. El cumplimiento es obligatorio.
Ejemplo
Los estndares de auditora se clasifican de la siguiente manera: S1. Informe de auditora. El propsito, responsabilidad, autoridad y cumplimiento de la auditora de SI o de las asignaciones de la auditora, as como todas las obligaciones del auditor, deben ser apropiadamente documentados en un informe de auditora o en una carta de responsabilidad. El informe o carta de responsabilidad debe ser validado y aprobado dentro de los niveles adecuados en la organizacin. S2. Independencia. Independencia profesional. En todos los trminos relacionados a la auditora, el auditor de SI debe ser totalmente independiente del auditado en la actitud y en laapariencia. Independencia organizacional. La funcin de auditora de SI debe ser independiente del rea o actividad que est siendo revisada y que implique cumplir con el objetivo asignado de la auditora. S3. tica profesional y estndares. El auditor de SI debe cumplir con el Cdigo de tica Profesional de ISACA y debe ejercer y mantener su cuidado profesional, incluyendo observancia de los estndares de calidad de auditora. S4. Competencia profesional. El auditor debe ser profesionalmente competente y mantener una competencia profesional mediante una educacin continua y capacitacin profesional adecuada. S5. Planeacin. Se debe planear la cobertura de la auditora para cumplir con los objetivos,
las leyes reguladoras y los estndares de auditora. A su vez se debe desarrollar y documentar una auditora con la base de riesgo calculado. S6. Rendimiento del trabajo de auditora. El auditor debe cumplir cabalmente con una supervisin adecuada, obtencin de evidencia y documentar todo el proceso de la auditora. S7. Presentacin de informes. Se debe proveer un informe que presente todos los resultados y las recomendaciones de la auditora, y debe ser entregado con base en los acuerdos establecidos en el informe de auditora y en la carta de responsabilidad. S8. Actividades de seguimiento. Al presentar los resultados y las recomendaciones, el auditor debe solicitar y evaluar la informacin relevante para concluir las acciones a realizar en un tiempo determinado. S9. Irregularidades y actos ilegales. El auditor debe tener en cuenta todas las irregularidades y actos ilegales que puede detectar en la auditora y reportarlos en caso de que los llegara a confirmar. Para que esto suceda, debe recabar suficiente evidencia para que respalde cualquier hallazgo que signifique algn problema legal para la empresa. S10. Gobierno de TI. El auditor debe verificar que las funciones de SI estn alineadas con la misin, visin, valores, objetivos y estrategias; a su vez, debe verificar que los recursos de SI estn siendo utilizados de la mejor manera por la administracin. S11. Uso de la evaluacin de riesgos en la planeacin de la auditora. Se debe determinar un mtodo que asegure un clculo de riesgos en la auditora, lo ms cercano a la realidad posible. S12. Importancia de la auditora. Se debe cumplir con la posible ausencia de controles en los procesos de la empresa y se deben reportar a la gerencia. S13. Utilizando el trabajo de otros expertos. Se debe consultar el trabajo de expertos en auditora, siempre y cuando sea adecuado al proyecto en cuestin. S14. Auditora de evidencias. Se debe obtener suficiente evidencia para apoyar sus conclusiones, en las cuales estarn basados los resultados de la auditora. El cumplimiento de estos estndares asegura que la calidad de la auditora, en los SI de la empresa, sea de acuerdo a los estndares internacionales de ISACA; sin embargo, para hacer acuerdos de niveles mnimos de calidad en la empresa se utilizan los acuerdos de nivel de servicios, mejor conocidos como SLA (Service Level Agreement).
3.2 SLA
Los SLA son medios contractuales para ayudar al departamento de SI a administrar los recursos de informacin bajo el control de un proveedor; estipulan y comprometen al proveedor a un nivel mnimo de servicio y opciones de servicios. Esto incluye garantizar un nivel de rendimiento del sistema con respecto del tiempo de inactividad, as como el tiempo de actividad, acompaado de un nivel de soporte al cliente, previamente establecido. El software y hardware requerido para que se provea el servicio son establecidos en los SLA y se especifican las multas y opciones para reforzar los servicios que no sean provistos por el proveedor; tambin puede incluir incentivos como bonos o aumentos de participacin por exceder los niveles mnimos establecidos.
Como auditor, tu principal objetivo, en cuanto a la recoleccin de evidencias, es tratar de obtener la mejor evidencia en la auditora; lo ptimo es el uso de evidencia directa ya que la indirecta tiene un valor ms bajo por su naturaleza subjetiva. Una auditora sin evidencia directa, tpicamente, es inaceptable . Como auditor de SI utilizars tcnicas muy parecidas a un detective para recolectar evidencia, alguna ser de gran valor y otra no tendr tanto, por lo que siempre debers valorar la calidad y la cantidad de la evidencia. Podrs encontrar evidencia por medio de tus propias observaciones, revisando documentos internos, utilizando herramientas asistidas por computadora para auditora conocidas como CAAT, o revisando correspondencia y la minuta de las juntas. Algunas de las evidencias que puedes encontrar son las siguientes: 1. 2. 3. 4. 5. 6. Evidencia documentada Extraccin de datos por medio de herramientas automatizadas Reclamos del auditado Anlisis de la planeacin, polticas, procedimientos y diagramas de flujo de la organizacin Resultados de las quejas y exmenes de auditora de fondo Observaciones del auditor sobre el trabajo del auditado o repeticin del proceso seleccionado
Toda la evidencia debe evaluarse para determinar su relevancia y su fiabilidad, ya que la calidad de la evidencia que obtengas tendr un efecto directo sobre los hallazgos que desees probar al auditado.
d. Porcentaje de error esperado. Es el margen de error aceptable entre las muestras de auditora y la cantidad de la poblacin.
2. Pruebas extensas. Buscan verificar el contenido y la integridad de la evidencia, pueden incluir clculos complejos para verificar las cuentas de los balances, hacer inventarios fsicos, etc. Usan muestras de auditora seleccionadas por el valor monetario o para proyectar un grupo total de grupos con mismas caractersticas. Estn basadas en los siguientes tipos de muestras de auditora: a. Muestras variables. Designan el valor monetario o el peso de la efectividad de toda la poblacin mediante la segmentacin de un grupo ms pequeo. b. Estimacin diferencial. Determina la diferencia de valor entre los reclamos de los auditados y los no auditados.
7. Regreso de la evidencia . La evidencia es regresada al dueo despus de que los exmenes de la auditora sean evaluados exitosamente o despus de que los procedimientos legales sean concluidos.