Materia


¿QUÉ ES AUDITORIA?
Proceso de revisión, evaluación y presentación de un informe final para la gerencia.


¿QUIÉN ES UN AUDITOR?
Persona que tiene la virtud de oir y revisar, pero debe estar encaminado a un objetivo que es de evaluar eficiencia y eficacia


¿QUÉ ES LA AUDITORIA DE SISTEMAS?
Es el examen y evaluación de los procesos del Área de procesamiento automático de datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.



AUDITORIA EXTERNA
Examina y evalúa una determinada realidad por personal externo al ente auditado, para emitir una opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que esta operando en el área auditada


Ventajas:

  • El trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.
  • Auditorias apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con características similares.
Desventajas:

  • La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.
  • Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados.
  • Su evaluación, alcances y resultados pueden ser muy limitados.
  • Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.

AUDITORIA INTERNA
Es una función de control al servicio de la alta dirección empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningún caso la responsabilidad de otras personas en la organización. 

El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.


Visión Global de la Auditoria de Sistemas


Reacción ante la Auditoria

  • A nadie le justa ser evaluado
  • Pocos comprenden la labor del Auditor
  • Las expectativas de una auditoria no son bien atendidas
  • Estereotipos del Auditor
  • Comunique los beneficios de una auditoria

“La palabra auditoria proviene del latín auditorius, y de ella se deriva AUDITOR, que significa todo aquel que tiene la virtud de oír”


“La exacta observación del ambiente, la lógica implacable y la asombrosa agudeza psicológica con que Holmes reconstruye sus casos justifican sobradamente que se haya convertido en uno de los seres de ficción más <<vivos>> y populares de la literatura de todos los tiempos”


www.isaca.org
www.isaca.org.ec

El Proceso de Auditoria de Sistemas de Información

Introducción
* Organización de la Función de Auditoria de SI
  • Estatuto de Auditoria
- Autoridad
- Alcance
- Responsabilidades
  • Aprobación del Estatuto
  • Modificación del Estatuto

* Administración de los Recursos de Auditoria de SI
  • Los Auditores de SI son un recurso limitado
  • La Tecnología de SI está cambiando constantemente
  • Los Auditores de SI deben mantener su competencia técnica
  • La dirección de Auditoria debería:
  • Asignar recurso humano (habilidades y conocimiento)
  • Asignar recursos tecnológicos
  • Elaborar un plan de capacitación

* Administración de los Recursos de Auditoria de SI
  • ¿Qué factores determinan cuantos auditores de SI se necesitan?

* Planeación de la Auditoria

  • Lograr un entendimiento de la misión, los objetivos, el propósito y los . procesos del negocio
  • Identificar contenidos específicos (políticas, estándares y directrices requeridos, procedimientos y estructura de la organización)
  • Evaluar el análisis de riesgos y todo análisis de impacto sobre la privacidad
  • Realizar un análisis de riesgos
  • Llevar a cabo una revisión de control interno
  • Establecer el alcance y los objetivos de la auditoria
  • Desarrollar el enfoque o la estrategia de auditoria
  • Asignar recursos humanos a la auditoria y dirigir la logística de trabajo 

* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
  • Regulaciones legales:
  • Establecimiento de los requerimientos regulatorios
  • Organización de los requerimientos regulatorios
  • Responsabilidades asignadas a las entidades correspondientes
  • Correlación con las funciones de auditoria financiera, operacional y de TI  
  • Áreas de Interés:
  • Requerimientos legales (leyes, acuerdos regulatorios y contractuales) aplicables a la Auditoria de SI.
  • Requerimientos legales aplicables al auditado y a sus sistemas, administración de datos, informes, etc.  
  • Pasos para determinar el cumplimiento con los requerimientos externos:
  • Identificar los requerimientos gubernamentales u otros externos relevantes
  • Documentar las leyes y regulaciones pertinentes
  • Determinar si la administración y la función de SI han considerado los requerimientos externos relevantes
  • Revisar los documentos internos del departamento de SI que se ocupan del cumplimiento de las leyes que le son aplicables
  • Determinar el cumplimiento con los procedimientos establecidos   


30-Nov-2013

COBIT
Control objetives for Information and related Technology

es un conjunto de mejores prácticas para la administración IT creado por ISACA, e ITGI en 1992. COBIT brinda a managers, auditores, y usuarios IT, un conjunto de medidas, indicadores, procesos y mejores prácticas de consenso general para asistirlos en maximizar los beneficios derivados del usa de las tecnologías de información y para obtener un control y gerenciamiento apropiado de IT en la organización.
ISACA es el acrónimo de Informaction Systems Audit and Control Association (Asociación de Auditoría y Control de sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoria y control en sistemas de información.
IT Governance Institute (ITGI, en inglés: IT Governance Institute) Tecnología de la información de gobierno es una disciplina subconjunto de gobierno corporativo centrado en la informática de sistemas (IT) y de su rendimiento y la gestión de riesgos.

EDICIONES
La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 está disponible desde mayo de 2007. En la actualidad el ISACA lanzó Cobit 5 el día 10 de Abril.

Ámbito de evolución
Gobierno TI
COBIT 4.1
En su cuarta edición, COBIT tiene 34 objetivos de alto nivel que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización, Adquisición e Implementación, Entrega y Soporte, y, Supervisión y Evaluación. En inglés: Plan and Organize, Acquire and Implement, Deliver and Support, and Monitor and Evaluate.

Marco de Gobierno IT
COBIT 5
  • Isaca lanzó el 10 de abril del 2012 la nueva edición de este marco de regerencia. COBIT 5 es la última edición del framework mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno de TI que tiene a tecnología y a la información como protagonistas en la creación de valor para las empresas.
  • COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la integración de otros importantes marcos y normas como Val IT y Risk IT, Information Technology Infrastructure Library (ITL @) y las normas ISO relacionadas.

Gestión
MISIÓN
Investigar, desarrollar, publicar y promover en conjunto de objetivos de control de TI rectores, actualizados, internacional y generalmente aceptados para ser utilizados diariamente por Gerentes de negocio y Auditores.


Control
VISIÓN
Consolidarse como líder mundialmente conocido en materia de gobierno, control y aseguramiento de la gestión de TI.
Auditoria
VAL IT
Recientemente, ISACA ha publicado Val IT, que relaciona los procesos de COBIT con los procesos de la gerencia mayor requeridos para conseguir un buen valor de las inversiones en tecnologías de la información.
Como satisface COBIT las necesidades



¿Para quiénes?
  • Gerentes de negocio
  • Gerentes de TI
  • Gerentes de riesgo
  • Usuarios de TI
  • Auditores

¿Para qué?

  • Alineación de objetivos de TI y del negocio.
  • Establecer una orientación a procesos.
  • Ser consistente con las mejores prácticas y estándares control (COSO) y de TI, independiente de tecnologías específicas.
  • Proporcionar un lenguaje común para todos los interesados.
  1. Orientado al negocio
  2. Procesos orientados
  3. Basado en controles
  4. Generador de mediciones


1. ORIENTADO AL NEGOCIO
Es el tema principal de COBIT. Está diseñado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los propietarios de los procesos de negocio.

PRINCIPIO BÁSICO
Proporcionar la información que la empresa necesita para logro de sus objetivos, requiere administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.


CRITERIOS DE INFORMACIÓN
Para satisfacer los objetivos del negocio la información necesita adaptarse a ciertos criterios de control, los cuales son referidos por COBIT como requerimientos de información del negocio. Con base en los requerimientos de calidad, fiduciarios y de seguridad, se definieron las siguientes siete áreas: 


METAS DE NEGOCIO Y DE TI
Mientras que los criterios de información proporcionan un método genérico para definir los requerimientos del negocio, la definición de un conjunto de metas genéricas de negocio y de TI ofrece una base más refinada y relacionada con el negocio para el establecimiento de requerimientos de negocio y para el desarrollo de métricas que permitan la medición con respecto a estas metas. 

2. PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo genérico de procesos en cuatro dominios. Estos dominios son:

  • Planear y Organizar
  • Adquirir e Implementar,
  • Entregar y Dar Soporte
  • Monitorear y Evaluar
PLANEAR Y ORGANIZAR


ADQUIRIR E IMPLEMENTAR


ENTREGAR Y SOPORTAR


MONITOREAR Y EVALUAR


2. BASADO EN CONTROLES
  • CONTROL: Políticas, Procedimiento, prácticas diseñadas para brindar seguridad razonable que los objetivos serán alcanzados
  • OBJETIVOS DE CONTROL DE COBIT: son los requerimientos mínimos para un control efectivo de cada proceso de IT además brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI.

PROCESOS COBIT
  • PC1: Dueño del Proceso
  • PC2: Reiterativo
  • PC3: Metas y Objetivos
  • PC4: Roles y Responsabilidades
  • PC5: Desempeño del Proceso
  • PC6: Políticas, Planes y Procedimiento
CONTROLES DEL NEGOCIO Y CONTROL DE TI

  • AL NIVEL DE DIRECCIÓN EJECUTIVA: fijar objetivos políticas, tomas decisiones de cómo administrar los recursos.
  • AL NIVEL DE PROCESO DE NEGOCIO: aplicar controles para actividades específicas del negocio.
  • PARA SOPORTAR DEL NEGOCIO: TI provee un servicio común (redes, bases de datos, sistemas operativos, almacenamiento)

GENERADORES DE MEDICIÓN

  • Una necesidad básica de toda empresa es entender el estad de sus propios sistemas de TI y decidir qué nivel de administración y control debe proporcionar la empresa ¿Qué se debe medir y cómo? 
  • Modelos de Madurez: por medio del Benchmarking identificación de las mejores practicas en la capacidad.
  • Metas y Mediciones de desempeño para procesos TI: demuestran como los procesos satisfacen las necesidades del negocio y de TI y como se usan para medir el desempeño de los procesos internos
Indicadores de desempeño
Los indicadores clave de desempeño (KPI) definen mediciones que determinan qué tan bien se está desempeñando el proceso de TI para alcanzar la meta. Son los indicadores principales que indican si será factible lograr un meta o no, y son buenos indicadores de las capacidades, prácticas y habilidades. Miden las metas de las actividades, las cuales son las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeño del proceso.

Mediciones de desempeño
  • COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño.
  • Los indicadores clave de metas (KGI) definen mediciones para informar a la gerencia---después del hecho--si un proceso TI alcanzó sus requerimientos de negocio, y se expresan por lo general en términos de criterios de información:
  • Disponibilidad de información necesaria para dar soporte a las necesidades del negocio. Ausencia de riesgos de integridad y de confidencialidad
  • Rentabilidad de procesos y operaciones
  • Confirmación de confiabilidad, efectividad y cumplimiento

Las métricas efectivas deben de tener las siguientes características:
  • Una alta proporción entendimiento-esfuerzo (esto es, el entendimiento del desempeño y del logro de las metas en contraste con el esfuerzo de lograrlos)
  • Deben ser comparables internamente (esto es, un porcentaje en contraste con una base o números en el tiempo)
  • Deben ser comparables externamente sin tomar en cuenta el tamaño de las empresa o la industria.
Caso Practico
Se comienza a preparar el software para el trabajo


Tarea 2


Consiste en definir primero los niveles jerárquicos y posteriormente crear el organigrama


Se ingresan los procesos de negocio que son de interés. Menú : Centro de Análisis



Se identifican cuales son los requerimientos de la información necesarios que deben disponer TI y las áreas de negocio, para cumplir con los procesos del negocio.


Se ingresa la información de los diversos recursos de TI


Se asignan los Procesos de Cobit


Mediante el botón "Comenzar con la Auditoria" iniciara las etapas para auditar los Procesos de Cobit (Objetivos de Alto nivel) seleccionados. A partir de aquí COBIT asiste al auditor en el proceso de arribar a una conclusión sobre el Objetivo de control de alto nivel (en este caso).


Etapa 1: Entrevistas
Las entrevistas permiten tener una primera visión del objeto de la auditoria. En este caso son con los usuarios del sistema para entender su visión en cuanto al funcionamiento.
Asimismo se entrevistara a la Gerencia de Sistemas y a la persona encargada del mantenimiento del aplicativo.


Etapa 2: Documentación
En este caso se obtienen los manuales técnicos y de usuarios de la aplicación.


Etapa 3: Emisión de una primera opinión
A partir de las etapas anteriores y de algunos trabajos de campo puede determinarse si existen controles suficientes para los riesgos involucrados en la aplicación.


Etapa 4: Verificar el cumplimiento de los controles
Aquí se revisa que esos controles estén funcionando.


Etapa 5: Emisión de una conclusión final
La conclusión se respalda en todos los pasos anteriores del proceso de auditoria. Además debe tener en cuenta los hallazgos. Es bueno usar escalas uniformes para las evaluaciones de modo de poder comparar los juicios.


Ejemplos
Sun Microsystems / Oracle enero 2012
Sun /Oracle ha encontrado matrices COBIT y documentos muy útiles mapas cuando se habla de cómo todos los diferente marcos encajan.
La empresa ha aprovechado con éxito los conceptos de las materias relacionadas con el COBIT para crear debate sobre la salud y la madurez auto-evaluaciones, proporcionar una línea de visión entre sus actividades y sus objetivos de negocio, llevar previsibilidad y la confiabilidad de cómo planea el grupo de TI y administra el trabajo en la empresa, y complementar su ciclo de planificación corporativa con un "ciclo de la gestión de TI".


Ecopetrol SA Junio 2010
La División de Tecnología de la Información eligió COBIT como marco adecuado gobierno de TI para integrar un sistema de gestión de TI.
Ecopetrol decidió implementar 28 procesos de COBIT, dando prioridad a los objetivos de control que apoyan el cumplimiento de Sarbanes-Oxley.


Grupo Bancolombia enero 2011
Grupo Bancolombia utilizar COBIT para crear una visión compartida, la lengua única, la alineación entre la planificación estratégica de negocios y planificación estratégica de TI, y la claridad en los roles y responsabilidades.


 3-Dic-2013

Gobierno Corporativo

  • “La distribución de derechos y responsabilidades entre los diferentes participantes en la corporación, tales como la Junta, los gerentes, los accionistas y otras partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos”
Organización para la Cooperación y el Desarrollo Económico (OECD)

  • Conjunto de responsabilidades y prácticas ejercidas por el personal y la dirección ejecutiva con el objetivo de:
  • Proveer dirección estratégica 
  • Asegurar que los objetivos son alcanzados 
  • Controlar que los riesgos son manejados de manera apropiada 
  • Verificar que los recursos de la empresa son usados con responsabilidad

  • Estructura a través de la cual se fijan los objetivos de la compañía y los medios para lograr dichos objetivos y monitorear el desempeño 
  • Requiere de un sistema de control interno para monitorear los riesgos 
  • Provee una plataforma para la protección de las partes interesadas definiendo las responsabilidades de la Junta Directiva, en un marco de transparencia
  • Objetivos principales:
  • Velar por la transparencia 
  • Permitir el conocimiento de cómo los directivos gestionan los recursos 
  • Proveer de instrumentos de resolución de conflictos de interés entre los distintos grupos que conforman el gobierno

Prácticas de Monitoreo y Aseguramiento para la Junta y la Gerencia Ejecutiva

  • Las empresas están regidas por las mejores prácticas generalmente aceptadas, cuyo aseguramiento está garantizado por ciertos controles 
  • La TI es también gobernada por las mejores prácticas, que aseguran que la información y la tecnología relacionada de la organización soportan los objetivos del negocio, que sus recursos sean utilizados de manera responsable, y sus riesgos sean administrados de manera apropiada
  • ¿Qué espera el negocio de TI? 
  • Mantener los sistemas ejecutándose 
  • Administrar complejidad 
  • Alinear la TI con el negocio 
  • Cumplimiento de regulaciones 
  • Seguridad 
  • Las organizaciones requieren de un enfoque estructurado para administrar estas y otras demandas
  • El Gobierno de TI: 
  • Es una parte integral del gobierno corporativo y consiste en la dirección, la estructura y los procesos organizacionales que aseguran que la TI corporativa soporta la consecución de la estrategia de la organización y sus objetivos 
  • La responsabilidad del Gobierno de TI es de los ejecutivos y el directorio de la organización
* Mejores prácticas de ITGI para el Gobierno de TI 
  • Áreas de enfoque del Gobierno de TI
  • Alineación Estratégica 
  • Se enfoca en garantizar el vínculo entre los planes del negocio y de TI, alinear las operaciones de TI con las operaciones de la empresa 
  • Dar Valor 
  • Se enfoca en asegurar que TI genere los beneficios prometidos en la estrategia 
  • Gestión de Riesgos 
  • Requiere conciencia de los riesgos por parte de los altos ejecutivos, un claro entendimiento del apetito al riesgo 
  • Administración de Recursos 
  • Se trata de la inversión óptima, así como la administración adecuada de los recursos críticos de TI, aplicaciones, información, infraestructura y personas 
  • Medición del desempeño 
  • Rastrea y monitorea la estrategia de implementación, la terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la entrega del servicio


"Los recursos de TI deben usarse responsablemente, y los riesgos relacionados con TI deben ser administrados de manera apropiada"
  • Rol de la Auditoria en el Gobierno de TI
  • Una empresa necesita evaluar su gobierno de TI, ya que se está volviendo una parte cada vez más importante del gobierno total de la empresa
  • La auditoria proveerá recomendaciones de prácticas líderes a la alta gerencia, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de TI implementadas

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)