COBIT

COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las TI de la empresa. Este documento contiene los 5 principios de COBIT 5 y define los 7 catalizadores que componen el marco.

Marco de COBIT 5

COBIT 5 ayuda a las Organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de los recursos.

• Permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la Organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocios, considerando los intereses relacionados con la TI de las partes interesadas internas y externas.
• Los principios y habilitadores de COBIT 5 son genéricos y útiles para las Organizaciones de cualquier tamaño, bien sean comerciales, sin fines de lucro o en el sector público.

Principios de COBIT 5

  Principio 1: Satisfacer las Necesidades de las Partes Interesadas

• Las Organizaciones tienen muchas partes interesadas y “crear valor” significa cosas diferentes a veces conflictivas para cada una de ellas.
• En el Gobierno se trata de negociar y decidir entre los diversos intereses de beneficio de las diferentes partes interesadas.
• El sistema de Gobierno deberá considerar a todas las partes interesadas al tomar decisiones con respecto a la evaluación de riesgos, los beneficios y el manejo de
  recursos.

Principio 2: Cubrir la Compañía de Forma Integral

• COBIT 5 se concentra en el gobierno y la administración de la tecnología de la información y relacionadas desde una perspectiva integral a nivel de toda la Organización. 
• Esto significa que COBIT 5: Integra el gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de gobierno para la TI corporativa propuesto por COBIT 5 se integra, de una manera fluida, en cualquier sistema de gobierno, toda vez que COBIT 5 está alineado a los últimos desarrollos en gobierno corporativo.

Principio 3. Aplicar un único Marco Integrado

COBIT 5 está alineado con los últimos marcos y normas relevantes usados por las organizaciones: 

Corporativo: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 

Relacionado con TI: ISO/IEC 38500, ITIL, la serie ISO/IEC 27000, TOGAF, PMBOK/PRINCE2, CMMI.

Principio 4. Habilitar un Enfoque Holístico

Los Habilitadores de COBIT 5 son:

Factores que, individual y colectivamente, influyen sobre si algo funcionará – en el caso de COBIT, Gobierno y Administración sobre la TI corporativa.
Impulsados por las metas en cascada, o sea: las metas de alto nivel relacionadas con la TI definen qué deberían lograr los diferentes habilitadores.

Descritos por el marco de COBIT 5 en siete categorías:

Principio 5. Separar el Gobierno de la Administración

El marco de COBIT 5 plasma una distinción muy clara entre el Gobierno y la Administración. 

Dichas dos disciplinas: 

• Comprenden diferentes tipos de actividades 
• Requieren diferentes estructuras organizacionales 
• Cumplen diferentes propósitos

Gobierno:

En la mayoría de las organizaciones el Gobierno es responsabilidad de la Junta Directiva bajo el liderazgo de su Presidente. 

Administración:

En la mayoría de las organizaciones, la Administración es responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General (CEO).

ISO TI

Las ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías.

ISO Aplicadas Auditoria de Sistemas (Algunas)

ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ISO 27002

ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

ISO 27003- Guía para la complementación de un Sistema de Gestión de Seguridad de la Infomacion

El Sistema de Gestión de Seguridad de la Información es la parte del sistema integral de gestión, basado en un enfoque del riesgo de la información para establecer , implementar , operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

El Objetivo del ISO 27003 es proporcionar orientación práctica en el desarrollo del plan de implementación para un Sistema de Gestión de Seguridad de Información.

ISO/IEC 20000-Gestión de servicios de TI

Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas.

ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.

Informe COSO

Generalidades

El “Informe C.O.S.O.” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes. 

Ambiente de control

Este es consecuencia de la actitud asumida por la alta dirección, la gerencia, y por representación instintiva, los demás agentes con relación a la importancia del control interno y su incidencia sobre las actividades y resultados de la organización. Los valores éticos son esenciales para el ambiente de control.

Evaluación de riesgos

Todas las entidades, omitiendo el tamaño, estructura, naturaleza o clase de industria, enfrentan riesgos en todos los niveles de sus organizaciones. No existe una manera práctica para reducir los riesgos a cero. La definición de objetivos es una condición previa para la valoración de riesgos. Primero que todo, deben definirse los objetivos a fin de que la administración pueda identificar los riesgos y tomar las acciones necesarias para administrarlos. Los objetivos globales deben dividirse en sub.-objetivos, consistentes con la estrategia global, y vinculados con las actividades a través de la organización.

Actividades de control

Las actividades de control se dan a todo lo largo y ancho de la organización, en todos los niveles y en todas las funciones. Incluyen un rango de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisión del desempeño de operaciones, seguridad de activos y segregación de responsabilidades. Las actividades de control se pueden dividir en tres categorías, basadas en la naturaleza de los objetivos de la entidad con los cuales se relaciona: operaciones, información financiera, o cumplimiento.

Información y comunicación

Informacion

La información es identificada, capturada, procesada y reportada mediante sistemas de información; que pueden ser computarizados, manuales o combinación de ellos. Los sistemas de información operan algunas veces en una forma de monitoreo, realizando captura rutinaria de datos específicos. En otros casos, se realizan acciones especiales para obtener la información requerida. Los sistemas de información pueden ser formales o informales. Las conversaciones con clientes, proveedores, reguladores y empleados proveen a menudo de la información más crítica requerida para identificar riesgos y oportunidades, de manera similar, la asistencia a seminarios profesionales o industriales y la participación como miembros de asociaciones de comercio u otras pueden proporcionar información valiosa.

Supervisión o monitoreo

El monitoreo asegura que el control interno continúa operando efectivamente. Este proceso implica la valoración, por parte del personal apropiado, del diseño y de la operación de los controles en una adecuada base de tiempo, y realizando las acciones necesarias. Se aplica para todas las actividades en una organización. El monitoreo puede hacerse de dos maneras: mediante actividades en tiempo real o mediante evaluaciones separadas.

Beneficios del modelo coso II

Permite a la Dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.

Posibilita el establecimiento de los objetivos de acuerdo a las prioridades, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. Toma de decisiones más segura, facilitando la asignación del capital.

Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.

Permite dar soporte a las actividades de planificación estratégica y control interno.

Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas.

Fomenta que la gestión de riesgos pase a formar parte de la cultura de la organización.

Seguridad Informática (Continuación)

Políticas de Seguridad Informática

El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben:

· Definir qué es seguridad de la información, cuáles son sus objetivos principales y su importancia dentro de la organización

· Mostrar el compromiso de sus altos cargos con la misma

· Definir la filosofía respecto al acceso a los datos

· Establecer responsabilidades inherentes al tema

· Establecer la base para poder diseñar normas y procedimientos referidos a

• Organización de la seguridad
• Clasificación y control de los datos
• Seguridad de las personas
• Seguridad física y ambiental
• Plan de contingencia
• Prevención y detección de virus
• Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.

Criptografía

¿Para qué sirve la criptografía?

Los seres humanos siempre han sentido la necesidad de ocultar información, mucho antes de que existieran los primeros equipos informáticos y calculadoras.

Desde su creación, Internet ha evolucionado hasta convertirse en una herramienta esencial de la comunicación. Sin embargo, esta comunicación implica un número creciente de problemas estratégicos relacionados con las actividades de las empresas en la Web. Las transacciones que se realizan a través de la red pueden ser interceptadas y, sobretodo, porque actualmente resulta difícil establecer una legislación sobre Internet. La seguridad de esta información debe garantizarse: éste es el papel de la criptografía.

¿Qué es la criptografía?

La palabra criptografía es un término genérico que describe todas las técnicas que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción específica. El verbo asociado es cifrar.

La criptografía se basa en la aritmética: En el caso de un texto, consiste en transformar las letras que conforman el mensaje en una serie de números (en forma de bits ya que los equipos informáticos usan el sistema binario) y luego realizar cálculos con estos números para:

Modificarlos y hacerlos incomprensibles. El resultado de esta modificación (el mensaje cifrado) se llama texto cifrado, en contraste con el mensaje inicial, llamado texto simple.

Asegurarse de que el receptor pueda descifrarlos.

El hecho de codificar un mensaje para que sea secreto se llama cifrado. El método inverso, que consiste en recuperar el mensaje original, se llama descifrado.

El cifrado normalmente se realiza mediante una clave de cifrado y el descifrado requiere una clave de descifrado. Las claves generalmente se dividen en dos tipos:

Las claves simétricas: son las claves que se usan tanto para el cifrado como para el descifrado. En este caso hablamos de cifrado simétrico o cifrado con clave secreta.

Las claves asimétricas: son las claves que se usan en el caso del cifrado asimétrico (también llamado cifrado con clave pública). En este caso, se usa una clave para el cifrado y otra para el descifrado.

Seguridad Informatica

Definición

Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso 

de la información que reside en un sistema de información.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así, por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte fundamental de aquellas.

Principios de Seguridad Informática

Para lograr sus objetivos la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático.

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. 

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. 

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. 

Factores de Riego

Ambientales/Físicos: Factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, humedad, calor entre otros.

Tecnológicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informático, etc.

Humanos: Hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, alteraciones etc.

Mecanismos de Seguridad

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.

Clasificación según su función

Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

Correctivos: Actúan luego de ocurrido el hecho y su función es corregir la consecuencias.

Software de Auditoria de Sistemas

Definición

Según la RAE, el software es un conjunto de programas, instrucciones y reglas informáticas que permiten ejecutar distintas tareas en una computadora.

Se considera que el software es el equipamiento lógico e intangible de un ordenador. En otras palabras, el concepto de software abarca a todas las aplicaciones informáticas, como los procesadores de textos, las planillas de cálculo y los editores de imágenes.

Funciones del software

1. Administrar los recursos de computacionales
2. Proporcionar las herramientas para optimizar estos recursos.
3. Actuar como intermediario entre el usuario y la información almacenada.

Software de auditoria

Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería.

El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Permiten al auditor obtener información de los sistemas automatizados como evidencias de las pruebas que se diseñen y planeen antes de ejecutar el software de auditoria.

Tipos de Software de Auditoria

1- Planificación de la auditoria

2- Ejecución- Supervisión

3- Análisis de Riesgo

4- Análisis y evaluación de base de datos

5- Herramientas Integradas

6- Programas para Propósitos Específicos.

Algunos Software de Auditoria de Sistemas

AudtoAudit: es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final. Además del manejo de documentos y papeles de trabajo en forma electrónica, permite seguir la metodología de evaluación de riesgos a nivel de entidad o de proceso, la planificación de auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un módulo de reportes. Todos estos módulos están completamente integrados y los datos fluyen de uno a otro automáticamente.

IDEA: es una herramienta de análisis completa, potente y fácil de usar que analiza rápidamente el 100% de sus datos, garantizando su integridad, acelera su trabajo y prepara el terreno para auditorías más rápidas y efectivas. IDEA ofrece más de 100 tareas relacionadas con la auditoría y una amplia gama de nuevas características que simplifican el trabajo del auditor y responden a todas sus necesidades analíticas, desde la importación de datos y su análisis, hasta la presentación de los resultados. Con unos cuantos clics puede ver varios grupos datos a la vez, lo cual le permite obtener una visión de conjunto y centrar su búsqueda en la identificación de relaciones, patrones, valores atípicos y anomalías en sus datos.

Planning Advisor. La Herramienta de Planeamiento de Auditoría Basada en Riesgos: Este programa ayuda a automatizar el proceso de planeación de la auditoria. Utilizando este programa se puede identificar y clasificar las áreas de mayor exposición mediante criterios de evaluación basados en riesgos. Esta herramienta se puede utilizar en combinación con el Pro audit. Advisor como herramienta de ejecución de la planeación. Diseñada para auditores, departamentos de auditoría y unidades de negocio que aplican un enfoque de riesgo a su actividad de auditoría.

http://www.casewareanalytics.com/es/products/an%C3%A1lisis-de-datos-idea

http://naizona.blogspot.com/2009/08/v-behaviorurldefaultvml-o.html

Herramientas de Auditoria de Sistemas

Se puede definir a las Herramientas como un conjunto de programas y ayudas que dan asistencia a los analistas, ingenieros de software y desarrolladores, durante todos los pasos del Ciclo de Vida de desarrollo de un Software. Como es sabido, los estados en el Ciclo de Vida de desarrollo de un Software son: Investigación Preliminar, Análisis, Diseño, Implementación e Instalación.

Ventajas que aportan las herramientas informáticas de apoyo al auditor

Auditoría Financiera

·         Facilidad de manejo de grandes volúmenes de datos

·         Aprovechamiento de la informatización de datos de las empresas

·         Fiabilidad de los datos obtenidos

·         Manejabilidad de los datos

·         Rapidez en el procesamiento de los datos

Auditoría Informática

·         Detección de vulnerabilidades en los diferentes sistemas

·         Fácil inventariado de los equipos y licencias de software

·         Verificación una correcta segregación de funciones

Herramientas para la realización de auditorías informáticas en las diferentes áreas de ITCG

El nivel de dependencia en las tecnologías de la información, hace necesario la revisión de los sistemas (ITGC – Information Technology General Controls) que soportan la actividad de la Compañía, identificando los posibles riesgos existentes en los sistemas de información claves y evaluando los controles que los mitigan.

El uso de herramientas de auditoría se basa en la información extraída directamente de los sistemas de la Compañía, e incluso, los datos contables provienen de aplicativos o servidores de información, lo que hace necesario asegurar su:

• Fiabilidad

• Calidad

• Disponibilidad

• Integridad

La revisión de los ITGC tiene como objetivo evaluar la existencia de un ambiente de control razonable en el área de Sistemas de Información y así poder dar confort a la información extraída de los sistemas.

Herramientas para la realización de auditorías informáticas en las diferentes áreas de ITCG

Áreas a tratar en una revisión de sistemas (ITGC):

1.       Organización y dirección del departamento de IT

·         Revisión del proceso de desarrollo y modificación de aplicaciones

·         Solicitud de cambios

·         Proceso de desarrollo

·         Pruebas y validaciones realizadas

2.       Operaciones

·         Generación de copias de seguridad

·         Plan de recuperación ante desastres

·         Análisis de las redes y comunicaciones

·         Gestión de incidencias

·         Comunicación y resolución de las mismas

·         Seguimiento

·         Incidencias de seguridad

3.       Seguridad lógica

·         Control de accesos y Perfiles de usuarios

4.       Seguridad física

Herramientas para la realización de auditorías informáticas en las diferentes áreas de ITCG

Esta revisión de sistemas se realiza a alto nivel, existiendo herramientas de auditoría informática que posibilitan un análisis más eficiente y rápido de los aspectos más críticos;

·         Auditoria de seguridad de la red

·         Auditoría de seguridad lógica

·         Auditoria de desarrollo y explotación

·         Auditoría en los diferentes entornos (BD, SO y Aplicación)

·         Auditoría licencias

Informe de Auditoria de Sistemas

La elaboración del informe representa el momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculación con el factor de riesgo, tarea eminentemente de carácter profesional y ético, según el leal saber y entender del Auditor Informático.

No existe un formato específico. Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI

El Informe de Auditoría deberá ser: 

- claro

- adecuado

- suficiente

- comprensible

El formato del Informe debe reflejar una presentación lógica y organizada. 

El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas. 

Requisitos del Informe

Los requisitos de un Informe de Auditoría son:

1- Ser veraz

2- Estar documentado formalmente

3- Mostrar las observaciones (debilidades) encontradas

4- Tener recomendaciones y soluciones para cada observación

5- Reflejar las áreas de oportunidad y cursos de acción

Desarrollo del Informe

Los puntos esenciales de un Informe de Auditoría son:

1- Identificación del Informe: El título del Informe deberá identificarse como objeto de distinguirlo de otros informes

2- Identificación del Cliente: Debe identificarse a los destinatarios y a las personas que efectúen el encargo

3- Identificación de la Entidad auditada: Identificación de la entidad objeto de la Auditoría Informática

4- Objetivos de la Auditoría Informática: Declaración de los objetivos de la Auditoría para identificar su propósito, señalando los objetivos incumplidos.

5- Normativa aplicativa y excepciones: Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la Auditoría

6- Alcance de la Auditoría: Concretar la naturaleza y extensión del trabajo realizado, área organizativa, período de auditoría, sistemas de información señalando limitaciones del alcance y restricciones del auditado

7- Conclusiones: Informe corto de opinión

Metodologia de Auditoria de Sistemas

Para llevar a cabo una auditoría de sistemas computacionales requiere una serie ordenada de acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera secuencial, cronológica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución, mismos que serán establecidos conforme a las necesidades especiales de la institución.

Además, estos procedimientos se deben adaptar de acuerdo al tipo de auditoría de sistemas que se vaya a realizar, y con estricto apego a las necesidades, técnicas y métodos de evaluación del área de sistematización. Dichos métodos deberán seguirse también para la determinación de las herramientas e instrumentos de revisión que serán utilizados en la evaluación.

1. Origen de la auditoría

2. Visita preliminar

3. Establecer objetivos

4. Determinar los puntos que deben ser evaluados

5. Elaborar planes, presupuestos y programas

6. Seleccionar las herramientas, técnicas, métodos y procedimientos que serán utilizados en la auditoría

7. Asignar los recursos y sistemas para la auditoría

8. Aplicar la auditoría

9. Identificar desviaciones y elaborar borrador de informe

10. Presentar desviaciones a discusión

11. Elaborar borrador final de desviaciones

12. Presentar el informe de auditoría

Esta Metodología Tiene Tres Etapas Fundamentales

1ra. Etapa: Planeación de la Auditoria de Sistemas

2da. Etapa: Ejecución de la Auditoria de Sistemas

3ra. Etapa: Dictamen de la Auditoria de Sistemas

1ra. Etapa: Planeación de la Auditoria de Sistemas

El primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada planeación de éstas; es decir, se deben identificar claramente las razones por las que se va a realizar la auditoría y la determinación del objetivo de la misma, así como el diseño de los métodos, técnicas y procedimientos necesarios para llevarla a cabo y para preparar los documentos que servirán de apoyo para su ejecución, culminando con la elaboración documental de los planes, programas y presupuestos para dicha auditoría.

2da. Etapa: Ejecución de la Auditoria de Sistemas

El siguiente paso después de la planeación de la auditoría es su ejecución, la cual estará determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación.

Debido a que esta etapa es de realización especial, de acuerdo con la planeación de la auditoría, en este inciso sólo se indican sus puntos más importantes, en la inteligencia de que se aplicará verdaderamente de acuerdo a las características específicas de la auditoría que se trate. 

3ra. Etapa: Dictamen de la Auditoria de Sistemas

El último paso de la metodología que hemos estudiado es emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales. Para ello presentamos los siguientes puntos:

• La información y elaborar un informe de situaciones detectadas
• Elaborar el dictamen final
• Presentar el informe de auditoría

Una vez que el auditor determinó las desviaciones encontradas durante la evaluación, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. Una vez hecho esto, es obligación del auditor comentarlas con las personas que están involucradas directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y, derivado de este intercambio de opiniones, debe determinar las posibles soluciones para cada una de estas causas.

Proceso de Auditoria de Sistemas

Para realizar una auditoría de sistemas se requiere planear una serie ordenada de acciones y procedimientos específicos, que deben ser ejecutados de forma secuencial, cronológica y ordenada, teniendo en cuenta etapas, eventos y actividades que se requieran para su ejecución que serán establecidos de acuerdo a las necesidades de la empresa.

Etapa de Planeación de la Auditoría

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría.

Identificar el origen de la auditoría: este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría.

Visita Preliminar al Área informática: este es el segundo paso en la planeación de la auditoría y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de iniciarla formalmente.

Establecer los Objetivos de la Auditoría: los objetivos de la planeación de la auditoría son:

El objetivo general, que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.

Los objetivos específicos, que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.

Determinar los puntos que serán evaluados: una vez determinados los objetivos de la auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, etc.

Elaborar planes, programas y presupuestos para realizar la auditoría: para realizar la planeación formal de la auditoría informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría: en éste se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoría.

Asignar los recursos y sistemas computacionales para la auditoría: finalmente se debe asignar los recursos que serán utilizados para realizar la auditoría.

Etapa de Ejecución de la Auditoría

La siguiente etapa después de la planeación de la auditoría es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación.

Etapa de Dictamen de la Auditoría

La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoría, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas.

Elaborar el Dictamen Final: el auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

Elaborar el Dictamen Formal: el último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa, donde se informa de los resultados de la auditoría. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional.

Certificaciones Mundiales

ISACA

Es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

ISACA fue fundada en el año 1967 cuando un grupo de auditores en sistemas informáticos percibieron la necesidad de centralizar la fuente de información y metodología para el área de operación. Fue en 1969 que el grupo se formalizó a asociación, originalmente incorporada como EDP Auditors Association.

En 1976 el nombre pasó a ser ISACA, por el que es actualmente conocida, y se estableció la primera certificación profesional de auditoría de sistemas de información.

CISA

Certificación de Auditor de Sistemas de Información (CISA), es la principal Certificación de ISACA, desde 1978.

CISA es una Certificación reconocida de forma global y adoptada a nivel mundial, como símbolo de excelencia. La certificación ha sido obtenida por más de114.000 profesionales en todo el mundo.

CISM

La Certificación en Gestión de Seguridad de la Información (CISM) es la certificación de ISACA introducida desde el año 2002 y dirigida específicamente a profesionales experimentados en la Seguridad de la Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la información.

Los profesionales con experiencia en temas de Seguridad de la Información encontraron en esta certificación, una herramienta de gran valor para las empresas.

CGEIT

ISACA ha desarrollado la certificación denominada "Certified in the Governance of Enterprise IT" (CGEIT) que permite a las empresas disponer de profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y Comunicaciones.

Esta certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL).

El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI.

CRISC

Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo. La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados de información de los controles.

• La designación CRISC está diseñado para:
• Los profesionales de TI
• Profesionales de riesgo
• Análisis económico
• Los gerentes de proyecto
• Cumplimiento de los profesionales de la empresa

http://es.slideshare.net/makaonline/isaca-13271813