Proceso de Auditoria de Sistemas

Para realizar una auditoría de sistemas se requiere planear una serie ordenada de acciones y procedimientos específicos, que deben ser ejecutados de forma secuencial, cronológica y ordenada, teniendo en cuenta etapas, eventos y actividades que se requieran para su ejecución que serán establecidos de acuerdo a las necesidades de la empresa.

Etapa de Planeación de la Auditoría

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría.

Identificar el origen de la auditoría: este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría.

Visita Preliminar al Área informática: este es el segundo paso en la planeación de la auditoría y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de iniciarla formalmente.

Establecer los Objetivos de la Auditoría: los objetivos de la planeación de la auditoría son:

El objetivo general, que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.

Los objetivos específicos, que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.

Determinar los puntos que serán evaluados: una vez determinados los objetivos de la auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, etc.

Elaborar planes, programas y presupuestos para realizar la auditoría: para realizar la planeación formal de la auditoría informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría: en éste se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoría.

Asignar los recursos y sistemas computacionales para la auditoría: finalmente se debe asignar los recursos que serán utilizados para realizar la auditoría.

Etapa de Ejecución de la Auditoría

La siguiente etapa después de la planeación de la auditoría es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación.

Etapa de Dictamen de la Auditoría

La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoría, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas.

Elaborar el Dictamen Final: el auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

Elaborar el Dictamen Formal: el último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa, donde se informa de los resultados de la auditoría. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional.

Certificaciones Mundiales

ISACA

Es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades auditoría y control en sistemas de información.

ISACA fue fundada en el año 1967 cuando un grupo de auditores en sistemas informáticos percibieron la necesidad de centralizar la fuente de información y metodología para el área de operación. Fue en 1969 que el grupo se formalizó a asociación, originalmente incorporada como EDP Auditors Association.

En 1976 el nombre pasó a ser ISACA, por el que es actualmente conocida, y se estableció la primera certificación profesional de auditoría de sistemas de información.

CISA

Certificación de Auditor de Sistemas de Información (CISA), es la principal Certificación de ISACA, desde 1978.

CISA es una Certificación reconocida de forma global y adoptada a nivel mundial, como símbolo de excelencia. La certificación ha sido obtenida por más de114.000 profesionales en todo el mundo.

CISM

La Certificación en Gestión de Seguridad de la Información (CISM) es la certificación de ISACA introducida desde el año 2002 y dirigida específicamente a profesionales experimentados en la Seguridad de la Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la información.

Los profesionales con experiencia en temas de Seguridad de la Información encontraron en esta certificación, una herramienta de gran valor para las empresas.

CGEIT

ISACA ha desarrollado la certificación denominada "Certified in the Governance of Enterprise IT" (CGEIT) que permite a las empresas disponer de profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los Sistemas de Información y Comunicaciones.

Esta certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las normas que respaldan el buen gobierno de las TI (COBIT e ITIL).

El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión, Asesoramiento o Auditoría del Gobierno de las TI.

CRISC

Introducido en 2010, el Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y los aportes de expertos en la materia de todo el mundo. La certificación ha sido diseñada para profesionales de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y mantenimiento de sistemas adecuados de información de los controles.

• La designación CRISC está diseñado para:
• Los profesionales de TI
• Profesionales de riesgo
• Análisis económico
• Los gerentes de proyecto
• Cumplimiento de los profesionales de la empresa

http://es.slideshare.net/makaonline/isaca-13271813

Estándares de Auditoria de Sistemas

Una auditaría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002,el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoria apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.

ESTÁNDARES GENERALES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

Los diez (10) Estándares siguientes son aplicables para la auditoria  de Sistemas  de Información

INDEPENDENCIA

Estándar General No. 1 Actitud y Apariencia.

En todos los asuntos  relacionados con auditoría, El Auditor de Sistemas de Información. Deberá ser independiente del auditado en actitud y apariencia.

Estándar General No. 2. Relación Organizacional.

La función de auditoría de sistemas de información deberá ser lo suficientemente  independiente del área que está auditando, para  permitir la obtención del objetivo de la  Auditoría.

Estándar General No. 3. Código de Ética Profesional

El auditor de Sistemas deberá adherirse al Código  de Ética Profesional.

COMPETENCIA TÉCNICA

 Estándar General No. 4  Habilidades y Conocimiento.

El auditor  de Sistemas  de Información deberá ser técnicamente competente, y poseerá las capacidades  y conocimientos  necesarios  para desempeñar su trabajo  de Auditor.

Estándar General No. 5. Educación  Profesional  Continua.

El auditor  de Sistemas  de Información  deberá mantener competencia técnica mediante una  apropiada  educación continua.

EJECUCIÓN DE TRABAJO

Estándar General No. 6. Planeación y Supervisión.

Las Auditorias de Sistemas de Información deben ser planeadas y supervisadas para asegurar que los  objetivos de la auditoría  se alcanzan y se  satisface el cumplimiento de estos estándares.

Estándar General No. 7. Requerimiento de Evidencia

Durante el curso de la  auditoría, el auditor de Sistemas de Información deberá obtener  evidencia esencial y suficiente para soportar  los hallazgos y conclusiones reportados.

Estándar General No. 8. Debido cuidado Profesional.

El debido cuidado Profesional debe ser el ejercicio  en todos los aspectos del trabajo del Auditor de Sistemas de Información, incluyendo la observancia de auditoria aplicables.

REPORTE

Estándar  General No. 9. Reporte del Alcance  de la Auditoría.

En la preparación de  reportes,  el auditor de sistemas de información, deberá plantear  los objetivos de la auditoria, el periodo de cubrimiento y la naturaleza y extensión del trabajo  de auditoría ejecutado.

Estándar General No. 10. Reporte de hallazgos y conclusiones.

En la preparación  de reportes,  el auditor  de sistemas de información deberá plantear los hallazgos y conclusiones relacionados con el trabajo  de auditoría ejecutado,  al igual  que cualquier excepción ó calificación que el auditor tenga con respecto a la auditoría.