Una auditaría se realiza con base a un patrón o conjunto de
directrices o buenas prácticas sugeridas. Existen estándares orientados a
servir como base para auditorias de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información),
dentro de los objetivos definidos como parámetro, se encuentra el
"Garantizar la Seguridad de los Sistemas". Adicional a este estándar
podemos encontrar el estándar ISO 27002,el cual se conforma
como un código internacional de buenas prácticas de seguridad de la información,
este puede constituirse como una directriz de auditoria apoyándose de otros
estándares de seguridad de la información que definen los requisitos de
auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
ESTÁNDARES GENERALES PARA LA
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Los diez
(10) Estándares siguientes son aplicables para la auditoria de Sistemas
de Información
INDEPENDENCIA
Estándar General No. 1 Actitud y
Apariencia.
En todos
los asuntos relacionados con auditoría,
El Auditor de Sistemas de Información. Deberá ser independiente del auditado en
actitud y apariencia.
Estándar General No. 2. Relación
Organizacional.
La función
de auditoría de sistemas de información deberá ser lo suficientemente independiente del área que está auditando,
para permitir la obtención del objetivo
de la Auditoría.
Estándar General No. 3. Código de
Ética Profesional
El auditor
de Sistemas deberá adherirse al Código
de Ética Profesional.
COMPETENCIA TÉCNICA
Estándar General No. 4 Habilidades y Conocimiento.
El
auditor de Sistemas de Información deberá ser técnicamente
competente, y poseerá las capacidades y
conocimientos necesarios para desempeñar su trabajo de Auditor.
Estándar General No. 5.
Educación Profesional Continua.
El
auditor de Sistemas de Información deberá mantener competencia técnica mediante
una apropiada educación continua.
EJECUCIÓN DE TRABAJO
Estándar General No. 6. Planeación
y Supervisión.
Las
Auditorias de Sistemas de Información deben ser planeadas y supervisadas para
asegurar que los objetivos de la
auditoría se alcanzan y se satisface el cumplimiento de estos
estándares.
Estándar General No. 7.
Requerimiento de Evidencia
Durante el
curso de la auditoría, el auditor de
Sistemas de Información deberá obtener
evidencia esencial y suficiente para soportar los hallazgos y conclusiones reportados.
Estándar General No. 8. Debido
cuidado Profesional.
El debido cuidado
Profesional debe ser el ejercicio en
todos los aspectos del trabajo del Auditor de Sistemas de Información,
incluyendo la observancia de auditoria aplicables.
REPORTE
Estándar General No. 9. Reporte del Alcance de la Auditoría.
En la preparación
de reportes, el auditor de sistemas de información, deberá
plantear los objetivos de la auditoria,
el periodo de cubrimiento y la naturaleza y extensión del trabajo de auditoría ejecutado.
Estándar General No. 10. Reporte
de hallazgos y conclusiones.
En la
preparación de reportes, el auditor
de sistemas de información deberá plantear los hallazgos y conclusiones
relacionados con el trabajo de auditoría
ejecutado, al igual que cualquier excepción ó calificación que el
auditor tenga con respecto a la auditoría.
No hay comentarios.:
Publicar un comentario