PROCEDIMIENTOS Y TECNICAS DE AUDITORIA DE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

Planificación de la auditoría

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría:

Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores.

Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La

palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.

Técnicas de evaluación de Riesgos.

Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría.

Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia.

Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento.

Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio.

Objetivos de controles y objetivos de auditoría.

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría.

Procedimientos de auditoría.

Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Desarrollo del programa de auditoría.

Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente:

a. Tema de auditoría: Donde se identifica el área a ser auditada. b. Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar. c. Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de

organización que se han de incluir en la revisión en un período de tiempo determinado.

d. Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.

e. Procedimientos de auditoría: para:

• Recopilación de datos.

• Identificación de lista de personas a entrevistar.

• Identificación y selección del enfoque del trabajo

• Identificación y obtención de políticas, normas y directivas.

• Desarrollo de herramientas y metodología para probar y verificar los controles existentes.

• Procedimientos para evaluar los resultados de las pruebas y revisiones.

• Procedimientos de comunicación con la gerencia.

• Procedimientos de seguimiento.

El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente estructura:

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces.

Asignación de Recursos de auditoría.

La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos:

Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible.

Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo.

Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt.

Así mismo las hojas de control de tiempo son generalmente como sigue:

Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de auditoría y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realización del trabajo de auditoría, como los períodos de vacaciones que estos tengan, otros trabajos que estén realizando, etc.

Técnicas de recopilación de evidencias.

La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes:

Revisión de las estructuras organizacionales de sistemas de información.

Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, si no en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador.

Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria.

Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría.

Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuándo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.

Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software genérico, especializado o utilitario.

Evaluación de fortalezas y debilidades de auditoría.

Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control.

En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoría. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello.

Seguimiento de las observaciones de auditoría.

El trabajo de auditoría es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoría si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de

seguimiento dependerá del carácter crítico de las observaciones de auditoría. El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema.

ELEMENTOS BÁSICOS DEL INFORME DE AUDITORÍA

La materialización final del trabajo llevado a cabo por los auditores independientes se documenta en el dictamen, informe u opinión de auditoría. Además, para aquellas entidades sometidas a auditoría legal, este documento junto con las cuentas anuales del ejercicio forma una unidad, siendo obligatorio para proceder al depósito de cuentas anuales en el Registro Mercantil que se incluya el informe emitido por los auditores de la sociedad, conjuntamente con las cuentas firmadas por todos los administradores (o la indicación expresa de no suscripción de las cuentas) y aprobadas por la Junta General de accionistas de la sociedad; para dar más credibilidad a todo el procedimiento, se exige depositar también una certificación del acta de la Junta General que aprobó las cuentas, con las firmas de quien la expide legitimadas notarialmente.

El informe de auditoría independiente deberá contener, como mínimo, los siguientes elementos básicos:

1. El título o identificación.

2. A quién se dirige y quienes lo encargaron.

3. El párrafo de “alcance”.

4. El párrafo legal o comparativo.

5. *El párrafo o párrafos de “énfasis”.

6. *El párrafo o párrafos de “salvedades”.

7. El párrafo de “opinión”.

8. *El párrafo sobre el “Informe de Gestión”.

9. El nombre, dirección y datos registrales del auditor.

10. La fecha del informe.

11. La firma del informe por el auditor.

Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante

la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de información, pero generalmente tiene la siguiente estructura o contenido:

Introducción al informe, donde se expresara los objetivos de la auditoría, el período o alcance cubierto por la misma, y una expresión general sobre la naturaleza o extensión de los procedimientos de auditoría realizados.

Observaciones detalladas y recomendaciones de auditoría.

Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas.

Conclusión global del auditor expresando una opinión sobre los controles y procedimientos revisados.

La auditoria de los sistemas de informática es de mucha importancia ya que para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.

El título o identificación

Deberá identificarse el informe bajo el título de “Informe de Auditoría Independiente de Cuentas Anuales”, para que cualquier lector del mismo pueda distinguirlo de otros informes que puede emitir el auditor resultado de trabajos especiales, revisiones limitadas o informes preparados por personas distintas de los auditores, como pueden ser los informes de la Dirección o de otros órganos internos de la entidad. Por tanto, dicho título sólo se aplicará por el auditor a informes basados en exámenes cuya finalidad sea la de expresar una opinión sobre los estados financieros en su conjunto.

A quién se dirige y quienes lo encargaron

El auditor dirigirá su informe a la persona o al órgano de la entidad del que recibió el encargo de la auditoría. Normalmente, el informe del auditor se dirigirá a los accionistas o socios. En este caso, cuando el encargo del trabajo ha sido realizado por la Junta General de accionistas y el informe va dirigido a ésta (a los accionistas), puede omitirse la especificación referente a que el encargo lo realizó dicha Junta General. En algunas ocasiones el informe se dirige a los administradores o al comité de auditoría, aunque esto sucederá, normalmente, si se trata de una auditoría voluntaria.

Normas de Auditoría Generalmente Aceptadas

Si la empresa sometió a auditoría, de forma voluntaria, las cuentas anuales del ejercicio anterior, las indicaciones a dicho informe de auditoría voluntaria pueden ser omitidas.

En este último caso, el auditor deberá requerir de la entidad que identifique como “no sometidas a auditoría obligatoria” las cifras relativas al ejercicio anterior incluidas en las cuentas anuales a efectos comparativos.

Cuando la sociedad no haya sometido a auditoría las cuentas anuales del ejercicio precedente y no hubiera estado obligado a ello, identificará las cifras comparativas como no auditadas. No obstante, cuando la sociedad hubiera incumplido la obligación de someterse a auditoría en el ejercicio anterior, este hecho deberá ser mencionado en el informe de auditoría.

El párrafo de énfasis

Mediante los párrafos de énfasis, el auditor pone de manifiesto aquellos hechos que considera relevantes o de especial importancia, aunque tales hechos no llegan a afectar a la opinión.

Por tanto, cuando en un informe de auditoría aparece un párrafo de énfasis, el auditor pretende con ello destacar al lector ese hecho en concreto, el cual considera de especial trascendencia para la sociedad, si bien ello no significa que la opinión de auditoría deba recoger salvedad alguna. Nunca debe confundirse, por tanto, un párrafo de énfasis con uno de salvedad.

Un párrafo de énfasis nunca estará referenciado en el informe de auditoría por la expresión “excepto por” ya que expresa un hecho o circunstancia que no afecta a la opinión de auditoría en modo alguno.

UN INFORME DE AUDITORÍA NO SUELE VALER PARA NADA CUANDO...

1. El autor o autores desconocen el negocio. No se puede opinar de lo que no se conoce. Este punto no admite mucha más discusión.

2. El autor o autores no elaboran, cuando es procedente, un mapa de procesos que englobe el universo qué se está auditando, cuál es el alcance y cuál es el objetivo. Otro síntoma más de que no se conoce un ápice el negocio analizado.

3. El autor o autores no han presentado, con carácter previo a la auditoría, un plan sobre qué se va a hacer, cómo y qué recursos harán falta para completar los trabajos. Las auditorías hay que planificarlas, y si no se planifican, sólo puede ser síntoma de desorden y de hacer las cosas al vuelo y sin pensarlas.

4. El autor o autores no orientan su trabajo a riesgos. Dedicar el trabajo de auditoría a descubrir debilidades sin pararse a pensar cuál es el riesgo que comportan es síntoma de desconocer lo que se tiene entre manos. El resultado es un informe muy útil para el técnico de sistemas, pero inútil para los gestores.

5. El autor o autores sólo hablan de aspectos técnicos. Las debilidades son muchas veces de índole técnica, pero las hay también procedimentales. Un informe donde todos los aspectos de mejora son técnicos es síntoma de que el autor o autores no conocen el

negocio, y es síntoma de que quien ha realizado el informe no se ha tomado la molestia de entender que los sistemas son una parte del negocio y no su alma mater.

6. El autor o autores centran su trabajo exclusivamente en la plataforma. Un parche sin poner en un sistema puede ser relevante, pero es mucho más relevante en muchas ocasiones analizar qué cosas se pueden hacer en un sistema sin recurrir a explotar vulnerabilidades técnicas. Por ejemplo, es mucho más crítico que un usuario de diseño pueda consultar datos reales de producción por no ir enmascardos que el sistema esté expuesto a un DoS por no tener un parche puesto.

7. El autor o autores abusan del lenguage técnico. Un informe de auditoría hay que dirigirlo a los gestores del área implicada y preferiblemente, a los responsables del negocio, ya que ellos son los que deben encarrilar acciones para remediar las debilidades halladas. Un informe con mucho lenguage técnico no es comprensible por los gestores de un negocio, y por lo tanto, es inútil.

8. Opinión de auditoría inconsistente o inexistente. Un informe que no condense en dos o tres páginas un resumen de los riesgos relevantes y lo que significa la exposición a los mismos para el negocio no aporta valor alguno.

9. El autor o autores dedican gran parte del informe a riesgos irrelevantes. Es obvio, un informe en el que el 90% de las páginas está repleto de debilidades poco significativas, no vale absolutamente de nada. Sólo interesan los riesgos relevantes. El resto es paja para vender el informe. Un razonamiento análogo se puede aplicar a espectaculares Power Point de cientos de diapositivas, donde sólo unas pocas son relevantes.

10. El autor o autores no expresan de una manera concisa, y para cada debilidad, un título descriptivo y comprensible, un resumen de la problemática, un pequeño detalle de los hallazgos, la traducción en términos de riesgo y cuáles son las acciones recomendadas para subsanar los problemas.

11. El autor o autores no dialogan con los responsables para consensuar responsables y fechas de resolución. Un informe tiene que servir para medir si las cosas se resuelven o no, por lo que un informe que no tiene fechas ni responsables concretos de resolución, pactados con el negocio, no sólo es síntoma de que el autor no comprende lo que es la gestión de riesgos, sino que es absolutamente inútil para los dueños del negocio.

12. El autor o autores no han entrevistado a los responsables de las áreas analizadas. Un informe de auditoría verdadero requiere saber de mano de los que conocen los sistemas y los procesos cuáles son las fuentes de riesgo y cuáles son los elementos críticos a analizar. Si no se han producido esas entrevistas, a duras penas ese informe reflejará las necesidades de quien lo patrocina.

13. El autor o autores no discuten las debilidades de manera previa a la emisión del informe. No hay peor cualidad que ir sobrado por la vida, y emitir informes que no se han discutido con los auditados. Además de representar una mala praxis profesional, esto sólo conduce a emitir recomendaciones que, como no se han consensuado, en su gran mayoría serán difíciles de aplicar o imposibles de implantar. Además, en caso de

haber cometido algún error, este pasará al informe y por tanto, dejaremos una imagen profesional lamentable.

14. El autor o autores no presentan a la dirección del área implicada los hallazgos. Los resultados hay que explicarlos, y hay que explicarlos en persona. No hay razones para no hacerlo, salvo que las distancias sean extremas y por tanto, haya que incurrir en costes elevados. Esconderse en un agujero a la hora de presentar resultados no es el camino.

15. El autor o autores no establecen un canal para apoyar al área auditada tras emitir el informe. Si después no hay soporte, apaga y vámonos. Cuanto más cerca del cliente, mejor. Teléfono y correo son lo mínimo exigido, caminar junto al cliente presencialmente es recomendable.

16. El autor o autores no hacen un seguimiento de las recomendaciones. ¿De qué vale emitir un informe si luego no nos preocupamos de si las cosas se han resuelto o no?

USO DEL COBIT EN EL DISEÑO DE UN INFORME DE AUDITORÍA DE SISTEMAS

COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores

Usuarios:

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.

Características

• Orientado al negocio

• Alineado con estándares y regulaciones "de facto"

• Basado en una revisión crítica y analítica de las tareas y actividades en TI

• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la información del negocio

Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).

Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Protección de la información sensible contra divulgación no autorizada

Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.

Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.

Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.

Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.

Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos".

COBIT se divide en tres niveles:

• Dominios

• Procesos

• Actividades

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con sus procesos y una descripción general de las actividades de cada uno:

Acta Testimonial y su Contenido

¿Qué es y para qué sirve?

Un Acta Testimonial (AT) es un documento en formato papel y electrónico (PDF) en el que un tercero, la Asociación de Usuarios de Internet, hace constar el contenido de una página de Internet en una fecha y hora determinada.

Los usuarios pueden utilizarla como procedimiento previo a una demanda, queja o reclamación relacionada con el contenido a testimoniar y los prestadores de servicios como garantía sobre las condiciones ofrecidas a través de Internet (condiciones de venta, contratos,…).

¿Qué incluye el servicio Acta Testimonial (AT)?

AT en Papel

Recoge los datos de la persona de la Asociación que da testimonio, la fecha y hora en la que se hace la consulta, el contenido de la página de Internet (hasta un máximo de 10 folios), una captura gráfica de la primera pantalla de la página en cuestión y un anexo con los datos que figuran en el registro WHOIS del dominio en el que esta alojado este contenido.

Todas las hojas del AT en papel van selladas y firmadas manualmente por la persona de la Asociación que realiza el testimonio (se realizan dos copias una para el solicitante y otra para su archivo en la Asociación).

AT electrónica Se genera un PDF firmado electrónicamente que incluye los siguientes elementos: Acta Impresa, una captura completa de la página web y datos del registro de WHOIS.

Envío del AT al solicitante

Una de las copias del Acta Testimonial en papel se envían por correo postal o bien pueden recogerse en las oficinas de la Asociación C/ Navaleno 32, 28033 de Madriden horario de mañanas.

El solicitante tambien recibirá un correo electrónico con el acta en formado pdf firmada electrónicamente.

Archivo en la Asociación

De todas las actas emitidas se conservan copias en papel durante un año. Este servicio no incluye la personación de la Asociación ni la de la persona que la suscribe en los procedimientos y procesos donde sea utilizada (de ser necesario sería objeto de una valoración para cada caso).

Tipos de Actas testimoniales en la Auditoria de Sistemas.

Actas por incumplimiento de Actividades.

Debido a que puede ser producto de alguna incidencia disciplinaria, es preferible levantar esta acta testimonial por incumplimiento, ya que puede llegar a consecuencias que repercutan en la operación normal de la empresa y en sus activos; por eso es recomendable asentar el hecho lo más claramente posible con lujos y detalles.

Además el levantamiento de esta acta se puede deslindar responsabilidades y, en su caso, fincarlas hacia alguien especial.

Actas de Liberación de Sistemas.

En la operación cotidiana de sistema computacionales, la entrega y liberación de un sistema se realiza mediante algún documento de carácter oficial, mismo que se elaboraran con la participación del representante del área de sistemas que lo entrega y el representante del área que lo recibe, sim embargo, lo más aconsejable es que esta entrega y liberación del sistema se haga por medio de algún acta testimonial, con todos los requisitos indicados anteriormente, a fin de que sea mas formal.

Actas por faltantes activos.

Cuando se sospecha o se sabe de algún faltante en los activos de la empresa, es indispensable levantar un acta testimonial, con el propósito de testificar la desaparición del bien, deslindar y fincar responsabilidades y dejar la constancia del hecho para que sea investigado posteriormente.

Actas por existencia de software pirata en la empresa.

Cuando el auditor encuentra o sospecha de la existencia de software no autorizado o del cual, aparentemente, hacen falta las licencias correspondientes, es su deber levantar muy por debajo de lo normal, apenas lo suficiente para efectuar lo encomendado, ya sean funciones, otorgamientos del servicio o cualquier otro aspecto.

REFERENCIAS

Bibliográficas

• ECHERNIQUE, José Antonio (2004). Auditoría en Informática. Editorial Mc Graw Hill. Mexico D.F

• MUÑOZ RAZO, . (2002). Auditoría en sistemas computacionales. Editorial Pearson.

Electrónicas

• http://www.geocities.com/lsialer/NotasInteresantes1.htm

• http://www.sahw.com/wp/archivos/2007/10/12/informes-de-auditoria-cuando-la-orientacion-al-negocio-y-al-cliente-lo-significan-absolutamente-todo/