AUDITORIA DE SISTEMAS
¿Qué es la metodología de Auditoria de SI?
Un camino estructurado de forma lógica
para asegurar el éxito de proyectos de auditoría de informática. Un grupo de
etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de
cualquier giro para planear y desarrollar proyectos de auditoría en
informática.
Metodología y Estándares
Utilización de metodologías,
instrumentos y procedimientos operativos propios. En la planificación de las
auditorías informáticas Empleo de marcos referenciales para la declaración de
los objetivos del control. En el desarrollo de las auditorías informáticas
empleo de herramientas de auditoría específicas.
Los organismos internacionales que se
ocupan del control y de la auditoría de SI son fuente de fuente de estándares:
- COBIT investiga, desarrolla, publica y promueve un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
- ISO Organización Internacional para la estandarización.
- COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.
1. COBIT:
La misión de COBIT es "investigar,
desarrollar, publicar y promocionar un conjunto de objetivos de control
generalmente aceptados para las tecnologías de la información que sean
autorizados (dados por alguien con autoridad), actualizados, e internacionales
para el uso del día a día de los gestores de negocios (también directivos) y
auditores". Gestores, auditores, y usuarios se benefician del desarrollo
de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías
de la información) y decidir el nivel de seguridad y control que es necesario
para proteger los activos de sus compañías mediante el desarrollo de un modelo
de administración de las tecnologías de la información.
- COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.
- COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.
- COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.
2. ISO
¿Qué es ISO?
La Organización Internacional para la
Estandarización (ISO) es una federación de alcance mundial integrada por
cuerpos de estandarización nacionales de 130 países, uno por cada país.
La
ISO es una organización no gubernamental establecida en 1947. La misión de la
ISO es promover el desarrollo de la estandarización y las actividades con ella
relacionada en el mundo con la mira en facilitar el intercambio de servicios y
bienes, y para promover la cooperación en la esfera de lo intelectual, científico,
tecnológico y económico.
Todos
los trabajos realizados por la ISO resultan en acuerdos internacionales los
cuales son publicados como Estándares Internacionales.
¿De dónde proviene el nombre ISO?
Muchas
personas habrán advertido la falta de correspondencia entre el supuesto
acrónimo en inglés de la Organización y la palabra “ISO”. Así sería, pero ISO
no es el acrónimo.
En
efecto, “ISO” es una palabra, que deriva del Griego “isos”, que significa
“igual”, el cual es la raíz del prefijo “iso” el cual aparece en infinidad de
términos. Desde “igual” a “estándar” es fácil seguir por esta línea de
pensamiento que fue lo que condujo a elegir “ISO” como nombre de la
Organización.
ISO Estándares
¿Cómo desarrolla la ISO sus estándares?
La Organización
Internacional para la Estandarización estipula que sus estándares son
producidos de acuerdo a los siguientes principios:
1) Consenso: Son tenidos en cuenta los puntos de
vistas de todos los interesados: fabricantes, vendedores, usuarios, grupos de
consumidores, laboratorios de análisis, gobiernos, especialistas y
organizaciones de investigación.
2) Aplicación Industrial Global: Soluciones globales para satisfacer a
las industrias y a los clientes mundiales.
3) Voluntario: La estandarización
internacional es conducida por el mercado y por consiguiente basada en el
compromiso voluntario de todos los interesados del mercado
3. COSO
Que es COSO?
El Informe COSO es un documento que
contiene las principales
directivas para la implantación, gestión y control de un sistema de control.
Debido a la gran aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO se ha convertido
en el estándar de referencia.
Existen en la actualidad 2 versiones del
Informe COSO. La versión del 1992 y
la versión del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.
Es un medio para un fin, no un fin en sí mismo. Efectuado por la
junta directiva, gerencia u otro personal. No es sólo normas,
procedimientos y formas involucra
gente. Aplicado en la definición de la estrategia y aplicado a
través de la organización en cada nivel y unidad Diseñado para
identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos,
proveer seguridad razonable para la administración y para la junta directiva de
la organización orientada
al logro de los objetivos del negocio.