0 calificaciones0% encontró este documento útil (0 votos)
17 vistas4 páginas
Este documento habla sobre la importancia del monitoreo y la auditoría como actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos. Explica que cada actividad debe tener un marco definido y establece los pasos que debe seguir un plan de auditoría y monitoreo basado en el riesgo. También describe los dos tipos de auditorías que se pueden realizar en una empresa, internas o externas, y los objetivos que persiguen.
Este documento habla sobre la importancia del monitoreo y la auditoría como actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos. Explica que cada actividad debe tener un marco definido y establece los pasos que debe seguir un plan de auditoría y monitoreo basado en el riesgo. También describe los dos tipos de auditorías que se pueden realizar en una empresa, internas o externas, y los objetivos que persiguen.
Este documento habla sobre la importancia del monitoreo y la auditoría como actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos. Explica que cada actividad debe tener un marco definido y establece los pasos que debe seguir un plan de auditoría y monitoreo basado en el riesgo. También describe los dos tipos de auditorías que se pueden realizar en una empresa, internas o externas, y los objetivos que persiguen.
Monitoreo y Auditoría La auditoría y el monitoreo son actividades dinámicas y continuas dentro de la implementación de un sistema de gestión de riesgos, y debe hacerse de acuerdo con las necesidades y el contexto de la organización. Cada actividad debe tener un marco definido que proporciona a la alta dirección la comprensión de las expectativas generales y el enfoque a medida que se ejecuta el plan.
El marco, para la ejecución del plan de auditoría y monitoreo basado en
el riesgo, debe:
● Establecer el propósito y el objetivo de la auditoría o el
seguimiento.
● Identificar el alcance de los objetivos, asegurando que sean
medibles y precisos.
● Considerar si se puede necesitar asesoría legal para establecer el
enfoque de la actividad.
● Llevar a cabo una discusión inicial con el área de negocios
auditada, para obtener información relacionada con las características de la auditoría, el tiempo necesario y el proceso por el que se auditará.
● Desarrollar un formato para la presentación de informes
apropiado.
● Realizar la auditoría o el monitoreo, según corresponda.
● Identificar hallazgos preliminares y presentar observaciones.
● Ofrecer la oportunidad para que los hallazgos y las observaciones
sean validados por la organización o por el área auditada. ● Finalizar los informes.
● Identificar los procesos para el seguimiento después de que la alta
dirección tome medidas correctivas relacionadas con los hallazgos y las observaciones.
● Determinar los puntos clave de la auditoría o el monitoreo que
deben ser reportados a la alta dirección.
El proceso general de desarrollo y ejecución del plan de auditoría y
monitoreo según ISO 31000 debe ser documentado. Esto incluye una descripción de la forma en que se realiza la evaluación de los riesgos y la metodología que se utilizó para priorizarlos.
Se deben adjuntar los documentos de trabajo que respaldan los
hallazgos, los informes y las correcciones. Los planes de acción deben ser documentados y archivados apropiadamente.
Con la auditoría se busca la actualización continua de los programas y
equipos tecnológicas de las empresas y ver si se corresponden con la normativa legal establecida en el entorno en el que se mueve. Se pueden realizar auditorías del software de toda la empresa, o solo de algunas partes que nos interesan. Por ejemplo, auditoría de software contable o de seguridad, entre otros. Los objetivos que persigue la auditoría de software son:
● Análisis del software y hardware de la empresa
● Conocer el rendimiento de la inversión tecnológica realizada
● Realizar un inventario de los activos software de la empresa
● Relación entre el software y el hardware de la empresa para
comprobar la legalidad de las licencias.
Para ello, se analizan todos los equipos informáticos de la organización
ya sean físicos o virtuales, y los software utilizados para su funcionamiento, como también los antivirus. También se controlan de los equipos o los contratos que se mantengan con las empresas proveedoras del software.
Existen dos tipos de auditorías para realizar en tu empresa. Por un lado,
puede ser la propia empresa quien haga una auditoría interna y destine como recurso a sus propios empleados para controlar cuál es la situación de los equipos informáticos que se poseen.
Por otro lado, las organizaciones también pueden realizar auditorías
externas en las que contratan a otras empresas para que hagan el control sobre el estado del software. Estas empresas estudian con detalle toda la parte informática de software y hardware, ofrecen unas conclusiones sobre la auditoría realizada y cuál es la forma en que se puede actuar para obtener una mejora de la situación actual.
También se puede dar el caso en que se realicen auditorías de software
con el objetivo de comprobar la total legalidad de los programas de software y licencias utilizadas por la empresa. En ese caso puede ser la propia empresa creadora del software la que haga la auditoría para comprobar que todo se encuentra bajo los marcos legales.
Un ejemplo de ello, puede ser Microsoft que haga una inspección de
software en una empresa para comprobar que los ordenadores no poseen instalado el windows pirata. Para ello, comprueban el número de licencias contratadas y el número de ordenadores que lo poseen y saben si hay más de los obtenidos mediante su compra.