Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las siguientes recomendaciones deben ser tomadas en cuenta por los auditores
internos para evaluar las actividades de gobierno de una organización relacionadas con
seguridad de la información.
Los auditores internos tienen que cumplir una función clave en el proceso de
gestión de riesgos de la organización para ejercer la auditoria interna de acuerdo a las
Normas. El cumplimiento de este Consejo para la Práctica es opcional.
1) Los auditores internos en rol de consultores pueden ayudar a la organización a
identificar, evaluar e implantar metodologías de gestión de riesgos y controles
para tratar riesgos. Deben colaborar con la dirección y comité de auditoria
mediante el examen, evaluación, informe y recomendación de mejoras. Los
Consejo de administración y comités de auditoria cumplen una función de
vigilancia para determinar que exista procesos de gestión de riesgos apropiados.
2) El director ejecutivo de auditoría debe obtener un entendimiento de las
expectativas de la dirección y el Consejo respecto a la actividad de auditoria
interna en el proceso de gestión de riesgos.
3) Las responsabilidades de actividades deben estar apropiadamente
documentadas en los planes estratégicos, políticas del Consejo, y otros tipos de
instrumento de gobierno de la organización.
4) El rol de la actividad de auditoria interna en el proceso de gestión de riesgos de
una organización puede variar a través del tiempo, por ejemplo:
a) No cumplir ninguna función
b) Auditar el proceso de gestión de riesgos como parte del plan de auditoria
interna
c) Manejar y coordinar el proceso de gestión de riesgos.
Los auditores internos deben tomar en cuentas las siguientes sugerencias para
que puedan abarcar todos los procedimientos que sean necesarios para trabajos de
aseguramiento consultoría integrales relacionados con el cumplimiento de
reglamentaciones.
Se motiva a los auditores internos a buscar consejo legal en todos los asuntos con
implicaciones legales, dado que los requerimientos pueden varia significativamente las
distintas jurisdicciones.
2) Los cambios continuos en la tecnología ofrecen una gran oportunidad así como
un gran riesgo para la auditoria interna. Se debe entender antes los cambios en
los negocios y sistemas de información, riesgos relacionados, alineación de
estrategias con el diseño de la empresa y requerimientos del mercado. Se debe
revisar los procesos y decisiones de planificación estratégica con respecto a lo
siguiente:
a) ¿Qué riesgos son serios?
b) ¿Para cuáles de ellos se puede contratar un seguro?
c) ¿Qué tipo de vigilancia se requiere?
d) ¿Qué controles compensatorios adicionales serán necesarios?
3) Principales componentes de una auditoria de actividades de comercio
electrónico son los siguientes:
a) Evaluar la estructura de control interno, incluyendo las pautas establecidas
por la dirección. Proporciona un aseguramiento razonable, las metas y
objetivos serán alcanzados.
b) Determinar si los riesgos son aceptable
c) Entender el flujo de información.
4) Se plantean problemas al director ejecutivo de auditoria al desempeñar un
trabajo de comercio electrónico se relacionan con la competencia y capacidad
de la actividad de auditoria interna. Entre los posibles factores:
a) ¿Se necesita capacitación u otros recursos?
b) ¿Es suficiente el nivel personal a corto y largo plazo?
5) Preguntas del auditor interno durante la evaluación de riesgos. En la publicación
del IIA, SAC. Puede ayudar al auditor interno en la planificación de auditorias.
Las preguntas que debe considerar son las siguientes:
a) ¿Existe un plan de negocios para el proyecto o programa de comercio
electrónico?
b) ¿Se ha analizado y considerado los requerimientos gubernamentales y de
regulaciones?
c) ¿La evaluación de riesgos incluye las fuerzas internas y externas?
d) ¿El contrato incluye derechos de auditoria?
8) El objetivo general de auditoria debe ser asegurar que todos los procesos de
comercio electrónico tengan controles internos eficaces.
9) Los objetivos de auditoria para un trabajo de comercio electrónico pueden incluir:
a) Evidencia de las transacciones de comercio electrónico
b) Interfaces eficaces entre los sistemas de comercio electrónico y financieros
c) Seguridad de las transacciones monetarias
d) Cumplimiento de las normas comunes de seguridad
e) Uso y control eficaz de las firmas digitales
10)Los detalles del programa de auditoria para actividades de comercio electrónico
en organizaciones específicas variarán según el sector económico de la
organización, el país, y los modelos legales y negocios.
a) Organización del Comercio Electrónico- El auditor interno debe:
Determinar el valor de las transacciones, identificar las partes
interesadas
Revisar el proceso de gestión del cambio
Examinar el proceso de aprobación
Revisar los procedimientos de firma digital
Comprobar la política de respuesta ante incidentes
b) Fraude- El auditor interno debe estar alerta ante:
Duplicación de pagos
Informes y procedimientos de excepción, y eficacia del seguimiento.
Protecciones contra virus y actividades de hackers
Rechazo de ordenes dadas o recibidas, de bienes recibidos o pagos
efectuados.
c) Autenticación- el auditor interno debe revisar las políticas de autenticación de
transacciones y evaluación de controles.
Evidencia de revisiones regulares
Herramientas de autoevaluación de control utilizadas por la dirección
Verificaciones independientes regulares, segregación de funciones.
d) Corrupción de datos- El auditor interno debe evaluar los controles de
integridad de datos.
¿Alguien puede destruir pistas de auditoria?
¿Cuáles son los procedimientos para solicitar y registrar
¿el proceso de ofertas on-line proporciona adecuada documentación?
e) Problemas de dirección- El auditor interno debe evaluar si las unidades de
negocio están manejando adecuadamente el proceso de comerció
electrónico.
Revisiones del ciclo de vida de desarrollo de sistemas
Selección de proveedores, capacidades de proveedores,
confidencialidad de empleados y garantías.
Revisiones económicas posteriores a la implantación.
Este consejo para la práctica sugiere las salvaguardas mínimas para asegurar
que los temas medioambientales sean informados en forma oportuna y al nivel
apropiado.
Riesgos Potenciales
1) El director ejecutivo de auditoria debe incluir los riesgos medioambientales,
sanitarios y de seguridad en toda evaluación de gestión de riesgos para toda la
empresa.
2) Si el Director ejecutivo depende en gran medida de una función de auditoria
medioambiental si encuentra la gestión de los riesgos M, S y S. esta conclusión
producirá cambios en el plan de trabajo.
3) Las funciones de auditoria medioambiental reportan al responsable de su
organización. Enfoque de auditoria medioambiental:
El Director y jefe de auditoria medioambiental están en unidades
funcionales separadas con poco contacto entre ellos y coordinan
actividades. El director tiene la responsabilidad de auditar los asuntos
medioambientales.
4) De acuerdo con un informe resumido del IIA sobre cuestiones de auditoria del
medio ambiente:
La mitad de los auditores medioambientales rara vez se reúne con un
comité del órgano del gobierno.
El 40% de las organizaciones informaron que habían pagado multas.