Participante: Sm3 Mendoza Takacs Erik Chisthian Sm3 Luis Enrrique Artahona Sm3 Jose Ali Padilla Sm3 Freddy Quintero MISIÓN DE LA AUDITORIA • La auditoría tiene como misión controlar una entidad o empresa, identificando puntos de mejora y riesgos. De este modo, las empresas se autoevalúan con el objetivo de tomar mejores decisiones en base a las conclusiones que el auditor ofrece mediante el informe de auditoría interno. • Uno de los objetivos más importantes de este tipo de auditoría es la de detectar y reducir los riesgos existentes o potenciales de la empresa o institución, siendo altamente aconsejable en organizaciones de ciertos sectores. • Además, en ciertos sectores, existen leyes por las cuales se regula la actividad interna de las empresas que operan en el mismo, siendo legislaciones altamente complejas y a las que hay que adaptar el funcionamiento interno de manera precisa. • A la hora de auditar internamente una empresa o institución, obviamente, cobra especial relevancia el tamaño de la misma. Por eso nuestros auditores cuentan con formación y experiencia del más alto nivel en organizaciones con estructuras complejas y de alcance internacional, para poder cubrir todas las áreas y acciones que se deban llevar a cabo en cualquier tipo de empresa. • Asimismo, a la hora de realizar una auditoría interna cobra especial importancia la independencia y objetividad con la que cuente el auditor, siendo Legalnet una firma que exige y aporta todos los medios necesarios para que esta necesidad sea una base sobre la que trabajar. • Para ello, la empresa que desee realizar este tipo de procedimiento, deberá dar total acceso a la documentación de la empresa, además de a los procesos y a los empleados, para que nuestros expertos puedan ofrecer un resultado final transparente y fiel a la realidad. Por ello, debido al alto grado de apertura que ha de realizar la compañía con nuestros expertos, Legalnet ofrece la máxima confidencialidad y confianza. ESTÁNDARES Y LINEAMIENTOS DE LA AUDITORÍA DE SISTEMAS
Definen los requerimientos obligatorios para la auditoría de
sistemas y la generación de informes. Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el «Garantizar la Seguridad de los Sistemas». Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS • Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen. • Título de auditoría: Responsabilidad, autoridad y rendimiento de cuentas La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de auditoría de los sistemas de información se documentarán de la manera apropiada en un título de auditoría o carta de contratación. • Independencia: profesional En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas de información deberá ser independiente de la organización auditada tanto en actitud como en apariencia. • La función de auditoría de los sistemas de información deberá ser lo suficientemente independiente del área que se está auditando para permitir completar de manera objetiva la auditoría. • Ética y normas profesionales: Código de Ética Profesional El auditor de sistemas de información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información. • Idoneidad: Habilidades y conocimientos El auditor de sistemas de información debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor. • Planificación: Planificación de la auditoría El auditor de sistemas de información deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional. • Ejecución del trabajo de auditoría: Supervisión El personal de auditoría de los sistemas de información debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de auditoría profesional. • Informes: Contenido y formato de los informes En el momento de completar el trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance, los objetivos, el período de cobertura y la naturaleza y amplitud del trabajo de auditoría realizado. • Actividades de seguimiento: Seguimiento El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna ANÁLISIS DE RIESGOS • El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
• A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual. • Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones: • Identificación de los activos. • Identificación de los requisitos legales y de negocio que son relevantes para la identificación de los activos. • Valoración de los activos identificados, teniendo en cuenta los requisitos legales y de negocio identificados anteriormente, y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. • Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. • Cálculo del riesgo. • Evaluación de los riesgos frente a una escala de riesgo preestablecidos. • Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser: • Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles. • Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. • Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. • Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta. CONTROL Control. Es un mecanismo de seguridad de prevención y corrección empleado para disminuir las vulnerabilidades Este proceso administración de riesgo es un proceso continuo dado que es necesario evaluar periódicamente si los riesgos encontrados y si estos tienen una afectación, hay que hacer cálculo en las diferentes etapas del riesgo. La mecánica que se ve inversa el mayor número de las organizaciones hoy en día es en el esfuerzo del día a día. Es por eso realizar análisis de riesgo del proyecto referido al proyecto y el impacto futuro en la estructura de riesgo de la organización. AA METODOLOGÍA DE UNA AUDITORIA INFORMÁTICA • Como auditor se debe recolectar toda la información general, que permita así mismo definir un juicio global objetivo siempre amparadas en pruebas o hechos demostrables. Dar como resultado un informe claro, conciso y a la vez preciso depende del análisis y experiencia del auditor, frente a diferentes entornos a evaluar, dependiendo de las debilidades y fortalezas encontradas en dicha empresa auditada. La recolección de información, el análisis, la aplicación de diferentes normas de acuerdo al tipo de auditoria, los hallazgos encontrados y pruebas que avalen estos resultados son indispensables en la realización de una auditoria. Para llegar al resultado hay que seguir una serie de pasos que permiten tener claridad y orden de la auditoria a aplicar EL MÉTODO DE TRABAJO DEL AUDITOR PASA POR LAS SIGUIENTES ETAPAS:
• Alcance y objetivos de la auditoria informática.
• Estudio inicial del entorno auditable. • Determinación de los recursos necesarios para realizar la auditoria. • Elaboración del plan y de los programas de trabajo. • Actividades propiamente dichas de la auditoria. • Confección y redacción del informe final. • Redacción de la carta de introducción o carta de presentación del informe final. BIBLIOGRAFIA • https://legalnet.es/auditoria/auditoria-interna/#:~:text=La%20auditor%C3%ADa%20interna%20tiene%20c omo,el%20informe%20de%20auditor%C3%ADa%20interno . • https://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico#:~: text=El%20an%C3%A1lisis%20de%20riesgos%20inform%C3%A1ticos,adecuados%20para%20aceptar%2C% 20disminuir%2C%20transferir • https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-informatica-objetivos-alcance-y-metodologia-tec nicas-y-herramientas-normas-y-estandares/#:~:text=La%20auditoria%20inform%C3%A1tica%20es%20el,y %20utiliza%20eficientemente%20los%20recursos .