GUIA PARA LA REALIZACIÓN DE LA AUDITORIA DE SISTEMAS PARA LA EMPRESA SAMALEJA LTDA
JAIDID RIOS MEJIA CODIGO: 221294 LEIDY KARINA GARCÍA LAZCANO CODIGO: 221307 SANDRA MILEIDY GUEVARA SANGUINO CODIGO: 221296 MARÍA ALEJANDRA GARCÍA CÁRDENAS CÓDIGO: 221308
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECÓNOMICAS CONTADURÍA PÚBLICA AUDITORIA SISTEMAS OCTAVO SEMESTRE 2017
GUIA PARA LA REALIZACIÓN DE LA AUDITORIA DE SISTEMAS PARA LA EMPRESA SAMALEJA LTDA
JAIDID RIOS MEJIA CODIGO: 221294 LEIDY KARINA GARCÍA LAZCANO CODIGO: 221307 SANDRA MILEIDY GUEVARA SANGUINO CODIGO: 221296 MARÍA ALEJANDRA GARCÍA CÁRDENAS CÓDIGO: 221308
ÁNGELA MARIA GUERRERO BAYONA INGENIERA DE SISTEMAS
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECÓNOMICAS CONTADURÍA PÚBLICA AUDITORIA DE SISTEMAS OCTAVO SEMESTRE 2017
INTRODUCCIÓN
INTRODUCCIÓN
Etimológicamente la palabra “auditoría” deriva del latín audite que significa oir, el sustantivo latino auditor significa "el que oye". Los primeros auditores ejercían sus funciones principalmente oyendo, juzgando la verdad o falsedad de lo que les era sometido a su verificación. 1 Muchas pueden ser las definiciones de auditoría, dependen del enfoque disciplinario de quienes la elaboran; en nuestro caso proponemos la siguiente: Auditoría es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis. Auditar es efectuar el control y la revisión de una situación pasada. Es observar lo que pasó en una entidad y contrastarlo con normas predefinidas. La presente auditoria de sistemas se realiza con el fin de encontrar hallazgos en el área auditada, con el objetivo de solucionar las deficiencias existentes y mejorarlas creando así un desarrollo eficiente y eficaz al momento de ejecutar las operaciones de la empresa auditada, debido a que es la Auditoria de sistemas la encargada de revisar y evaluar los procesos sistemáticos de información que se encuentran en los equipos técnicos, puesto que las diferentes actividades a realizar se ven relacionadas con el funcionamiento de los mismos. Por lo tanto, se pretende llevar a cabo una serie de pasos que permitan contribuir de manera significativa en el desempeño de los sistemas de información.
AUDITORÍA DE SISTEMAS
AUDITORIA DE SISTEMAS Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. (Ynfante, 2009). La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión. La Auditoría de sistemas busca una mejor relación, costo – beneficio de los sistemas automáticos diseñados e implementados por el área de Procesamiento de datos, así mismo Incrementa la satisfacción de los usuarios de los Sistemas computarizados, por lo cual asegura una mayor Integridad, Confidencialidad y Confiabilidad de la información mediante la recomendación de seguridad y control, permitiendo conocer la situación actual del área informática y las actividades, esfuerzos necesarios para lograr los objetivos propuestos, por ende brinda seguridad al personal, Datos, Hardware, Software e instalaciones.
Agosto 25 de 2017
CARTA DE PRESENTACIÓN Señores SAMALEJA LTDA Estimados señores Nos es grato someter a su consideración nuestra propuesta para la prestación de los servicios profesionales de auditoría administrativa. Nuestro propósito en particular es poder servir a la empresa SAMALEJA LTDA y estaremos comprometidos a ofrecer sus mejores recursos humanos y técnicos para hacerlo. Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia, creatividad y por, sobre todo, espíritu de trabajo y dedicación. Una característica de nuestra modalidad de servicio es nuestro contacto personal con el cliente, en especial de nuestros socios y gerentes, de modo tal de estudiar las cuestiones a medida que surjan, tratando en lo posible de anticiparnos a los problemas. El equipo de trabajo estará dirigido por todos los socios de la Firma, quienes seremos los responsables de asegurar que reciban un servicio de la más alta calidad. El trabajo de campo será ejecutado por personal capacitado y experimentado en el área administrativa. Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que se adecua a sus necesidades y responde a nuestra filosofía de servicios profesionales de alto valor agregado.
Quedamos a nuestra disposición pronta respuesta de nuestra solicitud o ampliaciones que Uds. Consideren necesarias.
Sin otro particular, los saludamos muy atentamente
Jaidid Ríos Mejía C.C 1.1.064.840.096 Representante legal
ACEPTACION DE LA PROPUESTA DE SERVICIOS DE AUDITORIA
Señores R3G Firma de auditoria Contadores públicos y Auditores
Estimados señores: Por este medio confirmamos nuestra aceptación a la propuesta de servicios profesionales y a los términos de su carta con fecha 25 de Agosto del año en curso, para efectuar la auditoria Administrativa de la empresa SAMALEJA LTDA por el periodo comprendido del 30 de Agosto hasta 30 de Noviembre de 2017
Atentamente,
TERMINOLOGÍA
TERMINOLOGÍA Amenaza: Situación o evento con que puede provocar daños en un sistema. Auditado: organización que es auditada. Auditar: Es una actividad informática que requiere un determinado desempeño profesional para cumplir unos objetivos precisos. Auditor: persona con la competencia para llevar a cabo una auditoría. Auditoría: proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría. Bases de Datos: Colección de datos organizada de tal modo que el ordenador pueda acceder rápidamente a ella. Una base de datos relacionar es aquella en la que las conexiones entre los distintos elementos que forman la base de datos están almacenadas explícitamente con el fin de ayudar a la manipulación y el acceso a éstos. Bitácoras: Es como el "diario" de algunos programas donde se graban todas las operaciones que realizan, para posteriormente abrirlos y ver qué es lo que ha sucedido en cada momento. Calidad: Es la propiedad o conjunto de propiedades inherentes a una cosa que permiten apreciarla como igual, mejor o peor que las restantes de su especie. Cliente-Servidor: Se denomina así al binomio consistente en un programa cliente que consigue datos de otro llamado servidor sin tener que estar obligatoriamente ubicados en el mismo ordenador. Esta técnica de consulta 'remota' se utiliza frecuentemente en redes como 'Internet'. COBIT (Control Objectives for Information Systems and related Technology) que traduce Objetivos de Control para Tecnología de Información y Tecnologías relacionadas: es un modelo utilizado para auditar los sistemas de información de toda la organización, incluyendo los computadores personales y las redes. El COBIT evalúa la capacidad que tiene los sistemas, desde los diferentes sectores de la empresa, de generar información pertinente y confiable para la consecución de los objetivos establecidos en una organización. Competencia: atributos personales y aptitud demostrada para aplicar conocimientos y habilidades. Conclusiones de la auditoría: resultado de una auditoría, que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría. Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados. Control de Calidad: Es aquello que asegura que las prestaciones son exactas y apropiadas sobre el servicio o producto. Controles Correctivos: Son aquellos que corrigen errores, omisiones o actos maliciosos una vez detectados (Verificación de la fechas de las facturas) Controles de Detección: Son aquellos que detectan que se ha producido un error, omisión o acto malicioso e informan de su aparición (Impresión del registro histórico) Controles Preventivos: Son aquellos controles diseñados para evitar que se produzca un error, omisión o acto malicioso. (Software de control de acceso)
Criterios de auditoría: conjunto de políticas, procedimientos o requisitos; estos criterios de auditoría se utilizan como una referencia frente a la cual se compara la evidencia de la auditoría. Datos: Término general para la información procesada por un ordenador. Eficacia: Es aquello que permite que una cosa sea eficaz. Eficiencia: Conjunto de atributos que se refieren a las relaciones entre el nivel de rendimiento del software y la cantidad de recursos utilizados bajo unas condiciones predefinidas. Evaluación de Riesgo: Es el proceso utilizado para identificar y evaluar riesgos y su impacto potencial. Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables, para la empresa esta información puede ser tanto cualitativa como cuantitativa. Evidencia: Es toda información que utiliza el AI para determinar si el ente o los datos auditados siguen los criterios u objetivos de la auditoría. Fiabilidad: Es el conjunto de atributos que se refieren a la capacidad del software de mantener su nivel de rendimiento bajo unas condiciones especificadas durante un período definido. Hallazgos de la auditoría: resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. Integridad: La habilidad de determinar que la información recibida es la misma que la información enviada. Lenguaje: En informática, conjunto de caracteres e instrucciones utilizadas para escribir programas de ordenador. Metodología: Conjunto de métodos utilizados en la investigación científica Norma: Principio que se impone o se adopta para dirigir la conducta o la correcta realización de una acción o el correcto desarrollo de una actividad. Papeles de trabajo: Registra el planeamiento, naturaleza, oportunidad y alcance de los procedimientos de auditoría aplicados por el auditor y los resultados y conclusiones extraídas a la evidencia obtenida. Se utilizan para controlar el progreso del trabajo realizado para respaldar la opinión del auditor. Los papeles de trabajo pueden estar constituidos por datos conservados en papel, película, medios electrónicos u otros medios. Plan de auditoría: descripción de las actividades y de los detalles acordados de una auditoría. Procesamiento de datos: Conjunto de diferentes operaciones en secuencia sistemática sobre el dato, las cuales se basan en la elaboración, manipuleo y tratamiento del mismo, mediante máquinas automáticas para producir los resultados esperados. Red: Servicio de comunicación de datos entre ordenadores. Conocido también por su denominación inglesa: 'network'. Se dice que una red está débilmente conectada cuando la red no mantiene conexiones permanentes entre los ordenadores que la forman. Esta estructura es propia de redes no profesionales con el fin de abaratar su mantenimiento. Riesgo de Control: Es el riesgo que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo de Detección: Es el riesgo que a través de la labor de auditoría no se detecten errores o irregularidades significativas en el caso que existiesen y no hubiesen sido
prevenidos o detectados por los sistemas de control. Riesgo del Negocio: Son aquellos riesgos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto. Riesgo Global de Auditoría: Es la combinación de categorías individuales de riesgos de auditoría evaluados para cada objetivo de control individual específico. Riesgo Inherente: Es la susceptibilidad a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control. Riesgo: Es la posibilidad de que ocurra un hecho o suceso que pueda tener efecto adverso sobre la organización y sus sistemas de información. Software: Componentes inmateriales del ordenador: programas, sistemas operativos, etc. Técnicas: Conjunto de procedimientos de una ciencia los cuales nos ayudan a solucionar problemas. Vulnerabilidad: Es la situación creada, por falta de uno o varios controles, con lo que la amenaza pudiera acaecer y así afectar al entorno informático.
PRINCIPIOS
PRINCIPIOS DE AUDITORÍA EN LA EMPRESA SAMALEJA LTDA La empresa SAMALEJA Ltda. Comprometida con las obligaciones legislativa cumple a cabalidad los principios de auditoria, contemplados como “verdades fundamentales evidentes”, así lo señala la norma ISO 19011, y de acuerdo a esta misma normatividad se clasifican en principios referentes al auditor y a la auditoría, de los cuales a continuación se relacionan con la empresa SAMALEJA LTDA. Principios referentes a los auditores: Hace referencia a las exigencias que debe reunir el personal de auditoría en cuanto a la responsabilidad y la necesidad del suficiente cuidado profesional para llevar a cabo una auditoría, se destaca: Conducta ética: La empresa SAMALEJA LTDA destaca entre su proceso selectivo a un auditor que cumpla a feliz término con la característica señalada “fundamento de la profesionalidad” y que se destaque de dicho profesional aspectos positivos tales como: Confianza, integridad, confidencialidad y discreción; esenciales para auditar. Presentación ecuánime: Para SAMALEJA LTDA se hace indispensable que el profesional auditor tenga entre sus principios “la obligación de informar con veracidad y exactitud”. De esta manera los hallazgos, conclusiones e informes de la auditoría reflejan veracidad y exactitud las actividades de la auditoría. Mostrando la realidad de la empresa para mejoras futuras. Debido cuidado profesional: En SAMALEJA LTDA los auditores deben proceder con debido cuidado, de acuerdo con la importancia de la tarea que desempeñan, jamás defraudar la confianza depositada en ellos por el cliente y por otras partes interesadas. Debido a lo anterior se hace fundamental que el auditor tenga la competencia necesaria y requerida por la entidad para realizar la respectiva auditoria. Principios referentes a la auditoría: Establecen criterios y elementos requeridos para que el auditor sustente su opinión. Independencia: Para SAMALEJA LTDA la independencia constituye “la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría”. Pues debe ser el auditor recto y autónomo de su actividad para actuar de manera objetiva durante la auditoria, pero debe ser al mismo tiempo independiente de la auditoria para que en ningún momento se presente sesgo en intereses particulares. Enfoque basado en la evidencia: indica que el enfoque es “el método racional para alcanzar conclusiones de la auditoría fiable y reproducible en un proceso de auditoría sistemático”. De acuerdo a lo anterior la empresa SAMALEJA LTDA considera que la evidencia de la auditoría debe ser verificable y estar basada en muestras de la información disponible. Cumpliendo la evidencia las anteriores características se puede tener mayor confianza en las conclusiones que otorga la auditoria.
PROGRAMA DE AUDITORIA
PROGRAMA DE AUDITORIA OBJETIVOS: ALCANCE: RECURSOS: CRITERIOS: RESPONSABLE: METODO DE AUDITORIA: IDENTIFICACIÓN DE RIESGOS: FECHA DE ELABORACIÓN:
FECHA DE ACTUALIZACIÓN:
PRIMER CICLO:
SEGUNDO CICLO:
PROCESO DE AUDITORIA
FECHA Y HORA
GRUPO AUDITOR
El programa de auditoria está conformado por los siguientes ítems: OBJETIVOS: En este espacio se identifica el objetivo que se espera lograr en el programa de auditoria ALCANCE: En este espacio se escribe el propósito que se esperan alcanzar en el proceso del programa de auditoria. RECURSOS: En este espacio se determina los recursos que se van a utilizar en el desarrollo del programa de auditoria. CRITERIOS: En este espacio se escriben las normas o pautas para conocer los procedimientos que se llevaran a cabo en el programa de auditoria. RESPONSABLE: En este espacio se mencionan las personas encargadas de realizar el programa de auditoria. METODO DE AUDITORIA: En este espacio se determina el tipo de auditoria que se aplicara en el programa a realizar. IDENTIFICACIÓN DE RIESGOS: En este espacio se identifican los posibles riesgos que tendrá la realización del programa de auditoria.
FECHA DE ELABORACIÓN: En este espacio se identifica la fecha en que se empieza a ejecutar el programa de auditoria. FECHA DE ACTUALIZACIÓN: En este espacio se identifican las fechas en que se realiza determinadas actualizaciones que puedan ocurrir en el transcurso de la realización del programa de auditoria. PRIMER CICLO: En este espacio se mencionan las actividades y procedimientos realizados en la primera etapa del programa de auditoria. SEGUNDO CICLO: En este espacio se mencionan las actividades y procedimientos realizados en la segunda etapa del programa de auditoria. PROCESO DE AUDITORIA: En este espacio se indican los antecedentes, la misión, visión, políticas, manuales y estructura organizacional de la empresa en general. FECHA Y HORA: En este espacio se indica la fecha y hora de iniciación del programa de auditoria. GRUPO AUDITOR: En este espacio se menciona el grupo responsable de la realización del programa de auditoria.
CRONOGRAMA DE AUDITORIA DE SISTEMAS PARA AUDITAR LA EMPRESA SAMALEJA LTDA NO.
ACTIVIDAD PLANEACIÓN
1
Investigación preliminar 1.1. Recopilación de antecedentes 1.2. Establecimiento de objetivos EJECUCIÓN 2. Fase de análisis 2.1. Determinación de áreas criticas 3. Fase de estudio específico 3.1. Conocimiento específico de áreas criticas 3.2. Búsqueda de relaciones causaefecto 3.3. Análisis y evaluación de evidencias probatorias
1
AGOSTO 3 2
4
1
SEPTIEMBRE 2 3
4
1
OCTUBRE 2 3
4
1
NOVIEMBRE 2 3
4
3.4. Preparación de diagnóstico y pronóstico. ELABORACIÓN DE INFORMES 4. Elaboración de informe de auditoria PRESENTACIÓN DE RESULTADOS 5. Entrega de resultados a la administración con sus respectivas recomendaciones
PLAN DE AUDITORIA
N° Duración:
PLAN DE AUDITORIA OBJETIVO:
ALCANCE: PROCESO
DOCUMENTOS
AUDITOR
RESPONSABLE DEL PROCESO
FECHA
HORA
El plan de auditoria está conformado por los siguientes ítems: N°: En este espacio se anota la numeración de las páginas que contiene el Plan de Auditoria DURACIÓN: En este espacio se escribe el tiempo estimado de duración del Plan de Auditoria OBJETIVO: En este espacio se identifica el objetivo que se espera lograr en el programa de auditoria. ALCANCE: En este espacio se escribe el propósito que se esperan alcanzar en el proceso del programa de
auditoria. PROCESO: En este espacio se anotan los procedimientos específicos, los cuales deberán ser diseñados
previamente de manera secuencial, cronológica y ordenada de acuerda a las etapas, eventos y actividades que se requieran para su ejecución. DOCUMENTOS: En este espacio se relacionan los documentos que sirven como base para llevar a cabo la
Auditoria AUDITOR: En este espacio se relaciona el o los responsables de la realización de la Auditoria RESPONSABLE DEL PROCESO: En este espacio se menciona a los responsables del área a auditar FECHA: En este espacio se relaciona la fecha en que se desarrollaron las actividades de la Auditoria HORA: En este espacio se relaciona la hora en que se desarrollaron las actividades de la Auditoria
PROCESO LIDER DE PROCESO / AUDITADO OBJETIVOS DE LA AUDITORIA ALCANCE DE LA AUDITORIA CRITERIOS DE LA AUDITORIA METODOS DE AUDITORIA AUDITOR LIDER EQUIPO AUDITOR HORA DE FECHA DE INICIO LA AUDITORIA
CORREO ELECTRÓNICO
CORREO ELECTRÓNICO HORA FINAL
ACTIVIDAD / REQUISITO POR AUDITAR
NOMBRE DEL AUDITOR
NOMBRE DEL AUDITADO
OBSERVACIONES: FECHA DE EMISION DEL PLAN DE AUDITORIA: (DD/MM/AA)
El plan de auditoria está conformado por los siguientes ítems: PROCESO: En este espacio se anotan los procedimientos específicos, los cuales deberán ser diseñados
previamente de manera secuencial, cronológica y ordenada de acuerda a las etapas, eventos y actividades que se requieran para su ejecución. LIDER DE PROCESO / AUDITADO: En este espacio se menciona a la persona responsable del área a
auditar CORREO ELECTRÓNICO: En este espacio se escribe el correo electrónico de la persona responsable del
área a auditar OBJETIVOS DE LA AUDITORIA: En este espacio se identifica el objetivo que se espera lograr en el
programa de auditoria.
ALCANCE DE LA AUDITORIA: En este espacio se escribe el propósito que se esperan alcanzar en el
proceso del programa de auditoria. CRITERIOS DE LA AUDITORIA: Este espacio se refiere a las políticas, prácticas, procedimientos o
requisitos frente a los cuales el auditor compara las evidencias recogidas. MÉTODOS DE AUDITORIA: En este espacio se anotan los procedimientos específicos, los cuales deberán
ser diseñados previamente de manera secuencial, cronológica y ordenada de acuerda a las etapas, eventos y actividades que se requieran para su ejecución AUDITOR LIDER: En este espacio se relaciona el responsable de la realización de la Auditoria EQUIPO AUDITOR: En este espacio se escriben los nombres de los auditores que participan en la
Auditoria FECHA DE LA AUDITORIA: En este espacio se relaciona la fecha en que se inició la Auditoria HORA DE INICIO: En este espacio se relaciona la hora de inicio de la Auditoria. HORA FINAL: En este espacio se relaciona la hora de inicio de la Auditoria. ACTIVIDAD / REQUISITO POR AUDITAR: En este apartado se describen las acciones que desarrollará el
auditor para llevar a cabo la Auditoria NOMBRE DEL AUDITOR: En este espacio se relaciona el responsable de la realización de la Auditoria NOMBRE DEL AUDITADO: En este espacio se menciona a la persona responsable del área a auditar OBSERVACIONES: En este espacio el auditor aprovecha para dejar constancia de las oportunidades de
mejora, de los riesgos para la calidad que pueden convertirse en no conformidades futuras, o cualquier otro detalle que haya observado y le parece relevante registrar. FECHA DE EMISION DEL PLAN DE AUDITORIA: En este espacio se señala la fecha de la emisión del
Plan de Auditoria.
PAPELES DE TRABAJO
PAPELES DE TRABAJO DISEÑO DE FORMATOS PARA AUDITORÍA FORMATO DE DEFINICION DE FUENTES DE CONOCIMIENTO Los formatos de fuentes de conocimiento son usados para especificar quienes tienen la información o que documentos la poseen y las pruebas de análisis o ejecución que deberán practicarse en cada proceso que sea evaluado. REF CUADRO DE DEFINICION DE FUENTES DE CONOCIMIENTO
PAGINA 1 DE 1
ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINIO PROCESO
COBIT
FUENTES DE CONOCIMIENTO
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION AUDITOR RESPONSABLE:
En este formato se observa los siguientes campos que deben ser diligenciados por el auditor para cada uno de los procesos evaluados. REF: Se refiere al ID del elemento. ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría. PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLE: En este espacio se indicaran los nombres del equipo auditor que está
llevando a cabo el proceso de auditoría. MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el proceso, para el caso será COBIT. DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando. PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios del COBIT. FUENTES DE CONOCIMIENTO: Espacio donde se indicara la fuente de donde proviene la información (documento, plano, manual, entrevista con la persona, otra fuente). REPOSITORIO DE PRUEBAS APLICABLES: Pruebas que serán aplicadas en cada uno de los procesos de acuerdo a los objetivos de control que pretendan evaluarse. PRUEBAS DE ANÁLISIS: Las pruebas de análisis hacen referencia a las pruebas que pueden aplicarse en el proceso mediante comparación (benchmarking) o por revisión y análisis documental. PRUEBAS DE EJECUCIÓN: Las pruebas de ejecución hacen referencia a las pruebas que se pueden hacer en caliente sobre los sistemas o software que se pretende auditar. Estas pruebas generalmente se hacen sobre los sistemas en producción en las auditorías de seguridad (redes, base de datos, seguridad lógica, sistemas operativos), auditorías a la funcionalidad del software y las entradas y salidas del sistema.
FORMATO DE ENTREVISTA Las entrevistas son una fuente de información importante dentro de la auditoría, en ellas se refleja la opinión de los auditados acerca del tema tratado y en muchas ocasiones las grabaciones son la fuente de evidencia que soporta la auditoría. La entrevista puede aplicarse al inicio de la auditoría para conocer los aspectos generales y durante el proceso de auditoría con la intención de conocer en profundidad el tema evaluado. La entrevista generalmente se aplica solo al personal clave (administrador del sistema, usuarios de mayor experiencia, administrador del área informática, otros).
REF ENTREVISTA I ENTIDAD AUDITADA AREA AUDITADA
PAGINA DE SISTEMA
OBJETIVO ENTREVISTA ENTREVISTADO CARGO TEMA1: 1.
¿PREGUNTA? _________________________________________________________________
TEMA 2: 2. ¿ ? _________________________________________________________________ TEMA 3: 3. ¿ ? _________________________________________________________________
AUDITORES
FECHA APLICACIÓN
de/mm/aaaa
REF: Se refiere al ID del elemento. ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría. ÁREA O SISTEMA AUDITADO: En este espacio se indicara el área o sistema auditado. RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a cabo el proceso de auditoría. OBJETIVO DE LA ENTREVISTA: En este espacio se hace una breve referencia al objetivo que se pretende con la aplicación de la entrevista y el proceso COBIT que se está revisando. ENTREVISTADO: Espacio destinado al nombre de la persona entrevistada. CARGO: Espacio destinado para el nombre del cargo de la persona que será entrevistada. TEMA: Los temas que serán tratados en la entrevista por parte del auditor PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara. AUDITORES: Información de quien será el auditor que aplica la entrevista. FECHA DE APLICACIÓN: Fecha en que se aplica la entrevista
FORMATO DE CUESTIONARIO El formato del cuestionario tiene dos objetivos, en primer lugar la confirmación de los riesgos ya detectados anteriormente y en segundo lugar descubrir nuevos riesgos que aún no se haya detectado. El cuestionario se aplica solamente al personal clave que posee la información para responderlo, por eso es necesario identificar las personas que puedan dar respuesta a los interrogantes planteados en el cuestionario. Las preguntas en el cuestionario son de dos tipos, el primer tipo son las preguntas sobre la existencia de controles o riesgos, y el segundo tipo son las de completitud que tienen por objetivo saber si se está aplicando completamente los controles o de manera parcial. Al responder cada una de las preguntas no solamente se debe marcar la respuesta de SI o NO con una XX sino que se debe dar un valor cuantitativo en una escala de 1 a 5, donde el valor más bajo 1, 2,3 son valores de la poca importancia de la existencia de controles y 4, 5 que son los valores más altos en la escala significan que tienen mayor importancia para el auditor. Mediante estas calificaciones se trata de medir el grado del riesgo a que se ve expuesto el proceso que está siendo evaluado. A continuación se muestra el diseño de formatos para los cuestionarios:
PLAN
REF
ENTIDAD AUDITADA PROCESO AUDITADO RESPONSABLE MATERIAL DE SOPORTE DOMINIO
1.
¿
2.
¿
PREGUNTA ?
PAGINA 1 DE 1
COBIT PROCESO
SI
NO NA
REF
FUENTE
?
TOTALES TOTAL CUESTIONARIO PORCENTAJE DE RIESGO AUDITOR RESPONSABLE Este cuestionario cuantitativo está conformado por los siguientes ítems: REF: Se refiere al ID del elemento. ENTIDAD AUDITADA: En este espacio se indicara el nombre de la entidad a la cual se le está realizando el proceso de auditoría. PROCESO AUDITADO: En este espacio se indicara el nombre del proceso objeto de la auditoria, para el caso será Contratación TI. RESPONSABLES: En este espacio se indicaran los nombres del equipo auditor que está llevando a cabo el proceso de auditoría. DESCRIPCIÓN DE ACTIVIDAD/PRUEBA: En este espacio se hace una breve referencia al objetivo del proceso seleccionado dentro de los dominios del COBIT que se está revisando. MATERIAL DE SOPORTE: En este espacio se indicara el nombre del material que soporta el proceso, para el caso será COBIT. DOMINIO: Espacio reservado para colocar el nombre del dominio de COBIT que se está evaluando.
PROCESO: Espacio reservado para el nombre del proceso en específico que se está auditando dentro de los dominios del COBIT. PREGUNTA: Espacio donde se indicara la descripción de la consulta de la cual se indagara. SI – NO: Posibilidades de respuesta cuantitativa (1, 2, 3, 4,5) para medición del nivel de riesgo. REF: referencia a la evidencia o el hallazgo que se obtuvo después de indagar. PORCENTAJE DE RIESGO: Hace referencia a la probabilidad de que el proceso se vea afectado por las acciones de las cuales se está indagando, entre mas alto el porcentaje mayor probabilidad de riesgo tiene el proceso de salir perjudicado. El cálculo de este porcentaje se hace de la siguiente forma: Porcentaje de riesgo parcial = (Total SI * 100) / Total Porcentaje de riesgo = 100 - Porcentaje de riesgo parcial Las equivalencias utilizadas para la puntuación serán de uno a cinco, siendo uno el valor mínimo considerado de poca importancia y cinco el máximo considerado de mucha importancia. Para determinar el nivel de riesgo total, se tiene en cuenta la siguiente categorización: 1% - 30% = Riesgo Bajo 31% - 70% = Riesgo Medio 71% - 100% = Riesgo Alto
CUESTIONARIO 1. ¿El lugar donde se ubica el centro de cómputo está seguro inundaciones, robo o cualquier otra situación que pueda poner en peligro los equipos?
SI ( ) NO ( ) 2. ¿El material con que está construido el centro de cómputo es confiable? SI ( ) NO ( ) 3. ¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar algún daño a los equipos? Si ( ) ¿Cuál? ______________________ NO ( ) 4. ¿Existe lugar suficiente para los equipos? SI ( ) NO ( ) 5. ¿Aparte del centro de cómputos se cuenta con algún lugar para almacenar otros equipos de cómputo, mueble, suministros, etc.? SI ( ) ¿Dónde? ________________________ NO ( ) 6. ¿Se cuenta con una salida de emergencia? SI ( ) NO ( ) 7. ¿Existen señalamientos que la hagan visibles? SI ( ) NO ( ) ¿Por qué? ____________________________ 8. ¿Es adecuada la iluminación del centro de cómputo? SI ( ) NO ( ) ¿Por qué? ____________________________ 9. ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo la cuales se rige? SI ( ) NO ( ) 10. ¿El cableado se encuentra correctamente instalado? SI ( ) NO ( ) 11. ¿Los contactos de los equipos de cómputo están debidamente identificados? SI ( ) NO ( ) 12. ¿Se cuenta con los planos de instalación eléctrica? SI ( ) NO ( )
LISTAS DE CHEQUEO PARA ÁREAS DE CÓMPUTO
Lista de chequeo Cuestionario de Control Dominio Proceso Objetivo de Control
R/PT LC1
Adquisición e Implementación AI3: Adquirir y mantener la arquitectura tecnológica Evaluación de Nuevo Hardware Cuestionario Pregunta SI NO ¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo? ¿Con cuanta frecuencia se revisa el inventario? ¿Se posee de bitácoras de fallas detectadas en los equipos? Características de la bitácora (señale las opciones). ¿La bitácora es llenada por personal especializado? ¿Señala fecha de detección de la falla? ¿Señala fecha de corrección de la falla y revisión de que el equipo funcione correctamente? ¿Se poseen registros individuales de los equipos? ¿La bitácora hace referencia a hojas de servicio, en donde se detalla la falla, y las causas que la originaron, así como las refacciones utilizadas? ¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? ¿Se cuenta con servicio de mantenimiento para todos los equipos? ¿Con cuanta frecuencia se realiza mantenimiento a los equipos? ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? ¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor? Documentos probatorios presentados:
N/A
LISTA DE CHEQUEO 2 Lista de chequeo Aulas Cuestionario de Control Dominio Proceso Objetivo de Control
R/PT LC2
Adquisición e Implementación AI3: Adquirir y mantener la arquitectura tecnológica Mantenimiento Preventivo para Hardware Cuestionario Pregunta SI NO ¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento? ¿Se cuenta con servicio de mantenimiento para todos los equipos? ¿Con cuanta frecuencia se realiza mantenimiento a los equipos? ¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos? ¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor? Documentos probatorios presentados:
N/A
LISTA DE CHEQUEO 3 Aulas de informática Lista de chequeo Dominio Proceso Objetivo de Control
R/PT LC3 Entrega de Servicios y Soportes DS12: Administración de Instalaciones. Escolta de Visitantes Cuestionario
Pregunta SI ¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o adaptadas específicamente para funcionar como un centro de cómputo? ¿Se tiene una distribución del espacio adecuada, de forma tal que facilite el trabajo y no existan distracciones? ¿Existe suficiente espacio dentro de las instalaciones de forma que permita una circulación fluida? ¿Existen lugares de acceso restringido? ¿Se cuenta con sistemas de seguridad para impedir el paso a lugares de acceso restringido? ¿Se cuenta con sistemas de emergencia como son detectores de humo, alarmas, u otro tipo de censores? ¿Existen señalizaciones adecuadas en las salidas de emergencia y se tienen establecidas rutas de evacuación?
NO
N/A
¿Se tienen medios adecuados para extinción de fuego en el centro de cómputo? ¿Se cuenta con iluminación adecuada y con iluminación de emergencia en casos de contingencia? ¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de las instalaciones? ¿Se tiene un lugar asignado para papelería y utensilios de trabajo? ¿Son funcionales los muebles instalados dentro del centro de cómputo: cintoteca, Discoteca, archiveros, mesas de trabajo, etc.? ¿Existen prohibiciones para fumar, consumir alimentos y bebidas? ¿Se cuenta con suficientes carteles en lugares visibles que recuerdan estas prohibiciones? ¿Con cuanta frecuencia se limpian las instalaciones? ¿Con cuanta frecuencia se limpian los ductos de aire y la cámara de aire que existe debajo del piso falso (si existe)? Documentos probatorios presentados:
LISTA DECHEQUEO 4 Aulas de informática Lista de chequeo Dominio Proceso Objetivo de Control
R/PT LC4 Entrega de Servicios y Soportes Protección contra Factores Ambientales Controles Ambientales Cuestionario
Pregunta ¿El centro de cómputo tiene alguna sección con sistema de refrigeración?
¿Con cuanta frecuencia se revisan y calibran los controles ambientales? ¿Se tiene contrato de mantenimiento para los equipos que proporcionan el control ambiental? ¿Se tienen instalados y se limpian regularmente los filtros de aire? ¿Con cuanta frecuencia se limpian los filtros de aire? ¿Se tiene plan de contingencia en caso de que fallen los controles ambientales? Documentos probatorios presentados:
SI
NO
N/A
LISTA DE CHEQUEO 5 Aulas de informática Lista de chequeo Dominio Proceso Objetivo de Control
R/PT LC5 Entrega de Servicios y Soportes DS12 Administración de Instalaciones. Suministro Ininterrumpido de Energía Cuestionario
Pregunta ¿Se cuenta con instalación con tierra física para todos los equipos? ¿La instalación eléctrica se realizó específicamente para el centro de cómputo? ¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente de la que alimenta a los equipos de cómputo? ¿La acometida llega a un tablero de distribución? ¿El tablero de distribución está en la sala, visible y accesible? ¿El tablero considera espacio para futuras ampliaciones de hasta de un 30 % (Considerando que se dispone de espacio físico para la instalación de más equipos)? ¿La Instalación es independiente para el centro de cómputo? ¿La misma instalación con tierra física se ocupa en otras partes del edificio? ¿La iluminación está alimentada de la misma acometida que los equipos? ¿Las reactancias (balastros de las lámparas) están ubicadas dentro de la sala? ¿Los ventiladores y aire acondicionado están conectados en la misma instalación de los equipos a la planta de emergencia? ¿Los ventiladores y aire acondicionado están conectados en la misma instalación de los equipos a los no-brake? ¿Se cuenta con interruptores generales? ¿Se cuenta con interruptores de emergencia en serie al interruptor general? ¿Se cuenta con interruptores por secciones o aulas? ¿Se tienen los interruptores rotulados adecuadamente? ¿Se tienen protecciones contra corto circuito? ¿Se tiene implementado algún tipo de equipo de energía auxiliar? ¿Se cuenta con Planta de emergencia? ¿Se tienen conectadas algunas lámparas del centro de cómputo a la planta de emergencia? ¿Qué porcentaje de lámparas: % están conectadas a la planta de emergencia (recomendable el 25 %)? Documentos probatorios presentados:
SI
NO
N/A
LISTA DE CHEQUEO 6 Lista de chequeo Cuestionario de Control Dominio Proceso Objetivo de Control
R/PT LC6 Entrega de Servicios y Soportes Protección contra Factores Ambientales Seguridad Física Cuestionario
Pregunta ¿Se tienen lugares de acceso restringido? ¿Se poseen mecanismos de seguridad para el acceso a estos lugares? ¿A este mecanismo de seguridad se le han detectado debilidades? ¿Tiene medidas implementadas ante la falla del sistema de seguridad? ¿Con cuanta frecuencia se actualizan las claves o credenciales de acceso? ¿Se tiene un registro de las personas que ingresan a las instalaciones? Documentos probatorios presentados:
SI
NO
N/A
INVENTARIO DE HARDWARE
Compañía Oficina Departamento Fecha
Nombre
Descripción
Inventario total
Núm. de identificación
Categoría
Depto.
Fecha
Marca
Garantía
Precio
Condición
Laptop de Juan
Dell Precisión V42EZ788 M6500
Hardware
87B
12/23/12
Dell
9/12/14
$$2,100.000
Bueno
Fotocopiadora
HP Poto V562S Scanner
Accesorios informáticos
34A
12/23/12
HP
1/1/13
$5,000.000
Rota fuente
la
Valor de reventa
Cantidad
Valor Total
Número de Modelo
Serial No.
$1,800.00
1
$1,800.00
M6500
1234567890
$4,000.00
1
$4,000.00
A12345
987654321
INVENTARIO DE SOFTWARE SISTEMA OPERATIVO CÓDIGO
NOMBR
FECHA DE COMPRA
LUGAR DE COMPRA
CD
ESTADO FÍSICO
COMPETENCIAS DEL AUDITOR
COMPETENCIAS DEL AUDITOR De acuerdo a la cláusula " 7 Competencia y evaluación de los auditores" de la Norma ISO 19011 La fiabilidad en el proceso de auditoría y la confianza en el mismo dependen de la competencia de aquéllos que llevan a cabo la auditoría. Esta competencia se basa en la demostración de: ⎯ Las cualidades personales descritas en el apartado y ⎯ La aptitud para aplicar los conocimientos y habilidades, adquiridos mediante la educación, la experiencia laboral, la formación como auditor y la experiencia en auditorías. Relación entre las etapas de la evaluación
7 Competencia y evaluación de los auditores 7.1 Generalidades La fiabilidad en el proceso de auditoría y la confianza en el mismo dependen de la competencia de aquéllos que llevan a cabo la auditoría. Esta competencia se basa en la demostración de: ⎯ Las cualidades personales descritas en el apartado 7.2, y ⎯ la aptitud para aplicar los conocimientos y habilidades descritos en el apartado 7.3, adquiridos mediante la educación, la experiencia laboral, la formación como auditor y la experiencia en auditorías descritas en el apartado 7.4. Este concepto de competencia de los auditores se ilustra en la figura 4. Algunos de los conocimientos y habilidades descritos en el apartado 7.3 son comunes para los auditores de sistemas de gestión de la calidad y ambiental, y algunos son específicos para los auditores de cada una de las disciplinas individuales.
7.2 Atributos personales Los auditores deberían poseer atributos personales que les permitan actuar de acuerdo con los principios de la auditoría. Un auditor debería ser: a) ético, es decir, imparcial, sincero, honesto y discreto; b) de mentalidad abierta, es decir, dispuesto a considerar ideas o puntos de vista alternativos; c) diplomático, es decir, con tacto en las relaciones con las personas; d) observador, es decir, activamente consciente del entorno físico y las actividades; e) perceptivo, es decir, instintivamente consciente y capaz de entender las situaciones; f) versátil, es decir, se adapta fácilmente a diferentes situaciones; g) tenaz, es decir, persistente, orientado hacia el logro de los objetivos; h) decidido, es decir, alcanza conclusiones oportunas basadas en el análisis y razonamiento lógicos; y i) seguro de sí mismo, es decir, actúa y funciona de forma independiente a la vez que se relaciona eficazmente con otros.
7.3 Conocimientos y habilidades 7.3.1 Conocimientos genéricos y habilidades de los auditores de sistemas de gestión de la calidad y de sistemas de gestión ambiental Los auditores deberían tener conocimientos y habilidades en las siguientes áreas. a) Principios, procedimientos y técnicas de auditoría: para permitir al auditor aplicar aquéllos que sean apropiados a las diferentes auditorías y para asegurarse de que las auditorías se llevan a cabo de manera coherente y sistemática. Un auditor debería ser capaz de: ⎯ aplicar principios, procedimientos y técnicas de auditoría,
⎯ planificar y organizar el trabajo eficazmente, ⎯ llevar a cabo la auditoría dentro del horario acordado, ⎯ establecer prioridades y centrarse en los asuntos de importancia, ⎯ recopilar información a través de entrevistas eficaces, escuchando, observando y revisando documentos, registros y datos, ⎯ entender lo apropiado del uso de técnicas de muestreo y sus consecuencias para la auditoría, ⎯ verificar la exactitud de la información recopilada, ⎯ confirmar que la evidencia de la auditoría es suficiente y apropiada para apoyar los hallazgos y conclusiones de la auditoría, ⎯ evaluar aquellos factores que puedan afectar a la fiabilidad de los hallazgos y conclusiones de la auditoría, ⎯ utilizar los documentos de trabajo para registrar las actividades de la auditoría, ⎯ preparar informes de auditoría, ⎯ mantener la confidencialidad y la seguridad de la información, y ⎯ comunicarse eficazmente, ya sea con las habilidades lingüísticas personales o con el apoyo de un intérprete. b) Documentos del sistema de gestión y de referencia: para permitir al auditor comprender el alcance de la auditoría y aplicar los criterios de auditoría. Los conocimientos y habilidades en esta área deberían contemplar: ⎯ La aplicación de sistemas de gestión a diferentes organizaciones, ⎯ La interacción entre los componentes del sistema de gestión, ⎯ Las normas de sistemas de gestión de la calidad o ambiental, los procedimientos aplicables u otros documentos del sistema de gestión utilizados como criterios de auditoría, ⎯ reconocer las diferencias y el orden de prioridad entre los documentos de referencia, ⎯ La aplicación de los documentos de referencia a las diferentes situaciones de auditoría, y ⎯ Los sistemas de información y tecnología para la autorización, seguridad, distribución y control de documentos, datos y registros.
c) Situaciones de la organización: para permitir al auditor entender el contexto de las operaciones de la organización. Los conocimientos y habilidades en esta área deberían contemplar: ⎯ el tamaño, estructura, funciones y relaciones de la organización, ⎯ Los procesos generales de negocio y la terminología relacionada, y ⎯ las costumbres sociales y culturales del auditado. d) Leyes, reglamentos y otros requisitos aplicables pertinentes a la disciplina: para permitir al auditor trabajar con ellos y ser consciente de los requisitos aplicables a la organización que se está auditando. Los conocimientos y habilidades en esta área deberían contemplar: ⎯ Los códigos, leyes y reglamentos locales, regionales y nacionales, ⎯ Los contratos y acuerdos, ⎯ Los tratados y convenciones internacionales, y ⎯ Otros requisitos a los que se suscriban la organización.
7.3.2 Conocimientos genéricos y habilidades de los líderes de los equipos auditores Los líderes de los equipos auditores deberían tener conocimientos y habilidades adicionales en el liderazgo de la auditoría para facilitar la realización de la auditoría de manera eficiente y eficaz. Un líder del equipo auditor debería ser capaz de: ⎯ planificar la auditoría y hacer un uso eficaz de los recursos durante la auditoría, ⎯ representar al equipo auditor en las comunicaciones con el cliente de la auditoría y el auditado, ⎯ organizar y dirigir a los miembros del equipo auditor, ⎯ proporcionar dirección y orientación a los auditores en formación, ⎯ conducir al equipo auditor para llegar a las conclusiones de la auditoría, ⎯ prevenir y resolver conflictos, y ⎯ preparar y completar el informe de la auditoría.
7.3.3 Conocimientos específicos y habilidades de auditores de sistemas de gestión de la calidad Los auditores de sistemas de gestión de la calidad deberían tener conocimientos y habilidades en las siguientes áreas. a) Métodos y técnicas relativas a la calidad: para permitir al auditor examinar los sistemas de gestión de la calidad y generar hallazgos y conclusiones de la auditoría apropiados. Los conocimientos y habilidades en esta área deberían contemplar ⎯ La terminología de la calidad, ⎯ Los principios de gestión de la calidad y su aplicación, y ⎯ Las herramientas de gestión de la calidad y su aplicación (por ejemplo: control estadístico del proceso, análisis de modo y efecto de falla, etc.). b) Procesos y productos, incluyendo servicios: para permitir al auditor comprender el contexto tecnológico en el cual se está llevando a cabo la auditoría. Los conocimientos y habilidades en esta área deberían contemplar ⎯ La terminología específica del sector, ⎯ Las características técnicas de los procesos y productos, incluyendo servicios, y ⎯ Los procesos y prácticas específicas del sector.
7.3.4 Conocimientos específicos y habilidades de auditores de sistemas de gestión ambiental Los auditores de sistemas de gestión ambiental deberían tener conocimientos y habilidades en las siguientes áreas. a) Métodos y técnicas de gestión ambiental: para permitir al auditor examinar los sistemas de gestión ambiental y generar hallazgos y conclusiones de la auditoría apropiados. Los conocimientos y habilidades en esta área deberían contemplar ⎯ La terminología ambiental, ⎯ Los principios de gestión ambiental y su aplicación, y
⎯ Las herramientas de gestión ambiental (tales como evaluación de aspectos/impactos ambientales, análisis del ciclo de vida, evaluación del desempeño ambiental etc.). b) Ciencia y tecnología ambiental: para permitir al auditor comprender las relaciones fundamentales entre las actividades humanas y el medio ambiente. Los conocimientos y habilidades en esta área deberían contemplar ⎯ El impacto de las actividades humanas sobre el medio ambiente; ⎯ La interacción de los ecosistemas, ⎯ Los medios ambientales (por ejemplo: aire, agua, suelo), ⎯ La gestión de los recursos naturales (por ejemplo: combustibles fósiles, agua, flora y fauna), y ⎯ Los métodos generales de protección ambiental. c) Aspectos técnicos y ambientales de las operaciones – para permitir al auditor comprender la interacción de las actividades, productos, servicios y operaciones del auditado con el medio ambiente. Los conocimientos y habilidades en esta área deberían contemplar ⎯ La terminología específica del sector; ⎯ Los aspectos e impactos ambientales; ⎯ Los métodos para evaluar la importancia de los aspectos ambientales; ⎯ Las características críticas de los procesos operativos, productos y servicios; ⎯ Las técnicas de seguimiento y medición; y ⎯ Las tecnologías para la prevención de la contaminación.
7.4 Educación, experiencia laboral, formación como auditor y experiencia en auditorías 7.4.1 Auditores Los auditores deberían tener la educación, experiencia laboral, formación y experiencia como auditor siguientes: a) Deberían haber completado una educación suficiente para adquirir los conocimientos y habilidades descritos en el apartado 7.3. b) Deberían tener experiencia laboral que contribuya al desarrollo de los conocimientos y habilidades descritos en los apartados 7.3.3 y 7.3.4. La experiencia laboral debería ser en una función técnica, de gestión o profesional que haya implicado el ejercicio del juicio, solución de problemas y comunicación con otro personal directivo o profesional, compañeros, clientes y/u otras partes interesadas. Parte de la experiencia laboral debería ser en una función donde las actividades realizadas contribuyan al desarrollo de conocimiento y habilidades en: ⎯ El área de gestión de la calidad para auditores de sistemas de gestión de la calidad, y ⎯ El área de gestión ambiental para auditores de sistemas de gestión ambiental. c) Deberían haber completado formación como auditor que contribuya al desarrollo de los conocimientos y habilidades descritos en el apartado 7.3.1, así como en los apartados 7.3.3 y 7.3.4. Esta formación podría ser proporcionada por la propia organización a la que
pertenece la persona o por una organización externa. d) Deberían tener experiencia en auditorías en las actividades descritas en el capítulo 6. Esta experiencia debería haber sido obtenida bajo la dirección y orientación de un auditor con competencia como líder del equipo auditor en la misma disciplina. 7.4.2 Líder del equipo auditor Un líder del equipo auditor debería haber adquirido experiencia adicional en la auditoría para desarrollar los conocimientos y habilidades descritos en el apartado 7.3.2. Esta experiencia adicional debería haberse obtenido actuando como líder del equipo auditor bajo la dirección y orientación de otro auditor competente como líder del equipo auditor. 7.4.3 Auditores de sistemas de gestión de la calidad y ambiental Los auditores de sistemas de gestión de la calidad o de sistemas de gestión ambiental que deseen llegar a ser auditores en la segunda disciplina a) deberían tener la formación y experiencia laboral necesaria para adquirir los conocimientos y habilidades para La segunda disciplina, y b) deberían haber realizado auditorías que cubran el sistema de gestión en la segunda disciplina bajo la dirección y orientación de un auditor competente como líder del equipo auditor en la segunda disciplina. Un líder del equipo auditor en una disciplina debería cumplir las recomendaciones anteriores para llegar a ser líder del equipo auditor en la segunda disciplina. 7.4.4 Niveles de educación, experiencia laboral, formación como auditor y experiencia como auditor Las organizaciones deberían establecer los niveles de educación, experiencia laboral, formación como auditor y experiencia como auditor que un auditor necesita
HALLAZGOS
HALLAZGOS PÁGINA
PROCESO AUDITADO
DE RESPONSABLE MATERIAL DE SOPORTE DOMINIO
COBIT PROCESO
HALAZGO:
REF_PT:
CONSECUENCIAS:
RIESGO:
RECOMENDACIONES:
El programa de auditoria está conformado por los siguientes ítems: PROCESO AUDITADO: En este espacio se indica el proceso y la preparación de la auditoria que se llevó a cabo PÁGINA: En este espacio se menciona la página en la que se encuentra el hallazgo encontrado de la auditoría realizada. RESPONSABLE: En este espacio se escribe el nombre de la persona responsable de la auditoría realizada.
MATERIAL DE SOPORTE: En este espacio se menciona todo el materia que sirva como pruebas de que el hallazgo encontrado es real y verdadero, como son los papeles de trabajo.
DOMINIO: En este espacio se identifica el tipo de dominio establecido según la norma COBIT, como la planificación y organización, la adquisición e implementación, soportes y servicios que se llevaron a cabo en el desarrollo de la auditoria. PROCESO: En este espacio se Mesina el tipo de proceso que se llevó a cabo en el desarrollo de la auditoria, como la observación, el análisis y demás que hayan servido para detectar los posibles hallazgos encontrados. HALAZGO: En este espacio se mencionan los tipos de hallazgos encontrados en el desarrollo de la auditoria, como carencia de información y documentos entre otros.
REF_PT: En este espacio se determinan las referencias entre las "expresiones en un cierto lenguaje" y "aquello de lo cual se habla" cuando se usan dicha terminología de auditoria de sistemas en cuanto a la norma COBIT. CONSECUENCIAS: En este espacio se mencionan las posibles consecuencias que generan los hallazgos encontrados en el estudio de auditoria RIESGO: En este espacio se menciona los riesgos a los se expone el área auditada, de acuerdo a los hallazgos encontrados. RECOMENDACIONES: En este espacio se indican las recomendaciones pertinentes para dar solución a los hallazgos encontrados en el proceso de auditoría.
ELABORACIÓN DEL INFORME
INFORME DE AUDITORÍA INTERNA PROCESO AUDITADO
LÍDER DEL PROCESO
OBJETIVO DE LA AUDITORÍA
ALCANCE
CRITERIOS DE AUDITORÍA: AUDITOR LÍDER: EQUIPO AUDITOR: FECHA DE AUDITORÍA: NOMBRE DEL AUDITADO
FECHA DE ENTREGA DEL INFORME: CARGO
RESULTADOS DE LA AUDITORÍA 1. DESCRIPCIÓN DE LAS NC
REQUISITO INCUMPLIDO
2. FORTALEZAS DEL ÁREA O PROCESO
3. OPORTUNIDADES DE MEJORA
4. CONCLUSIONES DE LA AUDITORÍA
5. DOCUMENTOS REVISADOS Previo a la auditoría:
Durante la auditoría:
FIRMA DEL AUDITOR LÍDER
FIRMA AUDITADO
El programa de auditoria está conformado por los siguientes ítems: PROCESO AUDITADO: En este espacio se indica el proceso y la preparación de la auditoria que se
llevó a cabo. LÍDER DEL PROCESO: En este espacio se menciona el nombre del auditor que lidera el proceso de auditoría. OBJETIVO DE LA AUDITORÍA: En este espacio se identifica el objetivo que se espera lograr en el
programa de auditoria. ALCANCE: En este espacio se escribe el propósito que se esperan alcanzar en el proceso del
programa de auditoria. CRITERIOS DE AUDITORÍA: Este espacio se refiere a las políticas, prácticas, procedimientos o
requisitos frente a los cuales el auditor compara las evidencias recogidas. AUDITOR LÍDER: En este espacio se relaciona el responsable de la realización de la Auditoria. EQUIPO AUDITOR: la Auditoria.
En este espacio se escriben los nombres de los auditores que participan en
FECHA DE AUDITORÍA: En este espacio se relaciona la fecha en que se inició la Auditoria. FECHA DE ENTREGA DEL INFORME: En este espacio se relaciona la fecha de entrega de la
Auditoria. NOMBRE DEL AUDITADO: En este espacio se menciona a la persona responsable del área a auditar. CARGO: En este espacio mencione el cargo de la persona responsable del área a auditar.
RESULTADOS DESCRIPCIÓN DE LAS NC: Contenido de la normatividad. REQUISITO INCUMPLIDO: Aquello no cumplido en el área audita. FORTALEZAS DEL ÁREA O PROCESO: Puntos positivos y fuertes del área auditada. OPORTUNIDADES DE MEJORA: Puntos que debe mejorar en el área que se audito. CONCLUSIONES DE LA AUDITORÍA: Resultado en general de lo encontrado en la auditoria. DOCUMENTOS REVISADOS PREVIO A LA AUDITORÍA: Antes de la auditoría. DURANTE LA AUDITORÍA: Después de la auditoria. FIRMA DEL AUDITOR LÍDER: Firma del encargado líder. FIRMA AUDITADO: Persona que realizo la auditoria.