Proceso de auditoría del departamento de informática
Fuente: http://www.microsoft.com/Latam/technet/articulos/articulos_seguridad/NewsJunio06/st0606.mspx
Por Bill Canning
Gerente del programa, Microsoft Corporation
Vea otros Consejo de seguridad de las columnas del mes (en inglés)
Las auditorías son un componente importante del proceso de cumplimiento normativo. Por lo general son los auditores quienes determinan si su organización cumple con las normas y estándares que le corresponden. Por ejemplo, en relación con Sarbanes-Oxley (SOX), los auditores externos a menudo examinan lo apropiado de los controles internos en su empresa como parte de la auditoría sobre la generación de informes financieros anuales. Entender cómo funciona el proceso de auditoría y cómo operan los auditores es importante, pues esto indica a los administradores de informática cómo establecer un ambiente que cumpla y sea fácil de auditar. Este tema se enfoca sobre la forma en que los auditores realizan el proceso de auditoría del área informática.
Es importante saber qué buscan los auditores en una auditoría de cumplimiento. Durante ésta, los auditores buscan evidencias indicativas de:
- Que la empresa ha diseñado controles eficaces para resolver sus requisitos de cumplimiento y que no hay errores en el diseño.
- Que la empresa aplica consistentemente los controles diseñados y que no existen deficiencias operativas.
- Si los auditores no encuentran evidencia de un programa de control efectivo, o descubren que la organización no se adhiere al programa de control, anotan estas deficiencias en su informe final de auditoría. Este informe de auditoría se entrega al comité de auditoría de la empresa para que los problemas detectados obtengan el nivel adecuado de exposición administrativa. Obviamente, es preferible que no se anoten deficiencias en este informe.
- El siguiente proceso describe las actividades generales que los auditores realizan durante una auditoría. Su auditor puede efectuar la auditoría con un enfoque ligeramente distinto:
Paso 1: Planear la auditoría (auditor)
Paso 2: Efectuar una reunión para iniciar la auditoría (auditor/organización)
Paso 3: Recopilar datos y probar los controles informáticos (auditor/organización)
Paso 4: Corregir las deficiencias identificadas (organización)
Paso 5: Probar los controles corregidos (auditor/organización)
Paso 6: Analizar e informar los resultados (auditor)
Paso 7: Responder a los resultados (organización)
Paso 8: Emitir el informe final (auditor)
Entender los pasos del proceso de auditoría del área informática permite a los administradores de informática saber lo que deben esperar de la auditoría. De esta forma pueden lograr los objetivos de cumplimiento normativo de su empresa y optimizar el proceso de auditoría para completarlo más eficazmente.
Cómo optimizar el proceso de auditoría
Existen muchas maneras de lograr que los procesos de auditoría sean más eficaces y sencillos. Éstas incluyen:
- Trabajar con el auditor desde el inicio del proceso para entender las áreas básicas en las que planea enfocar la auditoría. En algunos casos puede cambiar la prioridad de los proyectos para asegurar que aborda aquello que los auditores consideran riesgos vitales en su ambiente y evitar así las deficiencias en la auditoría.
- Implementar controles informáticos automatizados donde sea posible. Estos controles superan a los manuales, pues los auditores los pueden probar y validar más fácilmente. La mejor forma de optimizar la eficacia y bajar los costos de los procesos de auditoría del área informática de su empresa es:
* Conservar documentación clara y concisa de los controles informáticos y mantenerlos actualizados.
* Organizar sus controles informáticos para trabajar con el marco usado por sus auditores. Esto asegura que usted y sus auditores se entiendan claramente sobre los objetivos normativos.
* Aproveche el marco de los controles informáticos. Esto le ayuda a resolver con más eficacia una variedad de normas con un único conjunto de controles.
Puede encontrar más orientación sobre los marcos de los controles y las opciones de planeación para mejorar la eficiencia del control informático de su organización en la Guía de planeación y cumplimiento normativo. ___
Por Bill Canning
Gerente del programa, Microsoft Corporation
Vea otros Consejo de seguridad de las columnas del mes (en inglés)
Las auditorías son un componente importante del proceso de cumplimiento normativo. Por lo general son los auditores quienes determinan si su organización cumple con las normas y estándares que le corresponden. Por ejemplo, en relación con Sarbanes-Oxley (SOX), los auditores externos a menudo examinan lo apropiado de los controles internos en su empresa como parte de la auditoría sobre la generación de informes financieros anuales. Entender cómo funciona el proceso de auditoría y cómo operan los auditores es importante, pues esto indica a los administradores de informática cómo establecer un ambiente que cumpla y sea fácil de auditar. Este tema se enfoca sobre la forma en que los auditores realizan el proceso de auditoría del área informática.
Es importante saber qué buscan los auditores en una auditoría de cumplimiento. Durante ésta, los auditores buscan evidencias indicativas de:
- Que la empresa ha diseñado controles eficaces para resolver sus requisitos de cumplimiento y que no hay errores en el diseño.
- Que la empresa aplica consistentemente los controles diseñados y que no existen deficiencias operativas.
- Si los auditores no encuentran evidencia de un programa de control efectivo, o descubren que la organización no se adhiere al programa de control, anotan estas deficiencias en su informe final de auditoría. Este informe de auditoría se entrega al comité de auditoría de la empresa para que los problemas detectados obtengan el nivel adecuado de exposición administrativa. Obviamente, es preferible que no se anoten deficiencias en este informe.
- El siguiente proceso describe las actividades generales que los auditores realizan durante una auditoría. Su auditor puede efectuar la auditoría con un enfoque ligeramente distinto:
Paso 1: Planear la auditoría (auditor)
Paso 2: Efectuar una reunión para iniciar la auditoría (auditor/organización)
Paso 3: Recopilar datos y probar los controles informáticos (auditor/organización)
Paso 4: Corregir las deficiencias identificadas (organización)
Paso 5: Probar los controles corregidos (auditor/organización)
Paso 6: Analizar e informar los resultados (auditor)
Paso 7: Responder a los resultados (organización)
Paso 8: Emitir el informe final (auditor)
Entender los pasos del proceso de auditoría del área informática permite a los administradores de informática saber lo que deben esperar de la auditoría. De esta forma pueden lograr los objetivos de cumplimiento normativo de su empresa y optimizar el proceso de auditoría para completarlo más eficazmente.
Cómo optimizar el proceso de auditoría
Existen muchas maneras de lograr que los procesos de auditoría sean más eficaces y sencillos. Éstas incluyen:
- Trabajar con el auditor desde el inicio del proceso para entender las áreas básicas en las que planea enfocar la auditoría. En algunos casos puede cambiar la prioridad de los proyectos para asegurar que aborda aquello que los auditores consideran riesgos vitales en su ambiente y evitar así las deficiencias en la auditoría.
- Implementar controles informáticos automatizados donde sea posible. Estos controles superan a los manuales, pues los auditores los pueden probar y validar más fácilmente. La mejor forma de optimizar la eficacia y bajar los costos de los procesos de auditoría del área informática de su empresa es:
* Conservar documentación clara y concisa de los controles informáticos y mantenerlos actualizados.
* Organizar sus controles informáticos para trabajar con el marco usado por sus auditores. Esto asegura que usted y sus auditores se entiendan claramente sobre los objetivos normativos.
* Aproveche el marco de los controles informáticos. Esto le ayuda a resolver con más eficacia una variedad de normas con un único conjunto de controles.
Puede encontrar más orientación sobre los marcos de los controles y las opciones de planeación para mejorar la eficiencia del control informático de su organización en la Guía de planeación y cumplimiento normativo. ___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!