miércoles, 30 de enero de 2013

Proceso de auditoría - Parte 1 de 2 - Auditoría de Sistemas

El  presente  manual  comprende  el  proceso  de  auditoría,  hasta  el  planteamiento  final  de recomendaciones al auditado, siempre con fines de mejora del negocio.
El proceso de auditoría descrito se basa tanto en el análisis de riesgos, que sirve de insumo para evaluar y validar la calidad de los controles implantados por el auditado; como, en el marco legal y normativo de la organización.

Es importante señalar que durante el proceso se valora tanto la perspectiva del auditor como la del auditado; aspecto que debe ser considerado por los profesionales de auditoría de tecnologías de información (TI) como un punto a favor de la mejora continua.

I . DATOS GENERALES

Antes de dar inicio a los trabajos de auditoría es preciso entender y conocer la organización.
Puntos relevantes como el Giro del negocio, Misión, Visión y su Direccionamiento estratégico deben ser conocidos por el auditor para priorizar el enfoque en concordancia con el negocio.
En lo que refiere al auditor de Tecnologías, es importante que éste conozca el nivel jerárquico que ocupanlos responsables de las políticas de Tecnologías de Información.
Un instrumento que facilita esto es el organigrama.
Los aspectos mínimos que se pueden incluir en este tópico son:
  • Giro del Negocio
  • Reseña Histórica
  • Direccionamiento estratégico actual
  • Misión
  • Visión
  • Estrategias
  • Organigrama
  • Lugar Geográfico de la empresa

II. IDENTIFICACIÓN DE LOS OBJETOS AUDITABLES

La auditoría de TI implica un campo amplio difícilmente abarcable en un período de evaluación.
Por ello es preciso agrupar y enfocar la revisión siguiendo criterios relacionados con aspectos de: gestión, desarrollo de software, hardware, telecomunicaciones, seguridad global, etc.

Objetos Auditables

Auditoría de TI
  • Auditoría de la dirección
  • Auditoría ofimática
  • Auditoría de desarrollo
  • Auditoría de la explotación
  • Auditoría de base de datos
  • Auditoría física
  • Auditoría de redes
-   Motivos de Auditoría

La auditoría de TI, no debe ser enfocada únicamente como una necesidad de cumplimiento sino como parte de un proceso de optimización y mejora continua.
Las organizaciones no deben ver sus problemas como tal, sino como oportunidades que se pueden a orientar hacia actividades que contribuyan  al direccionamiento estratégico de la institución.

Ejemplos de Motivos de Auditoría son:
  • Descontento general de los usuarios, motivado generalmente por incumplimiento de plazos  y  mala  calidad  de  resultados  por  parte  del  área  de  Tecnologías  de  la información.
  • Falta de documentación o documentación incompleta de sistemas.
-   Título de Auditoría aplicable

Identificados los motivos de auditoría, es preciso coordinar con la organización auditada los motivos relevantes que serán considerados en el proyecto.
El proyecto de Auditoría debe tener un nombre. Se sugiere identificarlo con un nombre que refleje la labor del proyecto. Por ejemplo el descontento generalizado de los usuarios puede originar  el  siguiente  proyecto  de  auditoría:   “Auditoría  al  soporte  informático  en  la empresa XYZ”


III. MARCO NORMATIVO/REFERENCIAL APLICABLE

Consideraremos como marco normativo, toda aquella ley, norma o código de buenas prácticas que la institución está obligada a cumplir tanto por legislación como por parte de su mejora continua.  Dado  que  este  rubro  puede  abarcar  una  vasta  información  nos  limitaremos a identificar y detallar sólo aquella que está relacionada y tiene incidencia directa en el proyecto de auditoría.
Este marco contribuye al proyecto al reforzar la opinión del auditor, eliminando todo criterio de subjetividad.
El marco normativo, posibilita que el equipo de auditoría identifique hallazgos a partir del análisis de brechas.
El  marco  referencial,  contribuye  con  el  auditor  porque  proporciona  una  serie  de recomendaciones basadas en su contenido. En esta categoría recaen los códigos de buenas prácticas  que  tienden  a  estandarizar  procesos  de  acuerdo  a  las  mejores  prácticas mundialmente aceptadas.

El marco normativo / referencial, lo podemos clasificar en:

-   Normativa/referencial Internacional

En  esta  categoría  se  ubica  la  legislación  internacional.  De  tratarse  de  una  empresa transnacional, no sólo debe cumplir con la legislación propia del país, sino también con la de su país de origen al que reporta.
Los códigos de buenas prácticas, estándares emitidos por organismos de estandarización como ISO, IEEE, PMI, etc. también se incluyen en este tópico.

-   Normativa/referencial Nacional

El país Perú tiene legislación que de ser el caso involucra el objeto auditable en estudio. Por ejemplo si se evalúa el sistema de facturación de la institución, es conveniente incluir la Ley de comprobantes del pago.
En este acápite se incluyen también las normas técnicas emitidas por el comité técnico de normalización de INDECOPI como la norma NTP-ISO/IEC 12207 ó NTP-ISO/IEC 1779.
Si el examen de auditoría se aplica a una entidad financiera, se debe incluir la normativa de la superintendencia de Banca y Seguros SBS.
En lo que refiere a las instituciones públicas se considerará la normativa de la Contraloría General de la República y la oficina general de gobierno electrónico.

 -   Normativa/referencial Institucional

Las organizaciones para operar y mejorar sus actividades, formulan políticas, manuales y reglamentos.  Es  conveniente  realizar  un  análisis  documental  de  esta  información considerando principalmente la que se relaciona con el objeto auditable.
Como se mencionó líneas arriba, se debe considerar la normativa o modelos de referencia que se relacionen o aporten al proyecto de auditoría.


IV. ANÁLISIS DE RIESGOS (ASOCIADOS AL TIPO DE AUDITORÍA SELECCIONADA)

El análisis de riesgos proporciona información valiosísima respecto al grado de exposición de los activos respecto de las amenazas que afecten la continuidad no sólo de los servicios sino también del negocio. De no contar con este análisis, el auditor tendrá que esbozar de manera rápida este estudio considerando los siguientes puntos:

-   Identificación de Activos de TI

“Son todos aquellos bienes y activos de información que representan algún valor dentro y para la organización, y que se encuentran dentro del alcance y los límites del SGSI”. (ISO 27000 en Español, 2005)

-   Amenazas y vulnerabilidades

“Son todas aquellas que afectan y perjudican a los activos mencionados en el inventario”. (ISO 27000 en Español, 2005)
Es importante identificar las amenazas que se relacionen y afecten a los activos.

También  Identificaremos  las  vulnerabilidades  que  pueden  ser  aprovechadas  por  las amenazas.

-   Impacto

Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

-   Probabilidad de ocurrencia

Evaluar de forma objetiva y realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y  controles que ya estén implementados.


V. PLAN DE AUDITORÍA

Finalizada las actividades orientadas a conocer y aprender de la organización, el equipo de auditoría debe planificar y definir las actividades requeridas para llevar adelante el proceso de auditoría. A continuación se detallan los principales componentes de esta sección:

-   Objetivo General

Cualquier proyecto, incluidos los de tecnología, deben tener una meta a lograr. Esta meta debe ser definida de manera clara entre auditores y  auditados. Esto es fundamental sobre todo para esbozar las conclusiones y recomendaciones de la auditoría. Un ejemplo de objetivo es:
  • Evaluar la situación actual del Diseño y Seguridad Física de la Red en la empresa “XYZ”.

-   Objetivos específicos

Las metas globales no son alcanzables sino se dan pequeños pasos. En ese sentido están orientados los objetivos específicos. Es importante mantener la relación entre los objetivos específicos y el objetivo general. Ejemplos de objetivos específicos son:
  • Revisar, verificar y evaluar el correcto cumplimiento de instrumentos de gestión (MOF y ROF) y políticas existentes  que incidan en el funcionamiento de la red.
  • Evaluar el diseño de la estructura de la red.
  • Revisar y evaluar diseño e implementación de la red.
  • Evaluar la seguridad lógica de la red.
  • Evaluar la seguridad física de la red.
  • Evaluar y Proponer controles asociados a la red institucional.

-   Alineamiento de la auditoría a la estrategia del negocio

Los proyectos de auditoría no pueden verse como gasto sino como inversión. En ese sentido se debe identificar el aporte del proyecto de auditoría al negocio en término de las estrategias.
A continuación detallamos, un ejemplo de alineamiento para:
  • Evaluar la situación actual del Diseño y Seguridad Física de la Red en la empresa “XYZ”


Estrategia de NegocioAlineamiento
Establecer nuevos sistemas de información, que refuercen los lazos de integración con nuestro cliente.Los sistemas de información a implementar en el negocio, deben estar soportadas por una red óptima. La auditoría de redes es responsable de la evaluación de los controles de tal forma que estos sistemas se ejecuten de manera adecuada manteniendo los criterios de confidencialidad, integridad y disponibilidad.

-   Alcance

Debemos incluir el periodo de revisión que incluye el proyecto de auditoría, aún cuando parezca  redundante  se  debe  reiterar  el  objetivo  del  proyecto  como  el  marco normativo/referencial que se utilizara en la ejecución de auditoría.

-   Aclaraciones

Contrariamente a lo que se cree, la auditoría no ejecuta modificaciones ni cambios a la situación actual. Por ello es importante indicar lo que la auditoría hace; así como, lo que no hace.
A continuación algunos ejemplos de lo que se hace y no se hace, durante la ejecución de la labor:

-  Documentación, ¿Qué se realizará?:

  • Sólo se verificará el cumplimiento de instrumentos de gestión (MOF y ROF) con respecto a los encargados del área de redes, normas y políticas existentes que incidan en el funcionamiento de la red en la empresa  “XYZ”.
  • Se verificará la Existencia del Plan de Mantenimiento para el Hardware existente.
  • Se verificará la Existencia del Plan de Actualizaciones del software.
-  ¿Qué no realizará nuestro trabajo de auditoría?
  • No realizará ninguna corrección a la estructura  de la red.
  • No realizará ninguna modificación a ninguno de los planes existentes.
  • No elaborará ningún plan de mantenimiento ni otro que no existiera.
-   Limitaciones
En este punto se incluyen todas aquellas situaciones que limitan el desarrollo del proyecto.
Se debe entender como limitación lo que dificulta pero no pone en riesgo la culminación de la auditoría.
A continuación un ejemplo de limitación:
  • Existencia de Políticas de Seguridad en la institución, que limitan el libre tránsito de los miembros del equipo de auditoría. Por tal motivo el equipo coordinará previamente con las personas autorizadas para el apropiado desempeño de las tareas establecidas.
-   Perfil del Equipo de Auditoría

Es importante identificar cuáles son las competencias  y habilidades requeridas por cada rol del equipo de auditoría.
Ejemplos de roles son: Jefe de Equipo de auditoría, Auditor especialista (redes), asistente de auditoría.


RolPerfil
Conocimientos previos en redes físicas y lógicas.
Especialista en Redes de datos
Proactivo
Conocimiento en diseño y estándares de redes

-   Asignación de roles

Identificados los cargos y perfiles del personal requerido para el proyecto, se procederá a identificar con nombre propio a los integrantes del proyecto.
Preparada esta lista, se debe difundir al interior de la organización para que el personal brinde las facilidades en la labor del equipo de auditoría.

-   Lista de personas a entrevistar

Durante el desarrollo de la auditoría, la organización continúa con sus operaciones diarias.
Por ello es importante identificar quienes son las personas que van a colaborar en esta evaluación de tal forma que no se altere la labor.
Se sugiere que en este grupo estén representados la alta dirección, el objeto auditable y los representantes de los usuarios. A continuación se presenta un ejemplo de lo mencionado anteriormente.


CargoNombre
Gerente GeneralJose Quiñones Jara
Administrador de RedesLuis Contreras Perez
Asistente de RedesCarlos Biañi Tuesta
Asistente ComercialJulia Razuri Asprilla
Asistente de OperacionesRamón Quispe Torres

-   Plan de proyectos

El plan de proyectos debe calendarizar las actividades del proyecto. Es importante también asignar responsabilidades a los miembros del equipo de tal forma de facilitar el monitoreo.
Es conveniente cuantificar el proyecto en una unidad de tiempo (Horas) de tal forma de estimar el tamaño del proyecto.

-   Plan de entregables

Es importante cuantificar las metas intermedias, de tal forma de garantizar el cumplimiento de la meta global. Por ello debemos identificar entregables que se van generando en el desarrollo del proceso de auditoría.
Entregable
  • Informe de verificación de los instrumentos de Gestión (MOF, ROF)
  • Informe de Evaluación de la red (planos, instalaciones, cableado y puntos de red).
  • Informe Corto de Auditoría
  • Informe Detallado de Auditoría
-   Pruebas de cumplimiento

El objetivo de las pruebas de cumplimiento es proporcionar al auditor una  seguridad razonable de los procedimientos relativos a los controles internos. Confirman que están siendo aplicados tal como fueron establecidos por la organización.
En este tópico incluimos el diseño de cuestionarios, listas de chequeos que nos permitan identificar brechas asociadas entre el marco normativo/ referencial y las actividades diarias de la organización.

-   Pruebas sustantivas

Este tipo de pruebas se orientan a la recopilación de evidencia de auditoría relacionado con la integridad, exactitud y validez del objeto auditable.
Es importante diseñar y procedimentar las pruebas sustantivas que se aplicarán durante la auditoría. Un ejemplo de esto, es “autenticación de usuarios en la red organizativa”. Por prueba de cumplimiento este control puede estar probado y aprobado. Es decir se tiene la lista de usuarios, procedimiento de asignación de claves, baja de usuarios etc. Como prueba sustantiva asociada al cumplimiento podemos programar un “task force” de acceso a la red.
La información que esta prueba nos proporciona puede ser: longitud de claves, robustez de la clave, conformidad de usuarios activos en la red vs reporte de usuarios activos en medio físico.

-   Técnicas y herramientas

En este tópico se detallarán las técnicas utilizadas por el auditor. Algunas de estas se muestran en la tabla siguiente:
Técnicas
  • Encuestas
  • Entrevistas
  • Observación
  • Análisis Documental

También se debe detallar las herramientas que soportarán la labor del equipo auditor. Las herramientas de software, deben ser consideradas y mencionadas según el objeto auditable a evaluar.

Ejemplo de estas herramientas son:

Herramientas
  • Cámara Filmadora Digital
  • Grabadora portátil
  • Cámara Fotográfica Digital
  • Libreta de Campo
  • PC
  • Impresoras
  • Lapiceros
  • Papel Bond
  • Testeadores de cableado UTP
  • Software de testeo de red

-   Control de Cambios

“Lo único permanente es el cambio”, el proyecto de auditoría tampoco es la excepción. Por ello debemos prever situaciones que se dan con frecuencia y que pueden ser manejables si se siguen procedimientos previamente establecidos.

  • Procedimientos de Control de cambios
Como ya se dijo hay que identificar las situaciones previsibles, de tal forma que se puedan  elaborar  procedimientos  en  su  manejo.  A  continuación  detallamos  el procedimiento para  “Cambio del personal entrevistado”.

Procedimiento: “Cambio del personal entrevistado”

1. El responsable de ejecutar la entrevista, debe identificar las razones que originan el cambio de la persona  entrevistar.
2. El responsable de ejecutar la entrevista, reporta al jefe de equipo de auditoría las razones que originan el cambio.
3. El jefe de equipo evalúa con el personal responsable de la actividad el impacto del cambio en el proyecto.
4. De no tener mayor impacto, el jefe de equipo de auditoría autoriza el cambio de personal entrevistado y de ser necesario reprograma la actividad.
5. Si el impacto es considerable, el jefe de equipo de auditoría deniega el cambio y lo registrará como una limitación al desarrollo de auditoría.

  • Formatos de control de cambios.
El auditor debe generar evidencia, por ello debe registrar los cambios en formatos diseñados de manera previa.
Si bien es cierto las empresas y equipos que realizan trabajos de auditoría manejan formatos preestablecidos, es conveniente siempre validarlos y adecuarlos a la realidad de la institución. A continuación un ejemplo de formato para  “Cambio del personal entrevistado”.


  • Guía de formatos de control de cambios

Los formatos de cambio son utilizados por el personal de campo. Este personal no necesariamente puede haber sido partícipe de la elaboración de los mismos. Ante esta situación es importante que cada formato tenga una guía descriptiva de cada uno de los campos.
A continuación un ejemplo de Guía de formato  “Cambio del personal entrevistado”.

Guía:  Formato Cambio del personal entrevistado

Objetivo:  Describir los campos que conforman el formato “Cambio del personal entrevistado”, constituyéndose de esta forma en material de consulta para un correcto registro de la información requerida.

-    Fecha Programada de la actividad:    Representa la fecha original en que se programó la actividad (entrevista).

-    Actividad:  Este campo registra el nombre de la actividad programada.

-    Entrevistado Programado:   Este campo registra el nombre de la persona que inicialmente se programó para ser entrevistado.

-    Entrevistado Reprogramado:   Este campo registra el nombre de la persona que se sugiere para reemplazar al entrevistado inicialmente programado.

-    Auditor que solicita cambio:  Se registra el nombre del auditor que solicita el cambio de entrevistado.

-    Motivo:  Detalla el motivo que origina el cambio de la persona a entrevistar.

-    Cambio Autorizado:  Indica si el cambio es autorizado o rechazado (Marcar con un aspa las casillas Si ó No)

-    Fecha de Actividad Reprogramada:    En caso de aceptarse el cambio, se asigna una nueva fecha para la realización de la actividad.



Espero haber ayudado en algo. Hasta la próxima oportunidad!

 

No hay comentarios:

Publicar un comentario en la entrada