El proceso de auditoría descrito se basa tanto en el análisis de riesgos, que sirve de insumo para evaluar y validar la calidad de los controles implantados por el auditado; como, en el marco legal y normativo de la organización.
Es importante señalar que durante el proceso se valora tanto la perspectiva del auditor como la del auditado; aspecto que debe ser considerado por los profesionales de auditoría de tecnologías de información (TI) como un punto a favor de la mejora continua.
I . DATOS GENERALES
Antes de dar inicio a los trabajos de auditoría es preciso entender y conocer la organización.
Puntos relevantes como el Giro del negocio, Misión, Visión y su Direccionamiento estratégico deben ser conocidos por el auditor para priorizar el enfoque en concordancia con el negocio.
En lo que refiere al auditor de Tecnologías, es importante que éste conozca el nivel jerárquico que ocupanlos responsables de las políticas de Tecnologías de Información.
Un instrumento que facilita esto es el organigrama.
Los aspectos mínimos que se pueden incluir en este tópico son:
- Giro del Negocio
- Reseña Histórica
- Direccionamiento estratégico actual
- Misión
- Visión
- Estrategias
- Organigrama
- Lugar Geográfico de la empresa
II. IDENTIFICACIÓN DE LOS OBJETOS AUDITABLES
La auditoría de TI implica un campo amplio difícilmente abarcable en un período de evaluación.
Por ello es preciso agrupar y enfocar la revisión siguiendo criterios relacionados con aspectos de: gestión, desarrollo de software, hardware, telecomunicaciones, seguridad global, etc.
Objetos Auditables
Auditoría de TI
- Auditoría de la dirección
- Auditoría ofimática
- Auditoría de desarrollo
- Auditoría de la explotación
- Auditoría de base de datos
- Auditoría física
- Auditoría de redes
- Motivos de Auditoría
La auditoría de TI, no debe ser enfocada únicamente como una necesidad de cumplimiento sino como parte de un proceso de optimización y mejora continua.
Las organizaciones no deben ver sus problemas como tal, sino como oportunidades que se pueden a orientar hacia actividades que contribuyan al direccionamiento estratégico de la institución.
Ejemplos de Motivos de Auditoría son:
- Descontento general de los usuarios, motivado generalmente por incumplimiento de plazos y mala calidad de resultados por parte del área de Tecnologías de la información.
- Falta de documentación o documentación incompleta de sistemas.
- Título de Auditoría aplicable
Identificados los motivos de auditoría, es preciso coordinar con la organización auditada los motivos relevantes que serán considerados en el proyecto.
El proyecto de Auditoría debe tener un nombre. Se sugiere identificarlo con un nombre que refleje la labor del proyecto. Por ejemplo el descontento generalizado de los usuarios puede originar el siguiente proyecto de auditoría: “Auditoría al soporte informático en la empresa XYZ”
III. MARCO NORMATIVO/REFERENCIAL APLICABLE
Consideraremos como marco normativo, toda aquella ley, norma o código de buenas prácticas que la institución está obligada a cumplir tanto por legislación como por parte de su mejora continua. Dado que este rubro puede abarcar una vasta información nos limitaremos a identificar y detallar sólo aquella que está relacionada y tiene incidencia directa en el proyecto de auditoría.
Este marco contribuye al proyecto al reforzar la opinión del auditor, eliminando todo criterio de subjetividad.
El marco normativo, posibilita que el equipo de auditoría identifique hallazgos a partir del análisis de brechas.
El marco referencial, contribuye con el auditor porque proporciona una serie de recomendaciones basadas en su contenido. En esta categoría recaen los códigos de buenas prácticas que tienden a estandarizar procesos de acuerdo a las mejores prácticas mundialmente aceptadas.
El marco normativo / referencial, lo podemos clasificar en:
- Normativa/referencial Internacional
En esta categoría se ubica la legislación internacional. De tratarse de una empresa transnacional, no sólo debe cumplir con la legislación propia del país, sino también con la de su país de origen al que reporta.
Los códigos de buenas prácticas, estándares emitidos por organismos de estandarización como ISO, IEEE, PMI, etc. también se incluyen en este tópico.
- Normativa/referencial Nacional
El país Perú tiene legislación que de ser el caso involucra el objeto auditable en estudio. Por ejemplo si se evalúa el sistema de facturación de la institución, es conveniente incluir la Ley de comprobantes del pago.
En este acápite se incluyen también las normas técnicas emitidas por el comité técnico de normalización de INDECOPI como la norma NTP-ISO/IEC 12207 ó NTP-ISO/IEC 1779.
Si el examen de auditoría se aplica a una entidad financiera, se debe incluir la normativa de la superintendencia de Banca y Seguros SBS.
En lo que refiere a las instituciones públicas se considerará la normativa de la Contraloría General de la República y la oficina general de gobierno electrónico.
- Normativa/referencial Institucional
Las organizaciones para operar y mejorar sus actividades, formulan políticas, manuales y reglamentos. Es conveniente realizar un análisis documental de esta información considerando principalmente la que se relaciona con el objeto auditable.
Como se mencionó líneas arriba, se debe considerar la normativa o modelos de referencia que se relacionen o aporten al proyecto de auditoría.
IV. ANÁLISIS DE RIESGOS (ASOCIADOS AL TIPO DE AUDITORÍA SELECCIONADA)
El análisis de riesgos proporciona información valiosísima respecto al grado de exposición de los activos respecto de las amenazas que afecten la continuidad no sólo de los servicios sino también del negocio. De no contar con este análisis, el auditor tendrá que esbozar de manera rápida este estudio considerando los siguientes puntos:
- Identificación de Activos de TI
“Son todos aquellos bienes y activos de información que representan algún valor dentro y para la organización, y que se encuentran dentro del alcance y los límites del SGSI”. (ISO 27000 en Español, 2005)
- Amenazas y vulnerabilidades
“Son todas aquellas que afectan y perjudican a los activos mencionados en el inventario”. (ISO 27000 en Español, 2005)
Es importante identificar las amenazas que se relacionen y afecten a los activos.
También Identificaremos las vulnerabilidades que pueden ser aprovechadas por las amenazas.
- Impacto
Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.
- Probabilidad de ocurrencia
Evaluar de forma objetiva y realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y controles que ya estén implementados.
V. PLAN DE AUDITORÍA
Finalizada las actividades orientadas a conocer y aprender de la organización, el equipo de auditoría debe planificar y definir las actividades requeridas para llevar adelante el proceso de auditoría. A continuación se detallan los principales componentes de esta sección:
- Objetivo General
Cualquier proyecto, incluidos los de tecnología, deben tener una meta a lograr. Esta meta debe ser definida de manera clara entre auditores y auditados. Esto es fundamental sobre todo para esbozar las conclusiones y recomendaciones de la auditoría. Un ejemplo de objetivo es:
- Evaluar la situación actual del Diseño y Seguridad Física de la Red en la empresa “XYZ”.
- Objetivos específicos
Las metas globales no son alcanzables sino se dan pequeños pasos. En ese sentido están orientados los objetivos específicos. Es importante mantener la relación entre los objetivos específicos y el objetivo general. Ejemplos de objetivos específicos son:
- Revisar, verificar y evaluar el correcto cumplimiento de instrumentos de gestión (MOF y ROF) y políticas existentes que incidan en el funcionamiento de la red.
- Evaluar el diseño de la estructura de la red.
- Revisar y evaluar diseño e implementación de la red.
- Evaluar la seguridad lógica de la red.
- Evaluar la seguridad física de la red.
- Evaluar y Proponer controles asociados a la red institucional.
- Alineamiento de la auditoría a la estrategia del negocio
Los proyectos de auditoría no pueden verse como gasto sino como inversión. En ese sentido se debe identificar el aporte del proyecto de auditoría al negocio en término de las estrategias.
A continuación detallamos, un ejemplo de alineamiento para:
- Evaluar la situación actual del Diseño y Seguridad Física de la Red en la empresa “XYZ”
Estrategia de Negocio | Alineamiento |
Establecer nuevos sistemas de información, que refuercen los lazos de integración con nuestro cliente. | Los sistemas de información a implementar en el negocio, deben estar soportadas por una red óptima. La auditoría de redes es responsable de la evaluación de los controles de tal forma que estos sistemas se ejecuten de manera adecuada manteniendo los criterios de confidencialidad, integridad y disponibilidad. |
- Alcance
Debemos incluir el periodo de revisión que incluye el proyecto de auditoría, aún cuando parezca redundante se debe reiterar el objetivo del proyecto como el marco normativo/referencial que se utilizara en la ejecución de auditoría.
- Aclaraciones
Contrariamente a lo que se cree, la auditoría no ejecuta modificaciones ni cambios a la situación actual. Por ello es importante indicar lo que la auditoría hace; así como, lo que no hace.
A continuación algunos ejemplos de lo que se hace y no se hace, durante la ejecución de la labor:
- Documentación, ¿Qué se realizará?:
- Sólo se verificará el cumplimiento de instrumentos de gestión (MOF y ROF) con respecto a los encargados del área de redes, normas y políticas existentes que incidan en el funcionamiento de la red en la empresa “XYZ”.
- Se verificará la Existencia del Plan de Mantenimiento para el Hardware existente.
- Se verificará la Existencia del Plan de Actualizaciones del software.
- No realizará ninguna corrección a la estructura de la red.
- No realizará ninguna modificación a ninguno de los planes existentes.
- No elaborará ningún plan de mantenimiento ni otro que no existiera.
En este punto se incluyen todas aquellas situaciones que limitan el desarrollo del proyecto.
Se debe entender como limitación lo que dificulta pero no pone en riesgo la culminación de la auditoría.
A continuación un ejemplo de limitación:
- Existencia de Políticas de Seguridad en la institución, que limitan el libre tránsito de los miembros del equipo de auditoría. Por tal motivo el equipo coordinará previamente con las personas autorizadas para el apropiado desempeño de las tareas establecidas.
Es importante identificar cuáles son las competencias y habilidades requeridas por cada rol del equipo de auditoría.
Ejemplos de roles son: Jefe de Equipo de auditoría, Auditor especialista (redes), asistente de auditoría.
Rol | Perfil |
Conocimientos previos en redes físicas y lógicas. | |
Especialista en Redes de datos | |
Proactivo | |
Conocimiento en diseño y estándares de redes |
- Asignación de roles
Identificados los cargos y perfiles del personal requerido para el proyecto, se procederá a identificar con nombre propio a los integrantes del proyecto.
Preparada esta lista, se debe difundir al interior de la organización para que el personal brinde las facilidades en la labor del equipo de auditoría.
- Lista de personas a entrevistar
Durante el desarrollo de la auditoría, la organización continúa con sus operaciones diarias.
Por ello es importante identificar quienes son las personas que van a colaborar en esta evaluación de tal forma que no se altere la labor.
Se sugiere que en este grupo estén representados la alta dirección, el objeto auditable y los representantes de los usuarios. A continuación se presenta un ejemplo de lo mencionado anteriormente.
Cargo | Nombre |
Gerente General | Jose Quiñones Jara |
Administrador de Redes | Luis Contreras Perez |
Asistente de Redes | Carlos Biañi Tuesta |
Asistente Comercial | Julia Razuri Asprilla |
Asistente de Operaciones | Ramón Quispe Torres |
- Plan de proyectos
El plan de proyectos debe calendarizar las actividades del proyecto. Es importante también asignar responsabilidades a los miembros del equipo de tal forma de facilitar el monitoreo.
Es conveniente cuantificar el proyecto en una unidad de tiempo (Horas) de tal forma de estimar el tamaño del proyecto.
- Plan de entregables
Es importante cuantificar las metas intermedias, de tal forma de garantizar el cumplimiento de la meta global. Por ello debemos identificar entregables que se van generando en el desarrollo del proceso de auditoría.
Entregable
- Informe de verificación de los instrumentos de Gestión (MOF, ROF)
- Informe de Evaluación de la red (planos, instalaciones, cableado y puntos de red).
- Informe Corto de Auditoría
- Informe Detallado de Auditoría
El objetivo de las pruebas de cumplimiento es proporcionar al auditor una seguridad razonable de los procedimientos relativos a los controles internos. Confirman que están siendo aplicados tal como fueron establecidos por la organización.
En este tópico incluimos el diseño de cuestionarios, listas de chequeos que nos permitan identificar brechas asociadas entre el marco normativo/ referencial y las actividades diarias de la organización.
- Pruebas sustantivas
Este tipo de pruebas se orientan a la recopilación de evidencia de auditoría relacionado con la integridad, exactitud y validez del objeto auditable.
Es importante diseñar y procedimentar las pruebas sustantivas que se aplicarán durante la auditoría. Un ejemplo de esto, es “autenticación de usuarios en la red organizativa”. Por prueba de cumplimiento este control puede estar probado y aprobado. Es decir se tiene la lista de usuarios, procedimiento de asignación de claves, baja de usuarios etc. Como prueba sustantiva asociada al cumplimiento podemos programar un “task force” de acceso a la red.
La información que esta prueba nos proporciona puede ser: longitud de claves, robustez de la clave, conformidad de usuarios activos en la red vs reporte de usuarios activos en medio físico.
- Técnicas y herramientas
En este tópico se detallarán las técnicas utilizadas por el auditor. Algunas de estas se muestran en la tabla siguiente:
Técnicas
- Encuestas
- Entrevistas
- Observación
- Análisis Documental
También se debe detallar las herramientas que soportarán la labor del equipo auditor. Las herramientas de software, deben ser consideradas y mencionadas según el objeto auditable a evaluar.
Ejemplo de estas herramientas son:
Herramientas
- Cámara Filmadora Digital
- Grabadora portátil
- Cámara Fotográfica Digital
- Libreta de Campo
- PC
- Impresoras
- Lapiceros
- Papel Bond
- Testeadores de cableado UTP
- Software de testeo de red
- Control de Cambios
“Lo único permanente es el cambio”, el proyecto de auditoría tampoco es la excepción. Por ello debemos prever situaciones que se dan con frecuencia y que pueden ser manejables si se siguen procedimientos previamente establecidos.
- Procedimientos de Control de cambios
Procedimiento: “Cambio del personal entrevistado”
1. El responsable de ejecutar la entrevista, debe identificar las razones que originan el cambio de la persona entrevistar.
2. El responsable de ejecutar la entrevista, reporta al jefe de equipo de auditoría las razones que originan el cambio.
3. El jefe de equipo evalúa con el personal responsable de la actividad el impacto del cambio en el proyecto.
4. De no tener mayor impacto, el jefe de equipo de auditoría autoriza el cambio de personal entrevistado y de ser necesario reprograma la actividad.
5. Si el impacto es considerable, el jefe de equipo de auditoría deniega el cambio y lo registrará como una limitación al desarrollo de auditoría.
- Formatos de control de cambios.
Si bien es cierto las empresas y equipos que realizan trabajos de auditoría manejan formatos preestablecidos, es conveniente siempre validarlos y adecuarlos a la realidad de la institución. A continuación un ejemplo de formato para “Cambio del personal entrevistado”.
- Guía de formatos de control de cambios
Los formatos de cambio son utilizados por el personal de campo. Este personal no necesariamente puede haber sido partícipe de la elaboración de los mismos. Ante esta situación es importante que cada formato tenga una guía descriptiva de cada uno de los campos.
A continuación un ejemplo de Guía de formato “Cambio del personal entrevistado”.
Guía: Formato Cambio del personal entrevistado
Objetivo: Describir los campos que conforman el formato “Cambio del personal entrevistado”, constituyéndose de esta forma en material de consulta para un correcto registro de la información requerida.
- Fecha Programada de la actividad: Representa la fecha original en que se programó la actividad (entrevista).
- Actividad: Este campo registra el nombre de la actividad programada.
- Entrevistado Programado: Este campo registra el nombre de la persona que inicialmente se programó para ser entrevistado.
- Entrevistado Reprogramado: Este campo registra el nombre de la persona que se sugiere para reemplazar al entrevistado inicialmente programado.
- Auditor que solicita cambio: Se registra el nombre del auditor que solicita el cambio de entrevistado.
- Motivo: Detalla el motivo que origina el cambio de la persona a entrevistar.
- Cambio Autorizado: Indica si el cambio es autorizado o rechazado (Marcar con un aspa las casillas Si ó No)
- Fecha de Actividad Reprogramada: En caso de aceptarse el cambio, se asigna una nueva fecha para la realización de la actividad.
Espero haber ayudado en algo. Hasta la próxima oportunidad!
No hay comentarios:
Publicar un comentario