Componentes regulatorios Evidencia de integridad operacional Evidencia de controles internos para proteger los activos Activos Un activo es definido como cualquier cosa que representa un valor para la empresa, incluyendo marcas, patentes, rcipes secretos o secretos industriales, archivos de datos, personal competente y clientes. Amenazas Evento negativo que puede causar una prdida si este ocurre. La va que permite que una amenaza ocurra es referenciada como una vulnerabilidad.
El trabajo de un auditor de TI es verificar que activos, amenazas y vulnerabilidades son
apropiadamente identificados y administrados para reducir el riesgo. Resultado de la Auditoria El auditor se gana la vida escuchando a la gerencia acerca de sus preocupaciones y/o reclamos. El prximo paso es buscar evidencias significativas y demostrar que la evidencia aprueba o desaprueba el reclamo. Como resultado final, se elabora un informe de hallazgos en el cual el auditor presenta sus observaciones y recomendaciones.
Reclamo Plan de Obtener Evaluar Informe de
Gerencial Auditoria Evidencia evidencias Hallazgos Polticas, Normas, Guas y Procedimientos Las organizaciones normalmente tienen cuatro tipos de documentos: Polticas: Es un mandato ejecutivo que identifica un particular riesgo y lo evita o previene. Las polticas son documentos de alto nivel firmados por una persona de autoridad con poder para forzar la cooperacin. Normas: estos son documentos de nivel medio que contienen los puntos de control de las medidas que aseguran las implementaciones uniformes en soporte a una poltica. Despus que la gerencia identifica Que proteger usando una poltica, el prximo paso es especificar una norma que contiene una lista de puntos de medicin para obtener una conformidad. Los revisores gerenciales, responsables del proceso auditado, evaluadores y auditores son utilizados para comparar un tema con la norma con la intencin de certificar el nivel mnimo de conformidad que existe. Polticas, Normas, Guas y Procedimientos Las norma identifican puntos de control especficos necesarios para la conformidad Las normas no contienen el flujo de trabajo para la conformidad. El trabajo de la gestin es el uso de los puntos individuales de cada norma para crear procedimientos apropiados en un flujo de trabajo completo con el fin de obtener el cumplimiento dentro de la organizacin. Las normas pueden ser agrupados en cuatro categoras bsicas: norma Regulatoria norma Industrial norma Organizacional norma Personal Tipos de normas norma regulatoria: Es un control regulatorio cuando es mandato de una ley gubernamental o agencia de gobierno para proteger la economa, sociedad, o medio ambiente. norma de la industria: El Progreso rpido durante el desarrollo de una nueva tecnologa siempre superar las normas oficiales. Las especificaciones desarrolladas por los inventores se convierten de facto en normas hasta su amplia adopcin a ratificado norma. norma organizacional: la gerencia ejecutiva en muchas organizaciones desarrollan sus propias normas para ayudar a alcanzar sus metas. norma personal: Una persona tiene su norma personal que gobierna cada da de su vida. Estas normas no oficiales pueden cambiar con la edad, educacin y experiencia de vida. Guas o Directrices Se destinan a proporcionar asesoramiento perteneciente a como los objetivos de la organizacin pueden ser alcanzados en ausencia de una norma. Las guas o directrices son discrecionales, porque las direcciones suministradas son usualmente incompletas. Los usuarios adoptan o descartan porciones de la informacin para adaptarse al uso previsto Procedimientos Son rcipes que proveen un flujo de trabajo de tareas especficas necesarias para alcanzar la mnima conformidad de una norma. Los detalles son escritos en un formato paso a paso desde el inicio hasta el fin. La informacin importante a recordar acerca de los procedimientos incluyen los siguientes puntos: Mejores prcticas, representa informacin sugerida para ayudar a los usuarios a desarrollar sus propios procedimientos. El propsito de un procedimiento es mantener el ms alto control posible de un producto o resultado Cumplimiento con los procedimientos establecidos es obligatorio para asegurar consistencia y exactitud Propsito de la Auditoria Una auditoria es simplemente una revisin de historias pasadas. El auditor de TI espera seguir el proceso definido de auditoria, establece criterios de auditoria, obtiene evidencias significativas, realiza una opinin independiente acerca de los controles internos. La auditoria involucra aplicar varias tcnicas para recolectar evidencia significativa y entonces realiza una comparacin entre la evidencia de la auditoria y la norma de referencia. Si las afirmaciones de la gerencia y el informe del auditor estn de acuerdo, se puede decir que el resultado es veraz, de lo contrario, sera seal de una preocupacin que justifica una mayor atencin (Control y seguimiento o revisin). Un buen auditor genera resultados verificables. Comparacin entre Auditoria y Evaluacin La auditoria en trminos legales es definida como una inspeccin sistemtica de registros que involucra anlisis, pruebas y confirmacin de evidencias. El auditor genera un reporte que que representa un alto nivel de verdad. La auditoria realizada por un auditor independiente representa un alto grado de aseguramiento ya que este es proporcional al nivel de independencia del auditor.
La evaluacin es menos formal y frecuentemente ms cooperativo con las personas objetos bajo el escrutinio.