590 likes | 743 Views
EUROsociAL. SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS. Cartagena de Indias Mayo, 2008. Presentación y sinopsis. Capítulos 13, 14, 15, 16 y 17. Comunicación de los resultados. El informe.
E N D
SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS Cartagena de Indias Mayo, 2008
Presentación y sinopsis. Capítulos 13, 14, 15, 16 y 17. • Comunicación de los resultados. El informe. • Seguimiento de la Auditoría. • El sistema de Información de la Administración Tributaria. • Seguridad de la Información. • Auditoría de Sistemas de Información.
EL INFORME DE AUDITORIA HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDAD QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS DE INFORMES, Y QUE GARANTIZAN SU CALIDAD. EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN EVIDENCIAS, RECOGIENDO OBSERVACIONES, CONCLUSIO-NES Y RECOMENDACIONES. EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE AL LECTOR UNA IMAGEN CLARA DE PORQUÉ SE EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.
CONTENIDO DEL INFORME EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO MÍNIMO DEBE INCLUIR: EL OBJETO, EL ALCANCE Y LOS RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES) UN INFORME ESTÁNDAR, PODRÍA CONTENER: • Título y número de referencia. • Introducción. • Objeto de la auditoría • Alcance • Metodología utilizada. • Informe-resumen o informe ejecutivo. • Información preliminar, antecedentes. • Firma y fecha. • Observaciones. • Conclusiones. • Recomendaciones. • Alegaciones, descargos y opinión del órgano auditado. • Anexos.
INTRODUCCION DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO. CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO COMPOSICIÓN DEL EQUIPO DE AUDITORÍA FECHAS DE INICIO Y FINALIZACIÓN DE LAS ACTUACIONES. CARÁCTER O TIPO DEL INFORME. DESTINATARIO/S DEL INFORME.
OBJETO COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO REALIZADO DE FORMA CLARA Y NEUTRAL SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO. ALCANCE EL ALCANCE: DELIMITA LA NATURALEZA Y ÁMBITO DE LA AUDITORÍA. ÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A AUDITAR. LAS LIMITACIONES AL ALCANCE.
METODOLOGIA FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.) UTILIZADAS. BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA INFORMACIÓN (APLICACIONES ESPECÍFICAS) METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE REPRESENTATIVIDAD. ANTECEDENTES
EXPOSICIONES PERTINENTES DE LOS HECHOS NO SON JUICIOS DE VALOR. EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS SUFICIENTES, RELEVANTES Y COMPETENTES. DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA PERSPECTIVA Y CONTEXTO ADECUADOS. EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.
SURGEN DE LA COMPARACIÓN ENTRE: CRITERIO (LO QUE DEBE SER) REALIDAD (LO QUE ES) Razón de la diferencia. CAUSA Riesgo a que se somete la organización debido a las diferencias entre “lo que debe ser” y “lo que es”. EFECTOS
FORMA DE REFLEJAR LAS EVIDENCIAS: DEBEN RECOGERSE EN EL INFORME EN FORMA DE CUADROS-RESÚMENES DONDE SE OFREZCAN LOS DATOS AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN UN ANEXO. EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLES O DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME. EN EL CASO DE ENTREVISTAS CON RESPONSABLES DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE DOCUMENTAL FACILITADO, SI EXISTE. LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS INFORMES EN UN ANEXO.
CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR SOBRE LAS OBSERVACIONES Y SUS EFECTOS DEBEN APARECER CLARAMENTE COMO TALES. DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O CONDUCTAS IRREGULARES DEL PERSONAL. SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES: extracto de las principales observaciones y de la opinión del auditor.
RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS ENCONTRADAS SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES REFLEJADAS EN EL INFORME. OPINIONES O ALEGACIONES DEL ORGANO AUDITADO. FECHA Y FIRMA ANEXOS.
INFORME EJECUTIVO SE PUEDE INCORPORAR COMO PARTE DEL INFORME O PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.
RECOMENDACIONES DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME. OBSERVACIONES (hechos) CONCLUSIONES (opiniones del auditor) Soluciones a los problemas detectados RECOMENDACIONES (hechos) Mejora del servicio público prestado DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE SE APOYAN Y REFERIRSE A ÉSTAS.
RECOMENDACIONES SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO COMPETENCIAL. SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.
RECOMENDACIONES EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE OBLIGADO CUMPLIMIENTO PARA EL AUDITADO. EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE OBLIGATORIEDAD QUE DEBERÍA DARSE A LA RECOMENDACIÓN EN FUNCIÓN DE LA CRITICIDAD EL PROBLEMA DETECTADO O DE LA CONVENIENCIA DE APLICACIÓN DE LA MEJORA PROPUESTA. NO OBSTANTE, HAY QUE GARANTIZAR QUE: • LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA CONOCE LAS RECOMENDACIONES. • LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE NO HACERLO. • SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS DE LAS RECOMENDACIONES.
REQUISITOS DE CALIDAD • PRECISOS • OBJETIVOS • CLAROS • CONCISOS • CONSTRUCTIVOS • COMPLETOS • OPORTUNOS • ESTANDARIZACION DE INFORMES
SUPERVISION DEL INFORME EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS EXPERIMENTADOS.
Las razones que justifican la supervisión: • Asegurando que se han cumplido los objetivos de la auditoría. • Garantizando que los informes son precisos, objetivos, claros, concisos, constructivos y oportunos. • Verificando la coherencia de conclusiones y recomendaciones con las observaciones y objetivos de la auditoría. • Determinando si las evidencia están suficientemente reflejadas en el informe y son suficientes y competentes para avalar las observaciones, conclusiones y recomendaciones. • Comprobando que se han cumplido las normas de estandarización.
POSIBLES TÉCNICAS DE SUPERVISIÓN: • Simple lectura del documento. • Contraste del informe con plantillas de informes estandarizados o documentos-guía. • Proceso de referencias o indización del informe, evidencias y papeles de trabajo por un equipo independiente al de elaboración
TIPOS DE INFORME • SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN • SEGÚN EL MOMENTO DE SU ELABORACIÓN • ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN • ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO
) TRAMITACIÓN DEL INFORME DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA TRAMITACIÓN DE LOS INFORMES • POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE INFORME. • DEBE ESTAR REGULADO Y SER CONOCIDO POR LA ORGANIZACIÓN. • DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO. • OPCIONAL: antes de la elaboración del borrador del informe (reuniones posteriores a la auditoría; reunión de presentación de conclusiones). • OBLIGATORIO: Remisión del borrador para observaciones al órgano auditado o superior jerárquico.
DISTRIBUCIÓN DEL INFORME DESTINATARIOS PRINCIPALES O NATURALES COMITÉ DE AUDITORÍA (SI LO HUBIESE) ÓRGANOS COLEGIADOS EN MATERIA DE CONTROL, SEGURIDAD O RIESGOS DIRECCIÓN DE LA ADMÓN TRIBUTARIA ÓRGANO AUDITADO SUPERIOR JERÁRQUICO Y/O RESPONSABLE DE LA SOLUCIÓN OTROS INTERESADOS OTROS ÓRGANOS DE CONTROL INTERNO O EXTERNO OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS
ARCHIVO Y CONSERVACIÓN DEL INFORME EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS DURANTE EL PLAZO Y EN LAS CONDICIONES DE SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO, MIENTRAS SEAN DE UTILIDAD PARA LA MISMA. SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO INFORMATIZADO. LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL DE INFORMES FACILITA LA PLANIFICACIÓN Y SEGUIMIENTO DE ACTUACIONES.
SEGUIMIENTO DE LA AUDITORIA • MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE APORTAN LAS ACTUACIONES DE AUDITORÍA, FUNDAMENTALMENTE LAS RECOMENDACIONES, MULTIPLICANDO SU IMPACTO Y FACILITANDO SU DIFUSIÓN • LOS OBJETIVOS DEL SEGUIMIENTO SON: • Verificar el grado de cumplimiento de las recomendaciones de auditoría o la aceptación por la Dirección del riesgo de no hacerlo. • Evaluar el impacto de las recomendaciones implantadas en la solución de las deficiencias observadas o las mejoras producidas. • Retroalimentar el proceso de control interno de la organización. • Aumentar la eficacia de las auditorías.
EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE GARANTICEN EL CUMPLIMIENTO DE LAS RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS: • ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO AUDITADO DE LAS RECOMENDACIONES, PUESTA DE MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O EN LA FASE DE TRAMITACIÓN DEL INFORME. • REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA AUTORIDAD COMPETENTE PARA IMPONERLAS. • SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.
EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE AUDITORÍA UNO RELATIVO A AUDITORÍAS DE SEGUIMIENTO OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL SEGUIMIENTO. LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.
SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMAS CARTAGENA DE INDIAS Mayo, 2008
AUDITORÍA DE SISTEMAS DE INFORMACIÓN APARTADO 17 APARTADO 17.1 INTRODUCCIÓN Y SINOPSIS La Administración Tributaria (AT) es una organización compleja, cuya actividad se desenvuelve mediante procedimientos automatizados, acordando una gran relevancia a las tecnologías de la información y de las comunicaciones. La organización debe supervisar el desempeño de los sistemas de información. Para desarrollar en la AT una actividad de auditoría completa y en profundidad, el OAI necesita disponer de un área de auditoría de sistemas de información, cuyo plantilla esté compuesta por especialistas, auditores de sistemas de información, que ejecuten actuaciones alineadas con el resto de actividades de auditoría del OAI.
EPÍGRAFE 17.2.1 DEFINICIÓN DEFINICIÓN (1) La auditoría de sistemas de información, auditoría informática o auditoría de sistemas es un tipo de auditoría consistente en el examen de los sistemas de información y de los centros de proceso de datos, instalaciones y unidades informáticas de las organizaciones, con objeto de facilitar la consecución de los objetivos que persiguen, tanto los del área informática como, primordialmente los del conjunto de la organización .
EPÍGRAFE 17.2.1 DEFINICIÓN DEFINICIÓN (2) La auditoría de sistemas de información persigue propiciar con sus actuaciones: - El establecimiento y mantenimiento de sistemas de gestión de la seguridad. - La reducción de los riesgos inherentes a la utilización de los sistemas de información. - El incremento de la confianza de los usuarios internos y externos en los sistemas de información.
DEFINICIÓN EPÍGRAFE 17.2.1 DEFINICIÓN (3) • Son objeto de la auditoría de sistemas de información: • Las auditorías consistentes en la revisión y evaluación de los sistemas automáticos de procesamiento de la información. • Las que se ocupan de los procedimientos no automáticos relacionados con ellos y de los interfases correspondientes. Por ejemplo, en el ámbito tributario: • La dirección de las instalaciones y unidades informáticas. • La adquisición de bienes y servicios informáticos. • La gestión de los contenidos residentes en la Intranet corporativa y en el portal Internet de la organización. • Las actividades de mejora de la calidad en la entrada de datos.
EPÍGRAFE 17.2.2 Varios factores han impulsado la demanda de una mayor supervisión y control de los sistemas de información: • Las amenazas a la seguridad informática, en un marco de sistemas de información cada vez más abiertos por la utilización de Internet y la interconexión de redes. • La protección de los derechos de los ciudadanos, en el ámbito de la sociedad de la información y del gobierno electrónico. • La fiabilidad de la información ofrecida por las empresas, que requieren una comprobación de aquellos procesos que elaboran y comunican los resultados conseguidos.
FUNCIONES EPÍGRAFE 17.2.3 FUNCIONES DE LA AUDITORÍA DE SI (1) Velar por la eficacia y eficiencia del sistema informático, de forma que éste alcance con el menor coste posible los objetivos. Verificar el cumplimiento de las normas y estándares vigentes en la organización (leyes de firma electrónica, de protección de datos de carácter personal, de propiedad intelectual del software, etc.). Supervisar el control interno ejercido sobre los sistemas de información conducente a la protección de los activos de información de información de la organización: recursos humanos, locales e instalaciones, infraestructuras tecnológicas, sistemas y aplicaciones, información tributaria.
FUNCIONES EPÍGRAFE 17.2.3 FUNCIONES DE LA AUDITORÍA DE SI (2) Verificar la calidad de los sistemas de información de la organización y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organización (cumplimiento de normas de calidad o modelo de excelencia en gestión). Comprobar e impulsar la seguridad de los sistemas de información.
FUNCIONES EPÍGRAFE 17.2.3 Comprobar el cumplimiento de los requerimientos de negocio de la información, es decir las propiedades que la información debe tener para optimizar su utilización por la organización. Analizar la gestión de los riesgos asociados a los sistemas de información, proponiendo la adopción de medidas que mejoren el sistema de análisis y gestión de los riesgos informáticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organización.
EPÍGRAFE 17.2.4 AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA EJEMPLOS (1) • Objetivos del SI de la Administración Tributaria: • Asegurar la continuidad del servicio prestado por el Centro Informático de la AT y por tanto la atención a los usuarios. • Elaborar aplicativos de depuración y de análisis de la información patrimonial capturada por la organización, que faciliten el cobro voluntario y compulsivo y, en general, la labor de los recaudadores, minimizando el riesgo recaudatorio. • Garantizar la seguridad de los SI de la organización, estableciendo un entorno de control que incorpore medidas técnicas eficaces y una revisión sistemática de las autorizaciones concedidas y de los accesos registrados.
EPÍGRAFE 17.2.4 AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA • Programas de auditoría de SI en la Administración Tributaria: • El programa de auditoría de SI que se ocupa de la continuidad del servicio puede estar compuesto en la AT de las siguientes actuaciones: • Una actuación en el entorno de explotación y comunicaciones del Centro Informático. • Una actuación sobre las condiciones de seguridad y accesibilidad de la modalidad de teletrabajo implantada por la organización para los agentes tributarios desplazados. • Una actuación sobre la infraestructura tecnológica de la plataforma Internet, ubicada en el Centro Informático de la AT.
EL AUDITOR DE SISTEMAS DE INFORMACIÓN La auditoría de sistemas de información es una actividad diferenciada. El auditor de sistemas de información o auditor informático es un auditor especialista. La característica principal del auditor de sistemas de información es su capacidad para alcanzar y fundamentar evidencias de auditoría en un contexto real de utilización de las tecnologías de la información.
EL AUDITOR DE SISTEMAS DE INFORMACIÓN Debido a la complejidad de los modernos sistemas de información y a la necesidad de tener amplios conocimientos del área de negocio, el auditor de sistemas de información trabaja en equipo: • Con profesionales de distintos perfiles técnicos que cubran áreas funcionales informáticas diferentes (sistemas, desarrollo, comunicaciones). • Con una planificación muy elaborada de las actuaciones, plasmada en guiones minuciosos. • En algunas actuaciones con la colaboración técnica del propio personal auditado o de terceros no interesados directamente en la actuación.
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1) • Conocimientos, proporcionados a su grado de responsabilidad, sobre la organización en la que desarrolla su actividad: • La misión, estrategia, políticas y objetivos de la organización. • La estructura y funcionamiento de la organización. • Los principales procesos de negocio, y las normas y disposiciones que les afectan.
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2) • Manejo con soltura del marco profesional para la práctica de la auditoría interna: • Los modelos y principios de auditoría, como la supervisión del control interno (Informe COSO I) y la gestión de riesgos (Informe COSO II). • Las normas y estándares que regulan en la organización el proceso de auditoría y el proceso de seguimiento de las recomendaciones. • Los códigos de conducta aplicables, como puede ser el Código de Ética del Instituto Internacional de Auditoría Interna.
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3) • Conocimientos sólidos en materia de tecnologías de la información y de las comunicaciones: • Conocimientos de materias TIC generales (infraestructuras; prácticas operacionales; organización, desarrollo e implementación de los SI, etc.). • Conocimientos de materias relacionadas directamente con la seguridad de los sistemas de información (protección de activos de información, continuidad del negocio). • Conocimientos de materias relacionadas directamente con la auditoría y el control de los sistemas de información (metodologías de análisis y gestión de riesgos, marcos referenciales, herramientas de auditoría, etc.).
ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE SI • Lo relevante de cualquier estrategia es conseguir una unidad o equipo equilibrado en cuanto a formación, experiencia y especialización de sus miembros y jefes. Dos de las posibles opciones son las siguientes: • A.- Incorporar al OAI a empleados públicos, que posean una certificación en vigor como auditores de sistemas de información, o, en su defecto, que dispongan de las condiciones para obtenerla en un plazo razonable. • B.- Contratar a profesionales externos de auditoría de sistemas de información, para que pasen a ejercer esta función en la Administración Tributaria como auditores internos en el OAI, siempre que esta contratación sea compatible con el estatus de los auditores internos.
FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI EPÍGRAFE 17.3.6 EL OAI Y LOS AUDITORES DE SI • Los auditores de sistemas de información deben formar parte de los órganos especializados de control, supervisión o auditoría interna de las organizaciones. • Funciones generales: • El ejercicio de la supervisión del control interno y del análisis y gestión de los riesgos, en relación con los sistemas de información y con los sistemas informáticos de la organización.
FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI EPÍGRAFE 17.3.6 EL OAI Y LOS AUDITORES DE SI • La realización de auditorías totales o parciales de los sistemas de información de la organización. • La colaboración con otros equipos de auditoría en actuaciones generales de auditoría interna. • La participación en la función de consultoría y asesoramiento que presta el órgano especializado de control interno a la organización.
PROCEDIMIENTOS DE LA AUDITORÍA DE SI EPÍGRAFE 17.4.1 METODOLOGÍA Y ESTÁNDARES Utilización de metodologías, instrumentos y procedimientos operativos propios. En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.
PROCEDIMIENTOS DE LA AUDITORÍA DE SI EPÍGRAFE 17.4.1 FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES • Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: • ISACA - Asociación de Auditoría y Control de Sistemas de Información • ISO – Organización Internacional para la estandarización. • NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.
EPÍGRAFE 17.4.2 REPERTORIO DE CONTROLES DEFINICIÓN • La auditoría de sistemas de información hace un uso frecuente de marcos de referencia para describir los sistemas de información, con el objetivo de independizarse de la tecnología subyacente, de forma que el modelo propuesto sea utilizable para diferentes organizaciones (COBIT, ITIL). • Algunos de estos marcos de referencia están especialmente orientados hacia la descripción sistemática del control que debe ser ejercido en los sistemas de información, consiguiendo: • Simplificar la tarea de planificación. • Facilitar la labor de supervisión del guión de auditoría y del resto de instrumentos de planificación.