Monitorear y Evaluar (ME)

ME1 Monitorear y Evaluar el Desempeño de TI

En este proceso se establecen varios niveles y métodos para el monitoreo de TI en una organización.

ME1.1 Enfoque del Monitoreo
En este nivel se entiende como la documentación necesaria para realizar el monitoreo de un proyecto TI, entendiendo como marco teórico, alcances y limitaciones.

ME1.2 Definición y Recolección de Datos de Monitoreo
Garantizar que la gerencia de TI, trabajando en conjunto con el negocio, defina un conjunto balanceado de objetivos, mediciones, metas y comparaciones de desempeño y que estas se encuentren acordadas formalmente con el negocio y otros interesados relevantes.

ME1.3 Método de Monitoreo

Se establecen unos protocolos de monitoreo que cumplan con los estándares de evaluación.   

ME1.4 Evaluación del Desempeño

Comparar de forma periódica el desempeño contra las metas, realizar análisis de la causa raíz e iniciar medidas correctivas para resolver las causas subyacentes.

ME1.5 Reportes al Consejo Directivo y a Ejecutivos 

Son los reportes que formalmente son revisados por los de alta gerencia, es decir los responsables de la organización para conocer el rendimiento y metas alcanzadas durante la evaluación del proyecto.

ME1.6 Acciones Correctivas

En este nivel se dispone a realizar las respectivas correcciones de acuerdo al monitoreo del desempeño en la organización. 

HERRAMIENTA DE AUDITORIA WINAUDIT

Introducción

WINAUDIT

Descripción

Se trata de un programa totalmente gratuito que analiza tu PC y en pocos segundos te muestra toda la información referente a programas instalados, sistema operativo, procesador, memoria, discos duros, etc.

Su uso e instalación no pueden ser más sencillos. Una vez descargado el programa, descomprimelo, no requiere instalación, y comienza a inventariar (pulsando Recolectar). En breves instantes tendrás una impresionante lista, con todos los datos perfectamente agrupados, con todo lo que habita en tu PC.

Funciones de Auditoría

El software winaudit permite tener claro qué programas y dispositivos tiene instalado un computador y eso en una auditoría sirve para identificar qué programas se utilizan dentro de la empresa.

Se identifica si se maneja software sin licencia.

Se determina el software de tipo personal que tienen los empleados que se encuentra restringido en las empresas.

Identifica qué modelos de computadoras se utilizan y para qué servicios son dispuestos.

“WinAudit es de libre distribución para cualquier persona y solo trabaja en plataforma Windows”.

Observaciones

El Winaudit es una herramienta muy básica que ofrece unas funcionalidades básicas que ayudan mucho a analizar un computador sobre que se tiene instalado y sobre qué dispositivos se manejan, todo en muy corto tiempo.

Características del programa WinAudit

El programa informa sobre prácticamente todos los aspectos del inventario y la configuración del equipo. La información puede guardarse en formato HTML, o incluso exportarse a un documento PDF. En nuestro ordenador de pruebas la operación tardó menos de un minuto, y en adición a los formatos mencionados puedes elegir entre valores separados por coma (.csv), archivo de texto plano o formato XML. También existe la opción de enviar la información por correo electrónico.

Ya sea que su interés se centra en el cumplimiento de software, inventario de hardware, soporte técnico, seguridad o simplemente pura curiosidad, WinAudit tiene todo. El Programa cuenta con características avanzadas como la detección de etiqueta de servicio, diagnóstico de fallos del disco duro, puerto de red para procesar la cartografía, la velocidad de conexión de red, estadísticas de disponibilidad del sistema, así como de actualización de Windows  y firewall configuración.

Requerimientos del sistema

WinAudit requiere un PC con un procesador Pentium y Windows 95 o superior.

Para enviar el informe de auditoría por e-mail su equipo necesita un programa de e-mail, junto con la denominada Interfaz de programación de aplicaciones de mensajería (MAPI). Este es un componente de software estándar y casi todas las computadoras ya lo tienen instalado.

Para exportar el informe de auditoría de base de datos, Open Database Connectivity (ODBC) y el controlador ODBC para la base de datos debe estar instalado en el ordenador.

Para guardar el informe de auditoría en formato HTML compilado (CHM), el equipo debe tener instalado HTML Help Workshop. Esta es una utilidad de Microsoft ® y está disponible para descargar desde su página web.

Objetivo General

Inventariar los programas instalados sin licencia o sin autorización en un sistema de información con WinAudit

Objetivo Específico

• Descargar el programa de auditoria WinAudit a través de la página https://winaudit.codeplex.com/.
• Escoger el lugar donde se hará el inventario de programas instalados.
• Presentar un informe con los datos recopilados y las correcciones a aplicar.

Alcance

El uso de WinAudit será en un red LAN para una pequeña empresa llamada COOMERSANV que tiene en total unos 41 equipos registrados y actualmente funcionando.

La empresa COOMERSANV está ubicada en el sector de San Victorinos, se trata de una Cooperativa especializada en la distribución mayorista a nivel nacional de productos para los negocios de las siguientes categorías como papelería, cacharrería, pañaleras, droguerías, ferreterías, piñaterías y proveedores del mercado institucional.

Limitaciones

Las pruebas realizadas en la empresa son para fines educativos, se presentará el informe al jefe de sistemas sobre los datos recopilados por el programa Winaudit para que tome medidas al respecto, estableciendo directrices o normas sobre el buen uso del área de trabajo.

Justificación

Con el programa WinAudit queremos demostrar lo útil que resulta de tener un control constante sobre los programas instalados en cada equipo de trabajo y no solo para ayudar en las auditorías que se realicen en las organizaciones, porque la idea es evitar las amenazas que siempre están atacando a los sistemas con un buen control de riesgos y lo podemos hacer a partir desde lo más básico gracias a WinAudit.

Descripción del programa

Instalación:

El software no necesita instalación

Navegación

Menú para recolectar la información

Opciones principales de WINAUDIT

Plataforma Multilenguaje

Exportación de resultados a base de datos

Vista de áreas que muestra WINAUDIT

Categorías para Inventarios

Conclusión

De la herramienta WinAudit podemos concluir que su aplicación en las áreas de un sistema facilita por mucho la recopilación de datos que tanto nos cuesta al hacerlo de forma manual. Por ser un programa portable, gratuito y muy completo, no necesitaríamos usar varios programas a la vez para tener los mismo datos, y en auditorias resulta muy útil al momento de hacer informes sobre programas y características de los equipos en una empresa. De modo que conociendo las ventajas de usar WinAudit aconsejaría al lector descargar el programa y tenerlo siempre a la mano como en una USB porque como ingenieros de sistemas vamos a necesitar siempre tener un inventario de todos los equipos que tenemos bajo nuestra responsabilidad.

Cobit, Cubo Cobit

1.       Cobit

1.1. Definición:

El proyecto COBIT se emprendió por primera vez en el año 1995, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. La primera edición del COBIT, fue publicada en 1996 y fue vendida en 98 países de todo el mundo. La segunda edición (tema de estudio en este informe) publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición.

Una temprana adición significativa visualizada para la familia de productos COBIT, es el desarrollo de las Guías de Gerencia que incluyen Factores Críticos de Éxito, Indicadores Clave de Desempeño y Medidas Comparativas. Los Factores Críticos de Éxito, identificarán los aspectos o acciones más importantes para la administración y poder tomar, así, dichas acciones o considerar los aspectos para lograr control sobre sus procesos de TI. Los Indicadores Clave de Desempeño proporcionarán medidas de éxito que permitirán a la gerencia conocer si un proceso de TI está alcanzando los requerimientos de negocio. La Medidas Comparativas definirán niveles de madurez que pueden ser utilizadas por la gerencia para: determinar el nivel actual de madurez de la empresa; determinar el nivel de madurez que se desea lograr, como una función de sus riesgos y objetivos; y proporcionar una base de comparación de sus prácticas de control de TI contra empresas similares o normas de la industria. Esta adicción, proporcionará herramientas a la gerencia para evaluar el ambiente de TI de su organización con respecto a los 34 Objetivos de Control de alto nivel de COBIT.

En definitiva, la organización ISACF (creadora, como ya se ha comentado, de la norma) espera que el COBIT sea adoptado por las comunidades de auditoría y negocio como un estándar generalmente aceptado para el control de las Tecnologías de la Información.

1.2.  Que es Isaca:

1.2.1 Reseña Histórica.

Desde que fue fundada en el año 1977 por el Lic. Julio Gólcher Castro con un grupo de profesionales especialistas en informática y contaduría pública, la Asociación Costarricense de Auditores en Informática, ha promovido la difusión de conocimientos técnicos.

La Asociación Costarricense de Auditores en Informática fue reconocida en junio de 1978 como capítulo # 31 de la ISACA, siendo Costa Rica en aquellos momentos, el segundo país latinoamericano donde funcionaba un capítulo de dicha asociación, dándole un reconocimiento internacional a nuestra Asociación y permitiéndole a nuestros asociados recibir, en forma permanente y actualizada, información sobre los últimos conocimientos teóricos y prácticos en Auditoría, Control y Seguridad de la Tecnología de Información.

Hoy en día ISACA Costa Rica concentra sus esfuerzos en apoyar tanto a sus miembros, como a la comunidad profesional relacionada con las tecnologías de información, a través de la promoción de la capacitación y el desarrollo de sus habilidades mediante de equipos de trabajo e innovación, en el campo de la Auditoria, Control, Riesgo, Calidad, Seguridad, Gestión y Gobernabilidad de las tecnologías de la información, así como velar por el ejercicio ético y digno del Profesional que se desempeña en estas especialidades.

1.2.2 Principios

Objetivo del Capítulo.

Brindar a nuestros asociados y a la comunidad internacional, el acceso a herramientas y técnicas actualizadas en auditoria, control y seguridad de Tecnología de Información.

Nuestra Misión.

Dar apoyo a los objetivos de las empresas por medio del desarrollo, provisión y promoción de la investigación, normativas, competencias y prácticas para el gobierno efectivo, control y aseguramiento de la información, sistemas y tecnología.

Nuestra Visión

Ser reconocida como líder global en Gobierno de Tecnología de Información, Control y Aseguramiento.

Lo que Significa Ser un Miembro de ISACA.

Además de los beneficios tangibles, descuentos y ahorros que usted recibe, la membresía de ISACA significa que usted:

·         Está dedicado a las mejores prácticas y los resultados exitosos.

·         Está comprometido con el crecimiento y el avance profesional.

·         Está ayudando al avance de su profesión.

·         Es un buscador de conocimientos y un facilitador.

·         Toma seriamente la educación continua.

·         Está conectado con una organización en alta consideración.

·         Es parte de una red global de colegas en la materia.

·         No importa el nivel de su carrera, la membresía de ISACA revela sus altos estándares, habla claramente de sus valores profesionales y lo asocia a usted con un grupo distinguido de pares.

1.3 El cubo de Cobit:

Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio.

Este es el principio básico del marco de trabajo COBIT, como se ilustra en el CUBO COBIT.

Dominio: Planear Y Organizar (Po)

PO1 Definir el plan estratégico de TI.

PO2 Definir la arquitectura de la información

PO3 Determinar la dirección tecnológica.

PO4 Definir procesos, organización y relaciones de TI.

PO5 Administrar la inversión en TI.

PO6 Comunicar las aspiraciones y la dirección de la gerencia.

PO7 Administrar recursos humanos de TI.

Dominio: Adquirir E Implementar (Ai)

AI1 Identificar soluciones automatizadas.

AI2 Adquirir y mantener el software aplicativo.

AI3 Adquirir y mantener la infraestructura tecnológica

AI4 Facilitar la operación y el uso.

AI5 Adquirir recursos de TI.

AI6 Administrar cambios.

AI7 Instalar y acreditar soluciones y cambios.

Dominio: Entregar Y Dar Soporte (Ds)

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Garantizar la continuidad del servicio.

DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y entrenar a los usuarios.

DS8 Administrar la mesa de servicio y los incidentes.

DS9 Administrar la configuración.

DS10 Administrar los problemas.

DS11 Administrar los datos.

DS12 Administrar el ambiente físico.

DS13 Administrar las operaciones.

Dominio: Monitorear Y Evaluar (Me)

ME1 Monitorear y evaluar el desempeño de TI.

ME2 Monitorear y evaluar el control interno

ME3 Garantizar cumplimiento regulatorio.

ME4 Proporcionar gobierno de TI.

Ejemplo:

Cuestionario

N°	CUESTIONARIO
AMENAZAS
1	¿Se tiene un respaldo de toda la información?
2	¿Tiene un control en la instalación de programas legales?
3	¿Se tiene una contingencia eléctrica?
4	¿Con que frecuencia se actualizan las políticas del firewall?
5	¿Con que frecuencia se actualiza las políticas de control de autenticación al sistema?
RIESGOS
6	En caso de un terremoto ¿Se tiene un respaldo en otra sede o sucursal?
7	¿Se tiene un control en el manejo de la informacion externo?
8	¿Tiene establecido una planeación formalizada para la seguridad informática?
9	En caso de falla en electrica ¿La apertura de las puertas funciona?
10	En caso de incendio ¿Se tiene equipos contra incendio?
CONTROL
11	¿Quién interviene en la planeación de los proyectos?
12	¿Cómo se calcula el presupuesto del proyecto?
13	¿Quién asigna las prioridades?
14	¿Cómo se controla el avance del proyecto?
15	¿Cómo se asignan los recursos?
18	¿Quién autoriza los proyectos?

Informe Auditoria

Informe de Auditoria:

1. Como se realiza un Informe de Auditoria

R.

Tomado de la página:

http://isocalidad2000.com/2013/08/30/que-deberia-aparecer-en-el-informe-de-auditoria-interna-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-xii/#

El contenido mínimo que debería incluirse en el informe de auditoría aparece en la normaISO 19011, y debería ser:

1.       Objetivo de la auditoría

2.       Alcance de la auditoría (incluyendo procesos, departamentos, delegaciones, etc)

3.       Criterios de auditoría: Normas y Sistema de gestión ante los que comparamos los hallazgos de auditoría.

4.       Equipo auditor, con nombres, apellidos y figura que ocupa en el equipo.

5.       Fechas y lugares en las que se realizó la auditoría

6.       Hallazgos y evidencias de la auditoría: Es muy recomendable que la exposición de los hallazgos y evidencias se hagan siguiendo el orden del Sistema de Gestión y / o de las normas de aplicación, de forma que permita una fácil identificación de los requisitos cumplidos / incumplidos.

7.       Conclusiones sobre el Sistema auditado

8.       Declaración del grado de cumplimiento del sistema auditado sobre los criterios de auditoría

También se puede incluir en el informe:

§  un listado de distribución del informe de auditoría

§  la adecuación del plan de auditoría a la realización de la misma

§  una declaración de confidencialidad de los auditores

§  las acciones sin resolver entre auditores y auditados

§  los planes de mejora ya establecidos

§  los puntos fuertes del Sistema

§  y los problemas encontrados en el desarrollo de la auditoría (para tener en cuenta en la próxima planificación de auditorías):

§  partes del Sistema de Gestión o de los procesos / departamentos / delegaciones que no se han podido auditar

§  problemas con desplazamientos (aviones, trenes, etc)

§  problemas de manutención de auditores y auditados (alojamiento, comidas, etc)

Con este contenido en el informe de auditoría interna seguro que convertimos esta herramientadel sistema de gestión en un proveedor de más acciones de mejora.

Recibid un cordial saludo.

Viene de: Reunión Final en la Auditoría Interna

Esta es la serie completa de artículos Tengo que hacer una Auditoría Interna y no se por donde empezar:

NUEVO: Supuesto nº1 de Auditoría Interna

1º Tengo que hacer una Auditoría Interna, y no se por donde empezar (Plan para descargar)

2º ¿Cómo se eligen a los auditores?

3º Reunión inicial

4º Técnicas de Entrevista

5º La expresión no verbal en las auditorias

6º La Imagen en la Auditoría

7º Las preguntas en una auditoría

8º La Actitud del Auditor – Retroalimentación

9º ¿Cómo obtener evidencias objetivas?

10º Evaluación de evidencias y No Conformidades

11º Reunión Final en la Auditoría Interna

12º Qué debería aparecer en el Informe de Auditoría Interna

Otros artículos relacionados:

§  Tratamiento de No Conformidades, ¿lo hago bien?

2. Papeles de Trabajo:

Tomado de la página:

http://www.auditool.org/blog/auditoria-externa/306-papeles-de-trabajo-en-auditoria

Concepto.- Son el conjunto de documentos, planillas o cédulas, en las cuales el auditor registra los datos y la información obtenida durante el proceso de Auditoría, los resultados y las pruebas realizadas. 

Los papeles de trabajo también pueden constituir la información almacenada en cintas, películas u otros medios (diskettes), y puede habilitarse  sobre listados, y fotocopias de documentos claves de la organización, sin incurrir a exceso de copiar todo el archivo.

Al preparar el auditor los papeles de trabajo debe evitar acumular exceso de documentación, (Calidad Vs Cantidad), esto se simplifica utilizando marcas de auditoria, es decir, certificando o validando información o actuaciones físicas que se tuvo a la vista, mediante marcas y referencias previamente definidas, tales como:

√  Verificado y cruzado contra registros contables.

∑  Sumado

%  Porcentaje observado.

₫   Totalizado

≈   Cifras verificadas.

∞  Soportes originales vistos.

... entre otras.   

Los papeles de trabajo tienen los siguientes propósitos: 

·         Soportar por escrito la planeación del trabajo de auditoría.

·         Instrumento o medio de supervisión y revisión del trabajo de auditoría.

·         Registra la evidencia como respaldo de la auditoria y de informe

·         Se constituye en soporte legal en la medida de requerir pruebas.

·         Memoria escrita de la auditoría.

 En los papeles de trabajo se registran: 

·         La planeación.

·         La naturaleza, oportunidad y el alcance de los procedimientos de auditoría desarrollados.

·         Los resultados

·         Las conclusiones extraídas y las evidencias obtenidas.

·         Incluyen sólo asuntos importantes que se requieran junto con la conclusión del auditor y los hechos que fueron conocidos por el auditor durante el proceso de auditoría.

La NIA ¨Documentación¨ señala que la extensión de los papeles de trabajo es un caso de juicio profesional por lo que es necesario y práctico documentar todos los asuntos importantes que el auditor considere.

La SAS  y NIA  indican que los papeles de trabajo incluyen, entre otros, las siguientes informaciones:

ü  Información referente a la estructura orgánica de la entidad examinada.

ü  Extractos o copias de documentos legales importantes, convenios, y estatutos.

ü  Información concerniente al entorno económico y legislativo dentro de los que opera la   entidad.

ü  Evidencia del proceso de planeamiento

ü  incluyendo programas de auditoría y cualquier cambio al respecto.

ü  Evidencia de la comprensión de los sistemas de contabilidad y de control interno.

ü  Evidencia de evaluaciones de los riesgos inherentes y de control.

ü  Evidencia sobre la evaluación del trabajo de auditores internos y las conclusiones alcanzadas.

ü  Evidencia de que los trabajos realizados por los auxiliares fue supervisado y revisado.

ü  Análisis de transacciones y balances.

ü  Análisis de tendencias e índice importantes.

ü  Un registro de la naturaleza, tiempo y grado de los procedimientos de auditoría desarrollados y de los resultados de dichos procedimientos.

ü  Una indicación sobre quien desarrolló los procedimientos de auditoría y cuando fueron desarrollados.

ü  Copias de comunicaciones con otros auditores, expertos y otras terceras partes.

ü  Copias de cartas o notas referentes a asuntos de auditoría comunicados, o discutidos con la entidad, incluyendo los términos del trabajo y las debilidades sustanciales en control interno.

ü  Cartas de presentación recibidas de la entidad.

ü  Conclusiones alcanzadas por el auditor,  concernientes a aspectos importantes de la auditoría, incluyendo cómo se resolvieron los asuntos excepcionales o inusuales, revelados por los procedimientos del auditor.

ü  Copias de los estados financieros, dictamen u otros informes del auditor, etcétera.

Propiedad y custodia de los papeles de trabajo.- Los papeles de trabajo son de propiedad de los órganos o firmas de auditoría. El auditor debe custodiar con cuidado y vigilancia la integridad de los papeles de trabajo, debiendo asegurar en todo momento, y bajo cualquier circunstancia, el carácter secreto de la información contenida en los mismos. 

Es difícil establecer el tiempo que un auditor debe conservar los papeles de trabajo, pero es recomendable conservarlos porque son importantes para auditorias futuras y para cumplir con los requerimientos legales en caso de litigios. 

Los archivos de papeles de trabajo para cada examen pueden dividirse en dos grupos básicos: Archivos corrientes y archivos permanentes. 

Los archivos corrientes contiene las informaciones relacionadas con la planificación y supervisión que no son de uso continuo en auditorias posteriores tales como:  

Ø  Revisiones corrientes de controles administrativos.

Ø  Estados financieros motivo de auditoria.

Ø  Análisis de información financiera

Ø  Notas a los estados financieros.

Ø  Correspondencia corriente. (Entrada y salida)  

Ø  Programas de auditoría y otros papeles que respaldan las observaciones y

Ø  Preparación del informe, inclusive el borrador del informe.

Los archivos permanentes deberán contener informaciones importantes para utilizar en auditorias futuras tales como:

Ø  El historial legislativo sobre la creación de la entidad y sus programas y actividades

Ø  La legislación de aplicabilidad continúa en la entidad, políticas y procedimientos de la entidad. Financiamiento, organización y personal

Ø  Políticas y procedimientos de presupuestos. Contabilidad e informes, estatutos, memorias anuales, etc.

Ø  Manuales, (Contable, presupuesto, tesoreria, contratación, almacén, procesos misionales, entre otros). 

Ø  En general la información que no varia con el tiempo.

A manera de ejemplo, a continuación planteo tres clases de planillas a construir como papeles de trabajo: 

 BG2  Planilla Sumaria- PASIVO  – La cual descompone las cifras de Balance y se le asigna referenciación a todas y cada una de las cuentas.

11  Subplanilla de disponible. La cual descompone la cuenta de disponible.

11105 Planilla analítica- la cual detalla  el rubro de Bancos expresamente.  

Lo anterior supone que los papeles de trabajo realizan una descomposición de los registros de manera deductiva, es decir de lo general a lo particular.

3. Sw para presentar informe de auditoría interna.