No es que en Colombia se hable en forma exclusiva de CoBit... Lo que sucede es que son infinitamente diferentes los "Estándares de Auditoría", "Las Mejores Prácticas de Auditoría" y los "Modelos de Control".

Para el caso que ocupa este debate, es oportuno aclarar que CoBit, entra en la última clasificación, es decir Modelo de Control; de la misma forma como el MECI (Modelo Estándar de Control Interno).

MECI : La situación de MECI es particular, se trata de un modelo de control diseñado para las entidades del estado, hoy en día próxima a aplicarse en países que tienen cooperación con Estados Unidos, para citar solo uno de ellos, está el caso de Paraguay que va a emplear el MECIP, que no es otra cosa que el MECI pero para ese país.

Ahora bien, ese modelo no es de aplicación exclusiva para los sistemas de Información, es para las organizaciones y tiene unos subsistemas de Gestión, de Control y de Evaluación, se puede afirmar que es bastante vago, porque únicamente menciona los elementos que componen cada subsistema y la forma de aplicarlos.

ISO: Esa es una organización que elabora unos estándares o aproximaciones de cómo deben ser las cosas y no pasa de ser eso, una aproximación, que desde luego no se ajusta a las realidades culturales, políticas y económicas de cada nación y menos de cada organización, allí entre muchas otras cosas se han desarrollado Sistemas de Gestión (Calidad (9001), Seguridad de la Información (27001), etc.).

Esos sistemas de Gestión dentro de sus componentes o Numerales, casi siempre el Numeral 6, tienen el elemento de Auditorías Internas, que a su vez están normadas, reguladas u orientadas bajo la Norma ISO 19011 (Que son un pasquín de lo que realmente es un proceso de auditoría, máxime si se trata de Sistemas de Información y Comunicación ).

CoBit: se Trata de Los Objetivos de Control para Tecnologías de Información y Relacionados.

Este producto ha sido desarrollado por espacio superior a 40 años por más de 86,000 miembros expertos, en más de 160 países, en temas relacionados con las Tecnologías, los controles y la evaluación.

Entre otras utilidades, está diseñado para ser empleado por los Gerentes de las Organizaciones, los Gerentes de Sistemas, los Gerentes de Seguridad de la Información y Los Gerentes de Auditoria, en el diseño inversión, preparación y control de su Planeación Estratégica Corporativa; Planeación Estratégica de Sistemas de Información y Comunicación, Planeación de la Seguridad de la Información, Contingencia y Recuperación ante desastres, Planeación de Auditoria y por los equipos de Auditoria para el ejercicio propio de la evaluación y el Control.

Cada uno de esos actores emplea ese y muchos de los productos con el perfil que le compete, pero debe aportar su conocimiento , porque no son listas de chequeo, no son guías, no son manuales, ni tutoriales.

Ahora bien se han desarrollado varios estándares en Auditoria de Sistemas, bajo los parámetros de CoBit, entre otros:

S1 El Estatuto de Auditoría

S2 Independencia

S3 Ética y Estándares profesionales

S4 Competencia profesional

S5 Planeación

S6 Ejecución de la auditoría

S7 Reporte

S8 Actividades de seguimiento

S9 Irregularidades y acciones ilegales

S10 Gobernabilidad de TI

S11 Uso de la evaluación de riesgos en la planeación de auditoría ( Que es donde aplica MAGERIT)

Con ese preámbulo, yo le invitaría profesor a profundizar en la definición de:

Modelos de Control

Estándares de Auditoria

Normas de Auditoria

Directrices de Auditoría

Procedimientos de Auditoria

Pruebas de Auditoría.

Administración de Riegos

Todo ello enfocado hacia los Sistemas de Información y Comunicación, para enriquecer este dialogo.

Buen día a todos.

Gracias por tu participación Harley, me parece muy acertada ya que tu estas laborando en el área de seguridad informática y auditoria a sistemas de información, y miro que tienes gran experiencia en la aplicación de los estándares de calidad, seguridad y auditoria. Tendré en cuenta tus observaciones.

Para continuar con el debate propongo a los miembros del grupo iniciar con el proceso de auditoria propiamente dicho pues algunos auditores de sistemas han adoptado una metodología propia y otros la toman de modelos aplicados en entidades del estado o particulares y son adaptaciones bajo estándares.

En el caso específico una de las metodologías es la siguiente:

En primer lugar se elabora el memorando de planeación donde se muestra los antecedentes de auditorias anteriores, los objetivos de la auditoria, los alcances de la misma, la metodología o pasos mediante los cuales se logra los objetivos y por último se elabora el cronograma de trabajo y se definen los términos del contrato.

Fase de conocimiento: donde el auditor es responsable de conocer perfectamente el área o el sistema de información o los elementos informáticos a auditar, en ella se realizan las visitas cada una de ellas con intencionalidad, se preparan, diseñan y aplican entrevistas a los auditados, se hacen los hallazgos preliminares y se preparan los checklist de verificación, se toman algunas evidencias (fotos, videos, grabaciones), para posteriormente recogida la información se elabore el programa de auditoria.

En segundo lugar, con la información obtenida se puede tener un poco más claro cada proceso auditable y se elabora el programa de auditoria, donde se elige del Estándar COBiT los dominios, procesos y objetivos de control que se pretende auditar, estos se anexan a un documento donde estará el dominio, dentro de él se selecciona los procesos y dentro de cada proceso los objetivos de control y estos se adaptan y pasan al documento.

Fase de análisis y evaluación de riesgos: en esta fase se elige uno de los estándares para este fin, por ejemplo MAGERIT, COSO, SAR, o el estándar adecuado para el propósito. Aquí se aplican los checklist que han sido preparados anteriormente, y se hace la evaluación de los riesgos preliminares, más los que se hayan detectado en las entrevistas y la aplicación de los checklist. La forma de evaluación puede ser por probabilidad de ocurrencia llamado cualitativo o por impacto o cuantitativo. Mediante este método lo que se trata es de saber cuales de los procesos del CObiT son los que tienen mayor probabilidad de ocurrencia y/o mayor peso y estos serán los que sean auditados primero. Con la información del análisis y evaluación de riesgos se elabora un instrumento gráfico denominado la matriz de riesgos.

En tercer lugar se prepara, diseña y aplica los cuestionarios de auditoria. Estos cuestionarios son los formatos diseñados por el auditor para aplicarlos al personal elegido en la auditoria que pueda tener la información requerida. Aquí están los papeles de trabajo de auditoria, formatos de auditoria con indicadores, pruebas de análisis y ejecución, cuestionarios cerrados, entre otros que mostrarán el proceso documental de la auditoria, llevado en dos archivos o legajos el permanente y el corriente.

Fase de ejecución: En ella se eligen de todas las posibles pruebas, solo las que puedan ejecutarse en un tiempo determinado por el auditor, ya que algunas de ellas pueden durar semanas, y se trata de descubrir las pruebas que son la evidencia del riesgo o falla. En el caso de las pruebas de análisis lo que se trata es de averiguar como esta la organización con respecto a los estándares o comparativamente con otras organizaciones que tengan mejores prácticas. En el caso de las de ejecución lo que se trata es de hacerlo en caliente, en lo real, en caso de sistemas de información las pruebas se pueden hacer con la ayuda de herramientas de software, específicamente en seguridad de los sistemas operativos o redes.

Una vez realizada la auditoria, y con evidencias se elabora un informe borrador que deberá mostrarse a los auditados antes de pasar al informe final. En el informe se mostrarán los hallazgos y la evidencia que los soporta, y posteriormente se elabora el informe final de auditoria y un informe ejecutivo. Estos informes deben ir con los debidos soportes para el caso todos los documentos anexos en el legajo permanente y corriente.

Entonces, para seguir en el debate sugiero que los participantes puedan describir algunas metodologías usadas para realizar procesos de auditorias, agradecería mucho la participación de Harley y los otros compañeros del grupo.

Francisco fs

Entonces el estandar internacional es COBIT? , y el mas comun'

Hola, buenas tardes... Por favor me podrian brindar informacion sobre la norma de auditoria de Sistemas de informacion 01 : estatuto de auditoria.

Graciasss...

Muy buenas, tengo interés en los temas que se están dando en este debate y me gustaría formarme, aunque tengo algunas preguntas sobre que camino cursar para recibir formación profesional. Veo que por este Grupo hay gente experimentada ¿Me podrían asesorar sobre masters, doctorados, oposiciones, postgrados, carreras universitarias u otras formaciones oficiales, cursos superiores o subvencionados? ¿Alguna experiencia personal sobre estas opciones de estudio? ¿Algún centro de formación en partícular?

Sobre todo que me podéis decir de Masters oficiales de Auditoría informática

PD: España (zona de Barcelona o Madrid y alrededores para presencial) o formaciones a distancia u online :)