“PRÁCTICA UNIDAD 3 AUDITORIA DE SEGURIDAD A UN SISTEMA CRÍTICO DE BASE DE DATOS”

...

• Título profesional y conocimientos en áreas afines a los procesos misionales y apoyo de las organizaciones.

• Reconocida experiencia en la metodología y normas aplicables en el proceso auditor, con especial entrenamiento en el manejo de procesos operativos, administrativos, legales, financieros contables y de gestión a través de perfiles interdisciplinarios.

• Visión global del negocio objeto de auditoría, con tacto para fijarse tareas en lo material, relevante e importante.

• Conocimiento en normas legales de la organización y sus procesos.

• Concebir la planeación como una cultura para lograr los resultados y poder administrar la auditoria con calidad.

• Capacidad de manejar excelentes condiciones de trabajo en equipo para encarar eficientemente relaciones interpersonales con el grupo de auditoría y la organización auditada.

• Poseer habilidades y capacidad técnica, para realizar su labor.

• Ser analítico, creativo, buen observador y sensato al momento de generar juicios.

• Independencia de criterios frente al organismo auditado, reconociendo e informando las inhabilidades e incompatibilidades que se presente.

• Capacitarse en forma continua, en temas inherentes a la auditoria y lo relacionado con las organizaciones, competencias y procesos.

• Tener la capacidad de comprender la realidad social que lo rodea, como el de anticiparse a los hechos y dar las soluciones planteadas en un momento determinado.

• Capacidad de análisis y visualización sobre las consecuencias de las actuaciones presentes, con el ánimo de tomar una decisión acertada sobre las diferentes situaciones y que le corresponda intervenir.

• Poseer valores frente a la dignidad humana, la solidaridad y el sentido de pertenencia, como también el de conciencia social que le desarrolla el conocimiento de la Auditoria y sus resultados.

• Capacidad de afrontar los retos que se le presente en el ejercicio de su función de auditor.

• Contar con la suficiente capacidad y destreza para comunicarse de manera oral y escrita como fundamento, rigor y clave de todas sus actuaciones.

c. ¿Conoces a detalle los procesos que implican la operación de un sistema como la nómina de tu organización?, En caso de no conocer estos procesos ¿De qué recursos te valdrías para obtener el conocimiento para auditar estos procesos y sistemas?

De manera específica se desconoce todos y cada uno de los actividades que conlleva determinados procesos, tomando como ejemplo un sistema de nómina, el cual representa todo lo relacionados con los pagos al personal que labora dentro de una empresa, en este caso el Instituto Tecnológico de Pachuca, cabe mencionar que dentro del departamento de recursos financieros no se lleva únicamente este proceso, sino una serie de actividades específicas en el ámbito económico-administrativo, que engloba tanto al personal que labora como a los estudiantes pertenecientes a la institución.

Como bien se menciona anteriormente, un sistema de nómina representa los pagos, este proceso precisa el apoyo de otros departamentos tales como el de recursos humanos, llevando una serie de registros y acuerdos en aspectos relacionados a las fechas laborales, sueldo, entre otros.

Aunque se desconozcan a fondo todos los procesos que implica un sistema como el de nómina, el uso de herramientas base de un auditor, tales como checklist, o bitácoras de campo, harían del proceso de auditoria algo relativamente sencillo al comparar la documentación pertinente de los departamentos relacionados con el proceso de nómina, en este caso recursos humanos, verificando que datos tales como nombre, sueldos, fechas entre otros, coincidan corroborando información y así comprobar que no hay ningún tipo de desvío de recursos de ningún tipo.

d. ¿Integrarías un auditor con perfil financiero o contable a tu equipo de auditoría?, en cualquier caso, justifica tu respuesta.

Una auditoria precisa la presencia de profesionales en distintas áreas acorde a los departamentos a revisar, el perfil de cada uno de los auditores tiende a ser diferente debido a que se requiere el conocimiento adecuado para la revisión de determinado departamento, es decir, un auditor experto en temas relacionados a medicina no tiene la experiencia ni el conocimiento adecuado para hacer la revisión a un departamento de informática, y a su vez, un experto en informática no podría hacer la revisión en departamentos únicamente pertenecientes a hospitales o similares, si bien un auditor está considerado como un “todólogo” siempre es mejor hacer un equipo con los auditores que mejor cumplan con el perfil adecuado para el trabajo de auditoria a realizar.

Una vez mencionado lo anterior, se llega a la conclusión que es importante integrar un auditor con el perfil contable o económico-administrativo, no solo por la experiencia en la gestión o administración con la que este tipo de personal cuenta, sino por el entorno al que estos serían asignados, en este caso el departamento de recursos financieros, revisando procesos por separado de esta área.

e. Identifica los dominios del COBIT que serán abordados por esta auditoría, ¿Cuáles son estos?, y ¿cuáles son los procesos y actividades a ser considerados según el marco de referencia COBIT? COBIT define las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4 dominios, en la auditoria que se llevará a cabo, el principal dominio que se abordará será el 3 “ENTREGAR Y DAR SOPORTE”, sin embargo, los tres dominios restantes también juegan un papel importante dentro del trabajo a realizar.

Los procesos se describen en la sección 4 con más detalle, sin embargo, aquí se mencionan brevemente cuales son:

- PO1 Definir un plan Estratégico de Tecnología de la Información.

- PO4 Definir la Organización y las Relaciones de las TI

- PO7 Administrar los Recursos Humanos

- PO8 Asegurar el Cumplimiento de los Requisitos Externos

- PO9 Evaluar los Riesgos

- AI2 Adquisición y Mantenimiento de