Empresas de TI que auditan

Auditores Grant Thornton   

91% de las auditorías de las empresas más grandes del mundo y, según un estudio elaborado por Grant Thornton, en algunos países del G-8 el porcentaje alcanza el 99%.

Grant Thornton, que en España es Audiberia Grant Thornton, es junto a BDO una de las llamadas middle-tier, es decir, las grandes de las medianas firmas de auditoría que se sitúan justo por detrás de las cuatro grandes.

De acuerdo con el estudio, de las 3.305 empresas mundiales con una capitalización superior a 507,5 millones de euros, 3.015 entidades fueron auditadas por las big four. Una situación que, en opinión de la firma, no es buena para el mercado de capitales.

'Las entidades de interés público más importantes del mundo, al no seleccionar a otras firmas de auditoría distintas a las big four para que auditen sus cuentas, han avivado y alimentado el riesgo inherente del mercado de capitales. Este riesgo se encuentra actualmente a unos niveles tan elevados, que si las big four se redujeran a big three sería un auténtico problema para el buen funcionamiento de estos mercados', afirma el informe de esta auditora.

(CORELLA, 2007)

Auditores en Santander

  

La firma de Auditoría de AOB Auditores Santander, y provincia, que nos permiten trabajar en la ciudad y sus alrededores, dando un servicio de auditoría de calidad.

Nuestra firma de auditoría AOB Auditores está inscrita en el Registro Oficial de Auditores de Cuentas de España (ROAC) con el n° S1058 y en el Instituto de Censores Jurados de Cuentas, así como en el Instituto de Contabilidad y Auditoría de Cuentas (ICAC),que es un Organismo Autónomo, adscrito al Ministerio de Economía.

La auditoría Santander ayudará a fianzar su fiabilidad ante sus Bancos, Proveedores y Clientes. De la misma manera, entre sus accionistas y sus trabajadores e incluso para posibles inversiones tanto de compra como de venta.

Nuestros auditores trabajan en todos los sectores empresariales pero en Auditores Santander tenemos más interés en preparar profesionales.

Desde la oficina de Santander nuestros auditores prestan los siguientes servicios:

• Auditoría de Cuentas Anuales y Cuentas Anuales Consolidadas.
• Revisiones limitadas y de hechos concretos y/o procedimientos acordados.
• Auditoria de reporting Packages según normas IAS, USGAAP...
• Informes complementarios y especiales a las Cuentas Anuales (Banco de España, CNMV, DGS, SAD...)
• Informes especiales de Auditoría según la legislación vigente en España.
• Auditoría de control interno.

Auditoria del Sector Público (entes municipales, autonómicos, estatales, así como los organismos, empresas o entidades de derecho público dependientes de los anteriores).

(Auditores, 2013)

KPGM Enterprise 

El objetivo del ICA es ayudar a la Alta Dirección de nuestro país a mejorar su efectividad, competitividad y prestigio, proveyéndoles conocimiento práctico, recursos y oportunidades de compartir experiencias, historias de éxito, etc.

Todo esto a través de sesiones donde los participantes pueden intercambiar experiencias para adoptar marcos estructurales de Gobierno Corporativo, diseño de procesos, estrategias, etc., que ayuden a incrementar la eficiencia y rentabilidad, además de estudios, encuestas e información exclusiva desarrollada por los profesionales de KPMG en México y en el mundo.

Potenciando la utilización de Data & Analytics, que permite a nuestros clientes contar con auditorias más eficientes y con mayor base de evidencias.

Para medir el pulso de su compañía, no sólo evaluamos su información financiera,

sino que nos enfocamos al entendimiento de:

• Los riesgos de negocio que puedan tener un efecto en los estados financieros
• Los procesos que utiliza su negocio para administrar sus riesgos y para reportar su efecto en los estados financieros
• Las transacciones que realiza su empresa, así como la manera en que las procesa para ser incluidas en los estados financiero.

Trabajando siempre de manera estrecha con su organización, le brindamos consistencia, calidad, tecnología innovadora y una comunicación clara a lo largo del proceso, contemplando seis pasos básicos:

1. Entendimiento de su negocio
2. Planeación de la auditoría
3. Evaluación del control interno y SOX
4. Pruebas sustantivas
5. Evaluación de resultados y reportes
6. KPMG Client Care Balanced Scorecard

Ya sea que requiera de nuestros servicios para sus operaciones a nivel nacional, regional o global, puede contar con la garantía de un trabajo coordinado, a lo largo de estos seis pasos, siempre dispuesto a ayudarlo con sugerencias para mejorar sus procesos y entregar los mejores resultados a sus accionistas.

(KPGM, 20015)

Evaluación de la seguridad

2.2 Evaluación de la Seguridad

Para realizar una evaluación de la Seguridad, es importante conocer cómo desarrollar y ejecutar la implantación de un Sistema de Seguridad.

Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.

2.2.1 Identificar los modelos de Seguridad

• Definir elementos administrativos
• Definir Políticas de Seguridad: A nivel departamental, a nivel institucional
• Organizar y dividir las responsabilidades
• Contemplar la Seguridad Física contra catástrofes (incendios, terremotos, inundaciones, etc.)
• Definir prácticas de Seguridad para el personal: Plan de emergencia, Plan de evacuación, Uso de recursos de emergencia (extinguidores, etc.)
• Definir el tipo de Pólizas de Seguros
• Definir elementos técnicos de procedimientos: Técnicas de aseguramiento del sistema
• Codificar la información: Criptografía
• Contraseñas difíciles de averiguar (letras mayúsculas, minúsculas, números y símbolos ) que deben ser cambiadas periódicamente
• Vigilancia de Red: Tecnologías repelentes o protectoras (Cortafuegos (firewalls), sistema de detección de intrusos, etc.)

2.2.2 Identificar las aéreas y fases que pueda cubrir la auditoria de la seguridad

• Anti-spyware, antivirus, llaves para protección de software, etc.
• Mantener los sistemas de información (sistemas operativos y programas) con las actualizaciones que más impacten en la Seguridad
• Definir las necesidades de Sistemas de Seguridad para hardware y software
• Flujo de energía
• Cableados locales y externos
• Aplicación de los Sistemas de Seguridad, incluyendo datos y archivos
• Planificación de los papeles de los Auditores internos y externos
• Planificación de programas de contingencia o recuperación de desastre y sus respectivas pruebas (Simulación)
• Planificación de Pruebas al Plan de Contingencia con carácter periódico
• Política de Destrucción de basura, copias, fotocopias, discos duros, etc.
• Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditoría Informática más importantes.

2.2.3 Definir la auditoria de seguridad física lógica de los datos

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales.

La auditoría física no se debe limitar a comprobar la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad.

Existen tres tipos de seguridad:

• Seguridad lógica.
• Seguridad física.
• Seguridad de las comunicaciones.

EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:

Realizar un análisis de riesgos de los sistemas críticos.

• Establecer un periodo crítico de recuperación.
• Realizar un análisis de las aplicaciones críticas estableciendo periodos de proceso.
• Establecer prioridades de proceso por días del año de las aplicaciones y orden de los procesos.
• Establecer objetivos de recuperación que determine el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
• Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
• Asegurar la capacidad de las comunicaciones.
• Asegurar los servicios de bookup.

Técnicas:

• Observación de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
• Revisión analítica de: documentación, políticas, normas, procedimientos de seguridad física y contratos de seguros.
• Entrevistas con directivos y personal.
• Consultas a técnicos y peritos.

Fases de la Auditoria:

• Alcance de la Auditoría
• Adquisición de Información General
• Administración y Planificación
• Plan de Auditoría
• Resultado de las Pruebas
• Conclusiones y Comentarios
• Borrador de Informe
• Discusión con los Responsables de Área
• Informe Final

Planeacion de la auditoria informatica

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.

2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI

En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.

Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.

2.1.2 Identificar las fases de la auditoria Informática

El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar.

Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.

2.1.3 Definir los elementos de la planeación de la auditoria Informática

Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.

2.1.4 Definir el concepto de la lista de Verificación

La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período de tiempo determinado.

En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos que ya sucedieron.

A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis, frecuentemente indica cuál es el problema que muestra esa ocurrencia.

La lista de verificación permite observar, entre otros, los siguientes aspectos:

• Número de veces que sucede una cosa.
• Tiempo necesario para que alguna cosa suceda.
• Costo de una determinada operación, a lo largo de un cierto período de tiempo.
• Impacto de una actividad a lo largo de un período de tiempo.

Se usa para:

Registrar informaciones sobre el desempeño de un proceso.

¿Cómo usarla?

• Determine exactamente lo que debe ser observado.
• Defina el período durante el cual los datos serán recolectados.
• Construya un formulario simple y de fácil manejo para anotar los datos.
• Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
• Sume la frecuencia de cada ítem y regístrela en la columna Total.

Checklist:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.