viernes, 2 de marzo de 2012

Normas y Procedimientos de Auditoria

1.- Menciona el origen de las normas y procedimientos de auditoria: Su origen es una de las comisiones normativas más antiguas y trascendentes de nuestro Instituto es la Comisión de Normas y Procedimientos de Auditoria (denominada así desde octubre de 1971), la cual fue establecida en el año de 1955, con el propósito fundamental de determinar los procedimientos de auditoria recomendables para el examen de los estados financieros que sean sometidos a la opinión del contador público

.2.- Menciona los objetivos de las normas y procedimientos de auditoria: Son cuatro objetivos principales:
* Determinar las normas de auditoria a que deberá sujetarse el contador público independiente que emita dictámenes para terceros, con el fin de confirmar la veracidad, pertinencia o relevancia y suficiencia de información de su competencia;
* Determinar procedimientos de auditoria para el examen de los estados financieros que sean sometidos a dictamen de contador público;
* Determinar procedimientos a seguir en cualquier trabajo de auditoria, en sentido amplio, que lleve acabo el contador público cuando actúa en forma independiente; y
* Hacer las recomendaciones de índole práctica que resulten necesarias como complemento de los pronunciamientos técnicos de carácter general emitidos por la propia Comisión, teniendo en cuenta las situaciones particulares que con mayor frecuencia se presentan a los auditores en la práctica de su profesión.

3.- ¿Que requisitos de calidad deben reunir los miembros de la auditoria?
* Entrenamiento técnico y capacidad profesional.
* Cuidado y diligencia profesionales.
* Independencia.

4.- ¿Que son las normas de auditoria?, Menciona su clasificacion:
* Normas personales.
* Normas de ejecucióon de trabajo.
* Normas de información.

5.- ¿Que son los pocedimientos de auditoria y para que sirven?
Respuesta-
Los procedimientos de auditoría, son el conjunto de técnicas de investigación aplicables a una partida o a un grupo de hechos y circunstancias relativas a los estados financieros sujetos a examen, mediante los cuales, el contador público obtiene las bases para fundamentar su opinión.

6.- ¿Que es el monitoreo? Y describir los 4 tipos brevemente.

Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el ámbito de esta técnica, a continuación se muestran los procesos de monitoreo:
*M1 Monitoreo del proceso.
*M2 Evaluar lo adecuado del control Interno.
*M3 Obtención de aseguramiento independiente.
*M4 Proveer auditoría independiente.

M1 Monitoreo del proceso Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos.Para ello la gerencia podrá definir indicadores claves de desempeño y factores críticos de éxito y compararlos con los niveles propuestos para evaluar el desempeño de los procesos de la organización.

M2 Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a través de actividades administrativas, de supervisión, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regular

M3 Obtención de aseguramiento independiente Incrementa los niveles de confianza entre la organización, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo.Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos, así como para trabajar con nuevos proveedores de servicios de tecnología de información, luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información, de los proveedores de estos servicios así como también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de dichos servicios.

M4 Proveer auditoría independiente. Incrementa los niveles de confianza de recomendaciones basadas en mejores prácticas de su implementación, lo que se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo.Para ello la gerencia deberá establecer los estatutos para la función de auditoría, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoría.
7.- ¿Que es el ISO y para que sirve?
ISO 9000 es un conjunto de normas sobre calidad y gestión continua de calidad, establecidas por la Organización Internacional de Normalización (ISO). Se pueden aplicar en cualquier tipo de organización o actividad orientada a la producción de bienes o servicios. Las normas recogen tanto el contenido mínimo como las guías y herramientas específicas de implantación, como los métodos de auditoría. El ISO 9000 especifica la manera en que una organización ,opera sus estándares de calidad, tiempos de entrega y niveles de servicio. Existen más de 20 elementos en los estándares de este ISO que se relacionan con la manera en que los sistemas operan.
Sirve para:
*Estandarizar las actividades del personal que trabaja dentro de la organización por medio de la documentación
*Incrementar la satisfacción del cliente
*Medir y monitorizar el desempeño de los procesos
*Disminuir re-procesos
*Incrementar la eficacia y/o eficiencia de la organización en el logro de sus objetivos
*Mejorar continuamente en los procesos, productos, eficacia, etc.
*Reducir las incidencias de producción o prestación de servicios
8.-¿Que es y para que sirve el ISO 27000?
ISO 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
9.- Elige uno de los siguientes estandares internacionales ISO 27001, ISO 27002, ISO 27006 e ISO 27799 y desarrolla:
A. Origen y actualizaciones
B. Caracteristicas de la norma
C. Campo de aplicacion
D. Referencia
A.ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
B. Caracteristicas de la norma
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.
C. Campo de aplicacion
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido.
En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).

No hay comentarios:

Publicar un comentario en la entrada