La Auditoría de Sistemas ò Auditoría a los Servicios TIC (Tecnologia de Informacion y Comunicaciones) “es una especialidad de la auditoría que revisa, verifica y evalúa de manera independiente y objetiva la Seguridad en la Infraestructura de TIC, la Gestión de Servicios de TIC y las Aplicaciones de Computador en funcionamiento que soportan las operaciones de negocio y de apoyo administrativo de las Empresas, con la finalidad de proveer razonable confianza a la Gerencia y a otras partes interesadas, respecto a que los controles internos establecidos proveen seguridad razonable, eficiencia, eficacia, se cumplen las normas legales y regulatorias, reducen los riesgos del negocio a niveles tolerables y aseguran la satisfacción de los objetivos y necesidades de la organización”
Como apoyo a la Gerencia de la Empresa o al Director de Auditoría Interna ó al Revisor Fiscal, la Auditoría de Sistemas es un servicio profesional que evalúa y verifica de manera imparcial y objetiva la efectividad del Control Interno en los procesos de la infraestructura de Tecnología de Informacion y en servicios de sistemas de información (aplicaciones de negocios y de soporte administrativo) de la Empresa, con la finalidad de emitir una opinión sobre la seguridad existente en el ambiente de TI y el funcionamiento seguro, eficiente, eficaz y confiable de los sistemas de información (aplicaciones que procesan los datos de las operaciones del negocio y de soporte administrativo).
Basándose en los informes con los resultados de Auditorías de Sistemas de Información profesionalmente desarrolladas por AUDISIS, la Gerencia de la Empresa, la Gerencia de Tecnología, la Auditoría Interna, el Revisor Fiscal y los responsables de las operaciones de negocio pueden confirmar su confianza en la efectividad de los controles y la seguridad en el Área de Tecnología de Información, las aplicaciones de computador y que los servicios de sistemas satisfacen los requerimientos legales, técnicos y funcionales de la organización.
La prestación de estos servicios profesionales comprende actividades para revisar, evaluar y verificar el funcionamiento confiable y seguro de los controles establecidos en los procesos de la infraestructura de Tecnología de Información de las Empresas (auditoría de Controles Generales de TI), los sistemas de información que están en operación, en desarrollo o en proceso de adquisición (auditoría de aplicaciones de computador y ERPs).
Este servicio se desarrolla de conformidad con las normas de auditoria de aceptación general, los estándares del Instituto de Auditores Internos (IIA) para el ejercicio profesional de la Auditoria Interna y particularmente, con las normas para el ejercicio profesional de la auditoría de sistemas promulgadas por ISACA.
Para realizar sus evaluaciones utiliza como base los marcos de referencia COBIT, las normas ISO 27001, ISO 27002, ISO 27032 y el modelo ITIL (Best practices para la Gestión de servicios de TI).
La metodología de Auditoría de Sistemas Basada en Riesgos Críticos que se utiliza para prestar este servicio, consta de siete (7) etapas: 1) Pre-auditoría (definición de objetivos y cronograma de acuerdo al alcance de la auditoria solicitado por el cliente); 2) Conocimiento del ambiente técnico y operativo de los procesos de TIC que serán auditados; 3) Identificar y analizar los riesgos inherentes críticos para los procesos de TI objeto de la auditoría; 4) evaluar efectividad de los controles establecidos para gestionar los riesgos críticos identificados para cada proceso de TI; 5) planeación, diseño y ejecución de pruebas de cumplimiento de controles de riesgos críticos que presentan protección apropiada; 6) planeación, diseño y ejecución de pruebas sustantivas para riesgos críticos que presentan protección deficiente; y 7) elaboración y presentación de informe con los resultados de la auditoría.
Este servicio consiste en evaluar y verificar la Seguridad en los procesos de TIC que constituyen la infraestructura de TIC de las Empresas. Por ejemplo: La seguridad en la Nube y en Data Centers On-premise, Gestión de Servicios de terceras partes, desarrollo y mantenimiento de sistemas, Plan Estratégico de TI (PETI), Plan de Continuidad del Negocio (BCP), Seguridad de la información y Ciberseguridad, Organización del Area o Gerencia de TIC; Controles de Acceso Lógico, Seguridad Física y del Entorno; adquisición de tecnología; Costos de los servicios de TIC; Mesa de Ayuda o Escritorio de Servicios; y otros procesos de TIC.
Para las aplicaciones de negocios en tecnología Web, Móviles y de Escritorio (desktop), este servicio consiste en evaluar la efectividad (eficacia + eficiencia) de los controles establecidos para gestionar los riesgos de negocio inherentes críticos que pudieran afectar negativamente los activos controlados o utilizados por las aplicaciones y verificar el cumplimiento de los controles dentro del software, la integridad referencial de las bases de datos, la exactitud de los datos contenidos en las bases de datos, la seguridad en los servicios de comunicación de datos, la disponibilidad del plan de continuidad del negocio (que incluyan procedimientos de respaldo y recuperación) y la confiabilidad de los procedimientos de operación en las áreas originadoras de los datos que se procesan con el software y en las áreas usuarias de la información que generan las aplicaciones.
El servicio incluye revisar la segregación electrónica de funciones para los diferentes perfiles de usuarios y los controles de seguridad de la información de los reportes y archivos generados por las aplicaciones.
Los principales beneficios de contratar o subcontratar por anualidades los servicios de Auditoria de Sistemas con AUDISIS, radican en liberar a la empresa contratante de un costo fijo de valor significativo cuando se realiza con personal propio, reemplazándolo por el costo de operar con una empresa especializada, en la cual los costos de contratación, capacitación, software de auditoria y entrenamiento son asumidos por AUDISIS.
El servicio incluye la elaboración del plan anual de auditoria de TIC basado en riesgos, su ejecución y la presentación a la Gerencia y la Comité de Auditoría, los informes con los resultados de las auditorías realizadas.
Este servicio consiste en verificar el cumplimiento de los controles internos establecidos para satisfacer los requisitos de la Circulares Básicas jurídica de la Superintendencia Financiera de Colombia y la Superintendencia de Entidades Solidarias y de otras superintendencias y organismos de supervisión y control del Estado. Por ejemplo, en los siguientes capítulos:
El servicio incluye las fases de planeación, ejecución, elaboración de informes con los resultados de la auditoría y su comunicación a la Gerencia y al Comité de Auditoría.
Este servicio consiste en verificar el cumplimiento de los procedimientos y controles internos establecidos por las Empresas para satisfacer los requisitos de las leyes colombianas 1266 de 2008, 1581 de 2012 y 2157 de 2021 y normas reglamentarias emitidas por la Superintendencia de Industria y Comercio (SIC) y otras entidades de control y vigilancia del Estado.
El servicio incluye las fases de planeación, ejecución, elaboración de informes con los resultados de la auditoría y su comunicación a la Gerencia y al Comité de Auditoría.
Servicio mediante el cual se realiza la explotación de vulnerabilidades para lograr penetrar las defensas de un sistema o servicio, con el fin de encontrar y capturar información restringida, confidencial o de gran valor comercial. Se simulan las actividades de un atacante malicioso para medir las capacidades de respuesta, los controles existentes y las vulnerabilidades presentes en los diferentes dispositivos de red. Las pruebas se realizan bajo la metodología PTES (Penetration Testing Execution Standard). Se entregan informes detallados con los hallazgos, la información obtenida, el riesgo actual en la empresa y las vulnerabilidades.
Por medio de las pruebas de Ethical Hacking, la auditoria busca identificar los riesgos asociados a los servicios de la organización desde una perspectiva interna o externa al negocio bajo escenarios definidos (Usuario Interno, contratista, etc.) y con un conocimiento mínimo de los servicios.
Servicio mediante el cual se identifican vulnerabilidades en cualquier tipo de dispositivos de red mediante el uso de herramientas especializadas. Se puede realizar de forma autenticada para poder determinar con mayor certeza la existencia de vulnerabilidades. Los resultados obtenidos son clasificados y analizados para determinar la exposición de riesgo actual tanto por vulnerabilidad como por dispositivo. La información entregada incluye las posibles opciones de remediación para las vulnerabilidades encontradas.
El servicio incluye las fases de planeación, ejecución, elaboración de informes con los resultados de la auditoría y su comunicación a la Gerencia y al Comité de Auditoría.
Este servicio consiste en generar programas de computador (IDEASCRIPTS) con el software IDEA, a la medida de las necesidades de la auditoría, para automatizar la ejecución repetitiva de análisis de datos y pruebas de auditoria asistidas con el computador (CAATs) a la información de las operaciones de la Empresa (de negocios y/o administrativa) que está contenida en bases de datos robustas, en hojas electrónicas, PDF, reportes de computador y archivos planos.
AUDISIS también ofrece el servicio para ejecutar los scrìpts, analizar los resultados de los análisis y pruebas realizadas y generar los informes con los resultados de la auditoría. Para ejecutar este servicio, se pacta con el cliente una bolsa de horas por anualidades, que se utiliza cuando el cliente lo solicite hasta agotarse.
Los IDEAScript son una herramienta de desarrollo para los usuarios de IDEA, que extiende la potencia y funcionalidad de IDEA. Es un lenguaje de programación orientado a objetos compatible con Microsoft Visual Basic para Aplicaciones™ y LotusScript™.
Los IDEAScript agregan funciones adicionales, rutinas, diálogos y procesos al software IDEA. Los objetivos más comunes del uso de IDEA Script son:
Este servicio de Auditoria tiene como propósito apoyar a las autoridades electorales del Estado (Registraduría Nacional y Concejo Electoral), con la realización de un examen crítico y sistemático de todos los componentes del proceso electoral antes de los comicios, durante las elecciones y post elecciones en los escrutinios de las votaciones, con el propósito de evaluar la efectividad y eficiencia de los controles previstos y utilizados y los procedimientos de gestión de riesgos del proceso, para asegurar a la opinión pública y a otros interesados, la integridad, confiabilidad y exactitud de los resultados de las votaciones y la transparencia del proceso.
Se realizan auditorías a nivel de todo el país para elecciones de presidente y Vicepresidente de la república, senado, cámara de representantes. A nivel de los territorios departamentales y municipales, se realizan auditorías a elecciones de Gobernadores, Diputados a las Asambleas, Alcaldes, Concejos Municipales y Juntas administradoras locales.
La realización de la auditoría incluye las siguientes fases:
Este servicio de Auditoria tiene como propósito apoyar a las asambleas de accionistas de las empresas, asociados a gremios de profesionales y a universidades públicas y privadas, con la realización de un examen crítico y sistemático de todos los componentes del proceso electoral antes de los comicios, durante las elecciones y post elecciones en los escrutinios de las votaciones, con el propósito de evaluar la efectividad y eficiencia de los controles previstos y utilizados y los procedimientos de gestión de riesgos del proceso, para asegurar a la opinión pública y a otros interesados, la integridad, confiabilidad y exactitud de los resultados de las votaciones y la transparencia del proceso.
Estas auditorías se realizan a votaciones para elecciones de Juntas Directivas y Revisor Fiscal de las Empresas y Gremios de Profesionales, así como para elecciones de rectores de universidades y miembros de los diferentes concejos y estamentos universitarios.
La realización de la auditoría incluye las siguientes fases:
Este servicio se presta como apoyo a las empresas, particularmente a los Auditores Internos y Revisores Fiscales, para implantar la Auditoria de Sistemas como una función permanente dentro de la empresa.
Como producto se entrega el manual de organización, funciones y estándares de trabajo de la auditoria de sistemas.
Este servicio se presta como apoyo a las empresas para seleccionar candidatos a ocupar cargos en Auditoría de Sistemas, también conocida con los nombres de auditoria Informática y Auditoría de Tecnología de Información (TI). El servicio consiste en asegurar que los candidatos tengan las competencias y habilidades para el ejercicio del cargo.
Opcionalmente el servicio incluye la realización del perfil psicológico del candidato. Como producto del servicio, se presentan al menos dos candidatos por cargo para que la empresa seleccione elija uno.
Este servicio consiste en prestar nuestros servicios profesionales especializados en seguridad y auditoria de sistemas para actuar como peritos, agentes o actores que interactúan y sirven de apoyo técnico para la solución de los conflictos entre contratistas y contratantes y en los tribunales haciendo posible la asistencia judicial especializada en TIC.
AUDISIS ofrece cursos y seminarios presenciales, virtuales por diferentes plataformas o mixta sobre Auditoría de TIC, que están alineados con las buenas y mejores prácticas de Auditoría TIC, Auditoría Interna y Auditoria a Estados Financieros.
Por ejemplo: Auditoria de Controles Generales de TIC; Auditoria de ERPs y aplicaciones de Computador de negocios y soporte administrativo; evaluación de la efectividad del control interno en procesos de TIC y de aplicaciones de computador en producción; Auditoria al Desarrollo de Sistemas; Redacción de Informes Eficaces de Auditoria de TIC; Papeles de trabajo de Auditoria de Sistemas; Planeación Anual de la Auditoria de Sistemas basada en Riesgos; Planeación Anual de la Auditoria Interna Basada en Riesgos.