SERVICIOS

Entre nuestros servicios tenemos:


Auditoria Interna de TI


El propósito esencial de la auditoria en TI es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, procedimiento adecuado de la información y la emisión oportuna de sus resultados en la entidad, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la organización.

Por el otro lado de auditar la TI nos ayuda mucho el marco de control exclusivo para TI el cual es COBIT (Objetivos de control para TI).

Los principales objetivos de Auditoría Interna al integrar Auditoría Interna de TI son:

  • Evaluar los mecanismos que aseguran la integridad, confidencialidad y confiabilidad de la información, identificando riesgos y proponiendo controles.
  • Proporcionar apoyo a la Dirección del área de TI y de la organización para lograr los objetivos estratégicos.
  • Analizar la relación coste-beneficio de los sistemas de información y recomendar alternativas para su mejora.
  • Evaluar los mecanismos para minimizar riesgos en los sistemas de información.
  • Analizar la seguridad de los datos, el hardware, el software y las instalaciones, así como la concienciación en seguridad de los usuarios.
  • Analizar el grado de satisfacción de los usuarios de los sistemas de información.

Auditoria Externa de TI


Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.


Los mecanismos de control pueden ser en el área de Informática son:


  • Directivos
  • Preventivos
  • Detección
  • Correctivos
  • Recuperación
  • Contingencia
  • Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
 

Los objetivos de la auditoría Informática son:


  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.

Auditorias Forenses de TI


Una de las principales cosas que debe de realizar TI cuando quiere tener capacidades forenses ampliadas, es la activación o creación de bitácoras que muestren la actividad que se desarrolla en la plataforma tecnológica. Las bitácoras son un elemento básico, que permite reconstruir con suma precisión las actividades que ha desarrollado un usuario. Desde que ingresa a su equipo, los sitios que ha consultado, los intentos de conexión a sistemas o equipos, la información que ha borrado, que ha modificado o simplemente consultado. Lo principal, cuando se quiere tener capacidad forense, es el análisis de los puntos importantes de control que deben de ser registrados en bitácora. En muchas empresas se observan dos cosas:


Con sistemas desarrollados internamente no se generan bitácoras o si existen, registran información muy básica de la actividad realizada por los usuarios.

Con sistemas adquiridos, las bitácoras disponibles no se activan. Se distingue dos comportamientos. Uno es que ni siquiera se conoce la capacidad de registro de las bitácoras. El segundo es que se decide no usarlos para no saturar el sistema.


Pruebas CAAT de Auditoria


Las técnicas de auditoría asistidas por computadora son de suma importancia para el auditor, cuando realiza una auditoría. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos de herramientas y de técnicas, las que más se utilizan son los software de auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría incluyendo:

  • Probar controles en aplicaciones,
  • Seleccionar y monitorear transacciones,
  • Verificar datos,
  • Analizar programas de las aplicaciones,
  • Auditar centros de procesamiento de información,
  • Auditar el desarrollo de aplicaciones.

Las técnicas de datos de prueba se usan para conducir los procedimientos de auditoria cuando se registran los datos en el sistema de cómputo de una dependencia (por ejemplo, una muestra de transacciones), y los resultados obtenidos se comparan con los resultados determinados previamente. He aquí algunos ejemplos de estos usos:


Datos de prueba que se hayan usado para verificar los controles específicos en los programas de cómputo, como son la clave de acceso en línea y los controles para el acceso a datos.

Transacciones de prueba seleccionadas a partir de transacciones anteriores o creadas por el auditor para verificar las características específicas de procesamiento del sistema de cómputo de una dependencia. En general, estas transacciones se procesan fuera del procesamiento normal que utilice la dependencia.


AUDITORÍA SAP ERP


Uno de nuestros grandes diferenciadores, es que somos especialistas en Auditoría, Seguridad y Controles en SAP ERP y SAP GRC (Governance, Risk & Compliance), lo cual nos permite agregarle valor a sus auditorías de procesos de negocio.

Siempre se ha practicado de manera informal, pero a partir del siglo pasado comenzó a surgir como un distintivo profesional. A Guide to the Project Management Body of Knowledge (PMBOK® Guide) del PMI identifica sus elementos recurrentes. De acuerdo al PMI (Project Manager Institute) en todos los proyectos existen cinco fases, 10 áreas de conocimiento y 47 procesos. a administración de proyectos es muy útil para las empresas porque pueden definir objetivos, asignar recursos y personal para lograr objetivos en un tiempo predeterminado. En muchas ocasiones es preferible contratar personas o empresas externas a una institución para realizar un proyecto.

Auditoría y Controles SAP ERP:

Auditoría de procesos en SAP ERP (Módulos FI, CO, MM, SD, HCM, PP, PM, PS):

  • Ciclo de Ingresos (Ventas - Cobro).
  • Ciclo de Gastos (Compras - Pago).
  • Ciclo de Gestión de Stock (Existencias).
  • Ciclo de Nómina y Recursos Humanos.
  • Auditoría de procesos sobre verticales SAP ERP (Automotive, Retail-WM, Banking, Education-Campus Management).
  • Auditoría a los controles configurados del customizing SAP ERP (Módulos funcionales y seguridad Basis).
  • Auditoría de módulo Basis (BC) en el marco de la revisión de Controles Generales del Sistema Aplicativo.
  • Auditoría a los Controles Generales de TIC (Bases de Datos, Sistema Operativo e Infraestructura de Redes).
  • Auditoría a los desarrollos del tipo Z/Y (Desarrollos internos en SAP ERP o deltas asociados a tablas y programas ABAP).
  • Auditoría a la integridad de las interfaces de SAP ERP con otros sistemas aplicativos.
  • Auditorías especiales de detección de fraudes sobre las bases de datos en SAP ERP.
  • Auditorías especiales sobre datos maestros: Usuarios, Proveedores, Clientes, Materiales, Personal.
  • Auditoría a la segregación de funciones (SoD) de los roles y perfiles de usuario en SAP ERP y de las transacciones críticas.
  • Diagnóstico de controles configurados en SAP ERP (Funcionales y Basis).
  • Configuración y entrenamiento para el uso de la herramienta de auditoría SAP AIS (Audit Information System).
  • Diseño e implementación de modelos de auditoría continua sobre procesos SAP ERP.
  • Frente de controles en el marco de la implementación de SAP ERP.
  • Configuración de herramienta estándar de auditoría y/o monitoreo de la segregación funcional (SoD) en SAP ERP. Esta herramienta se configura a nivel de reglas SoD, lo cual permite mitigar riesgo de falsos positivos en los hallazgos

Certificación de Sistemas


La certificación de sistemas, de acuerdo a la Organización Internacional de Estandarización (ISO) es la declaración por una tercera parte que el sistema de gestión de una organización cumple con los requisitos especificados establecidos en una norma de referencia.


La certificación externa se realizara basada en riesgos, el riesgo es una medida de incertidumbre que enfrentan las Organizaciones; un riesgo se puede definir, en forma general, como la materialización de eventos o amenazas que pueden afectar los compromisos y objetivos de una Organización. Y en este caso de la implementación del sistema.


La evaluación comprende la estimación de riesgos en las diferentes capas del sistema, el objetivo primordial es la separación de la lógica de los diferentes niveles y controles para cada uno de ellos


Las capas de revisión son:

  • Capa de Aplicación
  • Capa de Datos
  • Capa de Negocio
  • Capa de Base de Datos
  • Capa de Infraestructura
  • Capa de Documentación
  • Capa de Seguridad
  • Capa de Normatividad
  • Capa de Auditoria

Revisiones de Calidad de Datos


Para poder obtener un buen control de calidad se requiere cubrir todo un procedimiento para poder lograr nuestro objetivo, que es mejorar la calidad para una mejor y mayor satisfacción del cliente y de uno mismo como empresa o industria.


Por medio de las etapas tenemos la oportunidad de detectar cualquier anomalía que se pudiera presentar durante cualquiera de nuestros procesos antes de alcanzar nuestro fin, por ello es importante llevar a cabo un seguimiento adecuado, correcto y de mejora continua.

Beneficios

Las empresas que le dan importancia a la calidad de sus datos, les permiten obtener beneficios claves para agregar valor al negocio y diferenciarse del resto de sus competidores, otorgando:

  • Minimizar los riesgos en sus proyectos, especialmente en los relacionados con Tecnologías de la Información.
  • Ahorro de tiempo y recursos, haciendo un mejor uso de la infraestructura tecnológica y sistemas para explotar su información.
  • Toma de decisiones de negocio oportunas, en base a información confiable, validada y limpia.
  • Adaptación a estándares o regulaciones internacionales sobre el manejo de información, permitiendo facilidad al momento de ejecutarlas.
  • Mejorar la confianza, buenas relaciones e imagen de la empresa antes sus clientes frente a la competencia.

Guías de Auditorias Basadas en Riesgos


La auditoría basada en riesgos es un proceso, un acercamiento, una metodología y una actitud en torno al tema.

La manera más simple de definir una auditoría basada en riesgos consiste en revisar las cosas que realmente importan en su organización.

Existen otros elementos a tener cuenta son:


  • La capacidad operativa y competencias del equipo de auditores para el tema seleccionado para auditar.
  • Complejidad de la materia a auditar y oportunidad en la obtención de la información (Acceso a aplicativos TI).
  • Precisión respecto al énfasis que tendrá la revisión respecto a los objetivos de control interno (Operaciones, fiabilidad de reportes y cumplimiento).
  • En algunos casos se recoge sugerencias de los clientes.
  • Cantidad de unidades o procesos que conforman el universo de la materia auditable de la organización.
 

Auditorias de Seguridad de la Información


La implantación absoluta de los sistemas informáticos en la empresa hace de ésta más competitiva a todos los niveles, tanto logístico, administración, inventario, contabilidad, RR.HH.


Como todo activo de la empresa, tal como un vehículo, estos equipos necesitan un mantenimiento. Obviamente no el mismo que un coche o camión. La parte fundamental de cara a interactuar con el ordenador es el Sistema Operativo. Se piensa que el ordenador es eterno, perpetuo al paso del tiempo y del trabajo. Pero lejos del pensamiento casi común, un ordenador, un conjunto de equipos de una empresa X, necesita unas atenciones básicas ya que pueden ser la vía de entrada a los famosos, amigos de lo ajeno, en este caso hackers (blackhat) y crackers



Auditorias de Proyectos de TI


Muchas organizaciones tienen dificultades para la ejecución de proyectos. En parte, la razón está en que los directivos y los patrocinadores tienen dificultades para entender el verdadero estado de un proyecto. En muchos casos, el proyecto se ejecuta de forma independiente hasta que se hace evidente que hay problemas con el plazo, el costo o la calidad. En ese momento (cuando es obvio), es generalmente demasiado tarde para responder a las expectativas originales.


La auditoría de los proyectos ayuda a determinar el verdadero estado de un proyecto, y si el proyecto parece ir por buen camino para terminar exitosamente.

Las auditorías también pueden señalar si existe una buena estructura y práctica de gestión del proyecto.