martes, 29 de enero de 2013

Introducción a la Auditoría de Sistemas


DEFINICIÓN :

La palabra auditoría viene del latín “auditorius” y de esta proviene la palabra “auditor”, que tiene la virtud de oir y revisar cuentas.

INTRODUCCIÓN :

Las instituciones invierten fuertes sumas de dinero en tecnología informática bajo la presunción explicita o implícita que esta tecnología les permitirá aumentar la eficiencia y reducir los costos de sus operaciones.

Otra expectativa común es la de producir servicios y/o productos de mayor calidad. Sin embargo, en nuestro país, la evidencia empírica nos muestra que en la mayoría de los casos esto no se cumple.


AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN (TI) :

Examen objetivo, crítico, sistemático, eminentemente posterior y selectivo de las políticas, normas, prácticas, procedimientos y procesos con el fin de emitir una opinión respecto a la eficiencia en la utilización de los recursos informáticos; la confiabilidad, consistencia, integridad y oportunidad de la información y la efectividad de los controles en los sistemas de información computarizados.

¿ En que consiste la Auditoría de TI ?
  • Verificación de controles. Evaluar su efectividad y presentar recomendaciones a la Gerencia.
  • Verificar y juzgar la información.
  • Evaluación de los procesos del área de Sistemas (grado de eficiencia, efectividad y economía de los sistemas).
  • Proceso de recolección y evaluación de evidencia:
    • Daños internos y/o externos.
    • Salvaguardar activos de la Destrucción.
    • Uso no autorizado de recursos (Información y equipos).
    • Oportunidad de los datos.
    • Robo de información.
    • Mantener integridad de la Información (Precisión de los datos).
    • Confiabilidad de la información.
    • Contribución de la función informática a las metas organización
    • Uso de recursos eficientemente en el procesamiento de la información.
  • Examen de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados. 
OBJETIVOS :

El propósito del trabajo de auditoría está enmarcado en uno o más de los siguientes puntos:
  • Cumplimiento de políticas, normas y procedimientos de orden gubernamental e institucional (adquisición, contratación e instalación de servicios para el desarrollo de la función informática).
  • Comprobar el adecuado uso y resguardo de los recursos informáticos de la entidad.
  • Verificar que se efectúa el mantenimiento preventivo y correctivo de los recursos informáticos, para obtener la confiabilidad e integridad de los sistemas.
  • Grado de confiabilidad y privacidad del ambiente informático.
  • Garantizar la seguridad (personas, datos, programas y los equipos).
  • Verificar controles de seguridad física y ambiental.
  • Evaluar controles establecidos para administrar la infraestructura tecnológica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.).
  • Verificar que los sistemas de información correspondan a los objetivos y requerimientos de la entidad.
  • Comprobar la consistencia y confiabilidad de los sistemas.
  • Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones.
  • Verificar que las rutinas de cálculo ejecutadas por las aplicaciones se apliquen correctamente.

MOTIVOS PARA EFECTUAR UNA AUDITORÍA DE TI :

Entre los principales justificativos o motivos de una auditoría, encontramos:
  • Aumento del presupuesto del Departamento de procesamiento de datos.
  • Desconocimiento de la situación informática de la empresa.
  • Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal , equipos e información.
  • Descubrimientos de fraudes efectuados con el uso del computador.
  • Falta de una planificación informática. Falta de visión.
  • Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de tareas y adecuada administración del recurso humano.
  • Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados.
  • Falta de documentación o documentación incompleta de sistemas.

OBJETOS AUDITABLES :

Es la agrupación de las auditorias siguiendo criterios relacionados con aspectos de gestión y planificaciones generales, desarrollo de software, hardware y finalmente seguridad global.

Ejemplos de objetos auditables son:
  • Gestión y planificación
  • Desarrollo del software
  • Hardware
  • Seguridad global
  • Auditoría de la dirección
  • Auditoría ofimática
  • Auditoría de desarrollo
  • Auditoría de la explotación
  • Auditoría de base de datos
  • Auditoría física
  • Auditoría de redes


 Espero haber ayudado en algo. Hasta la próxima oportunidad! 

No hay comentarios:

Publicar un comentario en la entrada