Objetivos De Control
Enviado por genau • 24 de Junio de 2012 • 2.224 Palabras (9 Páginas) • 780 Visitas
LA AUDITORÍA POR OBJETIVOS DE CONTROL EN LOS SISTEMAS DE INFORMACIÓN
Desde la década de 1960, el rápido desarrollo de los sistemas automatizados ha creado la expectativa de una apropiada respuesta de las áreas que se ocupan de gestionar la tecnología informática y sistemas de información.
Las organizaciones modernas, y por ende muchas entidades financieras, se están reestructurando a fin de modernizar sus operaciones y simultáneamente aprovechar los avances en tecnologías de información a fin de mejorar su posición competitiva. La reingeniería de negocio, el dimensionamiento correcto, la tercerización y el procesamiento distribuido, son todos cambios que afectan la forma en que operan las organizaciones.
La alta velocidad con la cual se procesan las transacciones; los sistemas de administración de las bases de datos; las redes de telecomunicaciones globales; el procesamiento distribuido de datos; la comunicación sobre Internet, y muchos otros factores, han causado que en toda organización, sin excepción alguna, la información y los datos en los cuales se apoya se tornen cada día más y más importantes. Por lo que las estrategias de la función gerencial; las políticas de seguridad; la segregación de las funciones; el impacto de los fallos; los accesos no autorizados; la revelación de la información; la continuidad del normal procesamiento de los datos; la adecuación de los sistemas de información, y otros aspectos que surgen de la aplicación de innovadoras tecnologías, han pasado a tener un impacto mucho mayor dentro de la organización que el de hace unos años; de ahí la necesidad de contar con un adecuado marco de control.
Por lo expuesto, para muchas organizaciones, la información y la tecnología que la soporta, han pasado a representar sus activos más valiosos. Bajo esta situación, éstas han comenzado a reconocer los beneficios potenciales que las herramientas tecnológicas les pueden proporcionar. Pero sin embargo, también han comprendido la importancia de conocer y administrar los riesgos asociados con la implementación de las nuevas tecnologías.
EL ROL DE LA AUDITORÍA DE SISTEMAS
Estos cambios tienen y seguirán teniendo profundas repercusiones en sus estructuras de control. La automatización de las funciones organizacionales está determinando la incorporación de mecanismos de control más potentes en los sistemas de información, en los sistemas operativos, las redes, y el hardware. Además, las características estructurales de estos controles están evolucionando al mismo ritmo y de igual manera que estas tecnologías.
Para un número creciente de organizaciones y principalmente las de corte financiero, la seguridad de sus sistemas sigue siendo un aspecto importante a controlar y proteger, hasta el punto de que en algunas de ellas se creó inicialmente la función de Auditoría Informática para revisar la seguridad, aunque después se haya ido ampliando el alcance y los objetivos de esta, en función de la gran relevancia que ha pasado a tener esta tarea por la automatización de la mayoría de los procesos de negocio.
Pero en la actualidad, debemos ir hablando más de "Auditoría de Sistemas de Información" que sólo de Auditoría Informática, por la extensión de las áreas que llega a cubrir, y lejos ya de la denominación en inglés que seguimos viendo en muchos libros "EDP Audit." ("Auditoría del proceso electrónico de datos" (Electronic Data Processing)). En todo caso, la Auditoría de Sistemas de Información se ha convertido en el control del ambiente de controles embebido en los procesos automatizados y en la función gerencial de los mismos.
Esta denominación abarca la necesidad de controlar globalmente a los sistemas de información, es decir, desde su planificación a su implementación; observando también su alineación con las estrategias de la organización, ya que es cierto que en muchos casos tan necesario o más que la protección de la información, es que las inversiones en los sistemas de información y la tecnología informática estén alineadas con las estrategias de la alta dirección, escapando al inadecuado enfoque de la tecnología por la tecnología.
También la Auditoría de Sistemas de Información debe contemplar el control del aprovechamiento que se hace de las tecnologías informáticas y si éstas aportan ventajas competitivas, además de la adecuación de la gestión de los recursos tecnológicos y de la seguridad que otorgan.
Debe evaluarse en la Auditoría de Sistemas de Información, si los modelos de seguridad están en consonancia con las nuevas arquitecturas y las distintas plataformas, porque no se puede auditar con conceptos, técnicas o recomendaciones de hace algunos años atrás.
Así, el enfoque tradicional de la auditoría ha ido evolucionando. Se ha vuelto más participativa, priorizando un enfoque preventivo e intentando actuar antes o durante el hecho. La tendencia actual, en el ámbito de la Auditoría de Sistemas de Información apunta a participar más activamente en todos los proyectos y decisiones relacionados con los sistemas de información y la tecnología informática dentro de la organización.
ESTABLECIMIENTO DE UN MARCO DE CONTROL
En este contexto de cambios acelerados, si los gerentes, especialistas en sistemas de información y auditores han de desempeñar realmente sus roles con efectividad, sus habilidades deben evolucionar con la misma rapidez que lo hacen la tecnología y el ambiente de negocio. Deben comprender acabadamente la tecnología de los controles y su naturaleza cambiante; si han de aplicarse criterios razonables y prudentes para evaluar las prácticas de control presentes en las organizaciones.
La alta dirección de cualquier organización necesita poder comprender y contar con un conocimiento básico de los riesgos que introduce la incorporación y utilización de la tecnología informática, para así proveer una dirección eficaz y poner en práctica todos los mecanismos necesarios para la puesta en marcha de los controles adecuados. Tiene que decidir cuál es el grado de inversión razonable en seguridad y control, y cómo alcanzar un balance razonable entre el nivel de riesgo y la inversión en los controles.
Planteadas anteriormente muchas de las nuevas exigencias para el incremento de los controles, surge la necesidad de contar con una metodología para organizar las actividades de la Auditoría de Sistemas de Información, la cual contribuya a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos técnicos; que sea aplicable a todos los tamaños y tipos de organización,
...