Auditoria En Tecnologia De La Informacion
Enviado por sallylizet • 5 de Julio de 2012 • 11.568 Palabras (47 Páginas) • 398 Visitas
Introducción
Hoy en día, las tecnologías de la información están presentes en todas las áreas de las organizaciones. Esta implantación generalizada de SI se ha realizado en muchos casos sin la necesaria planificación, en parte porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los sistemas abiertos, la interconexión global y el deseo por parte de los consumidores de independizarse de los fabricantes traen consigo la necesidad de un estudio más profundo de los SI antes de tomar decisiones. Por lo tanto, se hace necesario mejorar la planificación de futuras implementaciones, la compatibilidad entre sistemas y la organización del personal y de la empresa.
En los últimos tiempos el ejercicio en las actividades de auditoría y control en tecnologías informáticas, ha auspiciado un desenvolvimiento más que acelerado de todas las demás actividades inmersas en la economía de un país. Esto, da pie a pensar que las tareas realizadas por ellas han de ser igualmente auditadas.
En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnología, además de los costos derivados de la posible organización estructural que muchas veces conlleva la introducción de estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratégicos son los mismos que los de la propia organización y que los sistemas prestan el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura.
AUDITORIA Y TECNOLOGIAS DE INFORMACION
¿Qué es Auditoría en Informática?
Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.
AUDITORIA DE TECNOLOGÍAS DE INFORMACIÓN
La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información.
EL PROCESO DE LA AUDITORIA DE TECNOLOGIA DE INFORMACION
Los procesos de control son las políticas, procedimientos y actividades que forman parte de un entorno de control, diseñados para asegurar que los riesgos se mantienen dentro de los niveles de tolerancia establecidos por el proceso de administración/gestión de riesgos.
Las fases que sigue una auditoria de sistemas o de tecnología de información, son:
a) Planeación, b) Ejecución e C) informe. Se plantea de esta forma para que los administradores y auditores de la tecnología, de manera objetiva, apoyados en esta herramienta, evalúen la gestión en la administración de los recursos tecnológicos de las Cooperativas de ahorro y Créditos (CAC’s).
A) Planeación De La Auditoria
La auditoría de sistemas requiere de una adecuada planeación, con el fin de definir claramente los objetivos y el alcance del trabajo, las técnicas y herramientas a utilizar, los recursos humanos, financieros y técnicos que se emplearan, así como los plazos para realizar la evaluación.
El objetivo de la planeación es el de proveer al auditor de un conocimiento general de los procesos sistematizados de la organización, una evaluación pre eliminar de las fortalezas y debilidades y una lista de materias relacionadas con el área que sean de potencial importancia para ser examinadas en la fase de ejecución.
La fase de planeación básicamente comprende:
• conocimiento general de la CAC
• conocimiento del área de informática
• programa de trabajo
Conocimiento General De La CAC
Esta etapa permite conocer y estudiar en forma general la entidad y el desarrollo tecnológico en el área de informática, para lo cual es necesario obtener información relacionada con la organización que a criterio del auditor sea suficiente para conocer sus objetivos, reglamentos, normas funciones, los sistemas de información automatizados, la arquitectura de red, las aplicaciones existentes, etc.
La evaluación de este punto, como parte de la administración de la CAC, permite concluir si se cuenta con documentación actualizada que de manera rápida y precisa permita presentar la entidad a personas que se vinculen y a entidades que deseen conocerla, ya sea para establecer relaciones comerciales o para ejercer vigilancia y control en el caso de las Superintendencias y los mismos auditores.
Conocimiento del Área de Informática
Este conocimiento se enfoca a determinar qué tan adecuadamente se tiene documentada la información del área de informática como del sistema de información, verificando si tienen identificadas las debilidades y fortalezas como todas las relaciones del área con el entorno.
Para planear la evaluación de manera efectiva, se debe determinar la documentación con que se cuenta, calificando su actualización y vigencia, sobre los siguientes aspectos:
• Organización: organigrama donde se ubique el área de tecnología dentro de la organización y el detalle de su estructura, con número de personas por unidad y, en lo posible, los nombres de los colaboradores que pertenecen a cada una de ellas, su perfil técnico, funciones, persona a cargo (si la tiene) y responsabilidades.
• Procedimientos
...