LA AUDITORIA DE SISTEMAS ES :

La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones.

El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen.

La actividad dirigida a verificar y juzgar información

El proceso de recolección y evaluación de evidencia para determinar en un sistema automatizado:

  • Los Daños
  • Salvaguardar activos de una posible Destrucción
  • El Uso no autorizado
  • El Robo
  • Mantener la Integridad de los datos con Información Precisa, Completa, Oportuna y Confiable.
  • Alcanzar metas organizacionales de la función informática

Es la revisión de carácter objetivo, crítico, sistemático, selectivo de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional con respecto a:

  • Eficiencia en el uso de los recursos informáticos
  • Validez de la información
  • Efectividad de los controles establecidos

LOS OBJETIVOS DE LA AUDITORIA DE SISTEMAS SON:

  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos
  • Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
  • Incrementar la satisfacción de los usuarios de los sistemas computarizados
  • Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles
  • Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos
  • Seguridad de personal, datos, hardware, software e instalaciones
  • Apoyo de función informática a las metas y objetivos de la organización
  • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
  • Minimizar existencias de riesgos en el uso de Tecnología de información
  • Capacitación y educación sobre controles en los Sistemas de Información
LAS AUDITORIAS INTERNAS Y EXTERNAS

La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoria interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditoria informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoria externa, las cuales no son tan perceptibles como en las auditorias convencionales. La auditoria interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

La auditoria informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Una auditoría se realiza con base a un patron o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información.
OTROS CONTROLES APLICADOS EN LA AUDITORIA DE SISTEMAS

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Controles de Organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como: Diseñar un sistema, Elaborar los programas, Operar el sistema, Control de calidad.

Controles de Sistemas en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:
  • Asegurar que todos los datos sean procesados.
  • Garantizar la exactitud de los datos procesados.
  • Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria.
  • Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento, la administración de la cinto teca y la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. Estos controles tienen como fin:
  • Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso .
  • Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD (Procesamiento automático de Datos).
  • Garantizar la integridad de los recursos informáticos.
  • Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Controles de uso de Microcomputadores

Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
Suscribirse a: Entradas (Atom)