Auditoria de Sistema

-

 La auditoría de sistemas es aquel examen destinado a revisar y evaluar los controles y sistemas de informática existentes en la entidad, así como su utilización, eficiencia y seguridad. La auditoría de sistemas consiste básicamente en:

Examinar y evaluar los procesos en cuanto al nivel de informatización de los mismos y en cuanto al tratamiento de los datos.

Verificar los controles en el procesamiento de la información y verificar la instalación de sistemas de seguridad.

Evaluar los recursos invertidos, la rentabilidad de cada proceso y su eficacia.

Realizada por personal externo a la empresa, la auditoría de sistemas ofrece una evaluación independiente. El análisis y evaluación realizados a través de la auditoría de sistemas debe ser objetivo, crítico, sistemático e imparcial. El informe de auditoría final deberá ser un claro ejemplo de la realidad de la empresa en cuanto a los procesos y la informatización se refiere, para mejorar la toma de decisiones y el negocio en general.

Los objetivos principales, a grandes rasgos y de forma resumida, de la auditoría de sistemas pueden agruparse en:

Determinar si los controles implementados son eficientes y suficientes;

Identificar las causas de los problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas de información confiables y disponibles;

Identificar causas y soluciones a problemas específicos de los sistemas de información, que pueden estar afectando a la operación y a las estrategias del negocio, como el cumplimiento de licencias de software, las incompatibilidades de hardware y software, errores en bases de datos con problemas de seguridad, fallas en el control de versiones, etc.;

Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas informatizados;

Educar sobre el control de los sistemas de información, puesto que se trata de un sector muy cambiante y relativamente nuevo, por lo que es preciso educar a los usuarios de estos procesos informatizados;

Mejorar la relación coste-beneficio de los sistemas de información

Por lo tanto, la auditoría de sistemas es una forma de control y evaluación que no solo abarca los equipos informáticos en sí, sino que su ámbito de aplicación abarca también el control de los sistemas de entrada a dichos equipos y el uso que se le da a los mismos.

Tipos de auditoría de sistemas:

Las auditorías de sistemas pueden ser aplicadas a diferentes niveles corporativos, pudiendo realizarse una auditoría de sistemas a toda la entidad, a un departamento, a un área o incluso a una actividad concreta. Por otro lado, dentro de la auditoría de sistemas, y en función de los procedimientos de auditoría aplicados y el objetivo que se quiere valorar, pueden distinguirse diferentes tipos:

Auditoría de la gestión: se verifica el uso de los sistemas para la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: se verifica el cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley de Protección de Datos de Carácter Personal.

Auditoría de los datos: en la que se verifica el uso de los sistemas para la clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

Auditoría de las bases de datos: en la que se verifica el uso de los sistemas en cuanto a los controles de acceso a las bases, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: referida a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y principio de no repudio.

Auditoría de la seguridad física: referida a la ubicación de la organización, evitando ubicaciones de riesgo, y asegurando que los servidores y bases de datos se encuentran físicamente protegidos y en un entorno favorable (arcos de seguridad, CCTV, vigilantes, etc.).

Auditoría de la seguridad lógica: referida a los métodos de autenticación de los sistemas de información.

Auditoría de la seguridad en producción: mediante la cual se evalúan los riesgos y las respuestas frente a errores, accidentes y fraudes.

Objetivos de una auditoría de sistemas

Resguarda la información

Uno de los objetivos más críticos de una auditoría de sistemas es evaluar la seguridad de la información. Esto implica identificar posibles brechas de seguridad, vulnerabilidades y riesgos cibernéticos que podrían exponer los datos sensibles de la empresa. Se examinan medidas como la autenticación, autorización, cifrado y protección contra amenazas.

Almacena datos

La auditoría busca garantizar que la información almacenada en los sistemas sea precisa y no haya sido alterada de manera no autorizada. Se verifica que los controles de integridad estén en su lugar para prevenir la manipulación no deseada de los datos.

Disponibilidad y continuidad

Es esencial que los sistemas estén disponibles cuando se necesiten y que la empresa tenga planes de contingencia en caso de interrupciones. Evalúa los procedimientos de respaldo, recuperación de desastres y la capacidad de los sistemas para mantener la continuidad operativa

ESTÁNDARES DE AUDITORÍA DE SISTEMAS

Definen los requerimientos obligatorios para la auditoría de sistemas y la generación de informes. Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el «Garantizar la Seguridad de los Sistemas». Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO 27001

El objetivo de los Estándares de Auditoría es informar:

Informar a los auditores de sistemas el mínimo nivel aceptado para resolver las responsabilidades profesionales precisadas en el código de ética profesional de ISACA para auditores de sistemas de información.A las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes a quienes la practican. Proveer información sobre el cómo cumplir con los estándares de la Auditoría de Sistemas.

NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS

La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza  especializada de la auditoría de los sistemas de in formación y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Normas de control interno COSO       

Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes  realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,  que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados

NORMAS GENERALES DE LA AUDITORÍA DE SISTEMAS

La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza  especializada de la auditoría de los sistemas de in formación y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los


sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Normas.

Según se describe en [bib-imcp], las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.

Las normas de auditoría se clasifican en:

  1. Normas personales.

  2. Normas de ejecución del trabajo.

  3. Normas de información.

Normas personales

son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.

Normas de ejecución del trabajo

son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.

Normas de información

son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.

Técnicas.

Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.

Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la empresa u organización a ser auditada, que pudieran nesecitar una mayor atención.

Las técnicas procedimientos están estrechamente relacionados, si las técnicas no son elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor.

Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico.

Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera:

  • Estudio General

  • Análisis

  • Inspección

  • Confirmación

  • Investigación

  • Declaración

  • Certificación

  • Observación

  • Cálculo

Comentarios

Publicar un comentario

Entradas más populares de este blog

ANÁLISIS DE LA LEY CONTRA DELITOS INFORMÁTICOS - (KEILY PARADA)

-
  República Bolivariana de Venezuela Ministerio del Poder Popular Para la Educación Universitaria Universidad Nacional Experimental de la Gran Caracas Unexca - Sede La Floresta Postgrado en Auditoría de Tecnología de Información Financiera y Seguridad de Datos Auditoría de Sistemas Turno Nocturno Sección: B Análisis de la Ley contra delitos informáticos Integrante: Keily Parada 23925443 Profesor: Miguel Angel Martínez Caracas, Junio 2024 Análisis de la Ley Especial Contra Delitos Informáticos en Venezuela La Ley Especial Contra Delitos Informáticos (LEC), publicada en Gaceta Oficial N° 37.313 del 30 de noviembre de 2001, tiene como objetivo principal la protección integral de los sistemas que emplean tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes, o de los delitos cometidos mediante el uso de dichas tecnologías. Aspectos Clave de la Ley: Tipificación de Delitos Informáticos: ...
Leer más

LAS NORMAS ISO 9000 27001 . 27002 -COSO -COBIT

-
Imagen
 Las Normas ISO  Las normas ISO 9000 son un conjunto de estándares internacionales que ayudan a las organizaciones a gestionar y mejorar la calidad de sus productos y servicios esto con la finalidad de garantizar la calidad constante. Siguiendo estas normas, las organizaciones pueden: ·        Diseñar sistemas de calidad efectivos:  Esto involucra definir los procesos clave, documentarlos y asegurarse de que se sigan. ·        Identificar y cumplir con los requisitos del cliente:  Las normas ISO 9000 enfatizan en entender las necesidades de los clientes y asegurarse de que los productos o servicios las satisfacen. ·        Mejorar continuamente:  Las normas ISO 9000 alientan a las organizaciones a buscar constantemente formas de mejorar sus procesos y productos. En resumen, las normas ISO 9000 no son un producto tangible, sino una metodología para establecer y ...
Leer más