PROCEDIMIENTOS DE AUDITORIA SE SISTEMAS
PROCEDIMIENTOS DE AUDITORIA
SE SISTEMAS
Se requieren varios pasos para realizar una auditoría. El auditor de
sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría
que consta de
objetivos de control y procedimientos de auditoría que deben satisfacer esos
objetivos.
Planificación de la auditoria
Una planificación adecuada es el
primer paso necesario para realizar auditorías de sistema eficaces. El auditor
de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del
negocio y control asociado
Esquema COBIT
EL MARCO COBIT 5
COBIT 5 ayuda a las empresas a crear/obtener valor
óptimo de la TI, manteniendo un balance entre los beneficios, riesgos y
recursos, tiene un enfoque holístico para
administrar y gobernar la información y tecnología relacionada en toda la
empresa, establece principios y habilitadores genéricos que son útiles
para empresas de todos tamaños y giros.
La misión de CobiT es investigar, desarrollar,
publicitar y promocionar un marco de trabajo de control de Gobierno de TI
autoritativo, actualizado, y aceptado internacionalmente que se adopte por las
empresas y se emplee en el día a día por los gerentes de negocio, profesionales
de TI y profesionales de aseguramiento.
Los cinco principios de COBIT 5:
1. Satisfacer las necesidades de los interesados
2. Cubrir la empresa de extremo a extremo
3. Aplicar un solo marco integrado
4. Habilitar un enfoque Holístico
5. Separar Gobierno de Administración
CISA (Certified Information Systems
Auditor)
Es reconocido mundialmente como el estándar de
rendimiento en auditoría, control, seguimiento y evaluación de la tecnología de
una organización de la información y sistemas de negocio. Fue creada por
profesionales con experiencia de trabajo en los sistemas de información de
auditoría, control y de seguridad
ISACA (Systems Audit and
Control Association)
Proporciona orientación práctica, puntos de
referencia y otras herramientas eficaces para todas las empresas que utilizan
sistemas de información. A través de sus servicios y orientación integral,
ISACA define las funciones de los sistemas gobernabilidad, seguridad, auditoría
y aseguramiento de profesionales de la información en todo el mundo. Los marcos
de gobernanza COBIT, Val IT y riesgo y las certificaciones CISA, CISM, CGEIT y
forma son marcas ISACA respetados y utilizados por estos profesionales en
beneficio de sus empresas.
Auditoría y normas de control son seguidos por los
profesionales de todo el mundo y nuestra investigación señala los temas
profesionales que desafían a las empresas de hoy.
ISACA promueve activamente la investigación que
resulte en el desarrollo de productos relevantes y útiles para el gobierno de
TI, control, aseguramiento y profesionales de la seguridad.
CERTIFICACIÓN CISM
(Certified Information Security Management)
El programa de certificación CISM se ha
desarrollado específicamente para administradores experimentados de seguridad
de la información y los que tienen responsabilidades de gestión de seguridad.
El Certificado de Gerente de Seguridad de la
Información (CISM), esta certificación es única de gestión focalizada. A
diferencia de otras certificaciones de seguridad, CISM es para la persona que
gestiona, diseña, supervisa y evalúa la seguridad de la información de una
empresa.
Certificación CISM es para las personas que
diseñan, construyen y administrar la seguridad de la información empresarial y
que tienen experiencia.
CERTIFICACIÓN CGEIT
(Certified in the Governance of Enterprise IT)
El programa de certificación CGEIT fue diseñado
específicamente para los profesionales encargados de satisfacer las necesidades
de gobierno de TI de una empresa. Está diseñado para profesionales que manejan,
prestar servicios de asesoramiento y/o garantía, y/o que de alguna manera
apoyar la gobernabilidad de TI de una empresa y desean ser reconocidos por su
gobierno de TI relacionados con la experiencia y el conocimiento, CGEIT se basa
en ISACA y el IT Governance Institute (ITGI) propiedad intelectual y el aporte
de expertos en la materia en todo el mundo.
CGEIT se ha desarrollado específicamente para
profesionales de IT y de negocio que tienen una importante gestión,
asesoramiento, o el papel de garantía en relación con la gobernanza de TI
empresarial y para aquellos y que tienen experiencia en las siguientes áreas:
ISO OBJETIVO
Proporcionar información a las partes responsables
para implementar la seguridad de la información dentro de una organización.
Puede verse como una mejor practica para desarrollar y mantener estándares de
seguridad y prácticas de gestión dentro de una organización para mejorar la
confianza sobre la seguridad de la información en relaciones inter
organizacionales. Define 133 estrategias de controles de seguridad bajo 11
títulos. El estándar hace hincapié en la importancia de la gestión de riesgos y
deja claro que no se tiene que implementar toda la guía, solo lo relevante.
OBJETIVOS GENERALES
DE UNA AUDITORIA DE SISTEMAS
-
Buscar una mejor relación costo – beneficio
de los sistemas automáticos o computarizados
diseñados e implantados por el PAD
-
Incrementar la satisfacción de los usuarios
de los sistemas computarizados.
-
Asegurar una mayor integridad,
confidencialidad y confiabilidad de la información mediante la recomendación de
seguridades y controles.
-
Conocer la situación actual del área
informática y las actividades y esfuerzos necesarios para lograr los objetivos
propuestos.
-
Seguridad de personal, datos, hardware,
software e instalaciones.
-
Apoyo de función informática a las metas y
objetivos de la organización.
-
Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático.
-
Minimizar existencias de riesgos en el uso de
Tecnología de información.
-
Decisiones de inversión y gastos
innecesarios.
-
Capacitación y educación sobre controles en
los Sistemas de Información
TIPOS ESPECIALIZADOS DE AUDITORIA COMPUTACIONAL
1.- Auditoria de la computadora:
Es la auditoría que se realiza con el apoyo de los equipos de cómputo y
sus programas para evaluar cualquier tipo de actividades y operaciones, no
necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha
auditoría se realiza también a las actividades del propio centro de sistemas y
a sus componentes.
2.- Auditoria sin la computadora
En este tipo de auditoría se busca evaluar a los sistemas desde una
óptica tradicional, contando con el apoyo de las técnicas y procedimientos de
evaluación acostumbrados y sin el uso de los sistemas computacionales, aunque
éstos sean los que se evalúen.
Por lo general, esta auditoría se enfoca en los aspectos operativos,
financieros, administrativos y del personal de los centros de sistemas
computacionales.
3.- Auditoria a la Gestión Informática
Esta auditoría es, por lo general, de carácter administrativo y
operacional; con su realización se busca evaluar la actividad administrativa de
los centros de cómputo, con todo lo que conlleva esta gestión.
Se enfoca exclusivamente a la revisión de las funciones y actividades de
tipo administrativo que se realizan dentro de un centro de cómputo, tales como
la planeación, organización, dirección y control de dicho centro
4.- Auditoria al sistema de cómputo:
Esta auditoría es más especializada y concreta, y está enfocada hacia la
actividad y operación de sistemas computacionales, con mucho más de evaluación
técnica y especializada de éstos y de todo lo relacionado con esta
especialidad.
5.- Auditoria alrededor de la computadora
En este tipo de auditoría se trata de evaluar todo lo que involucra la
actividad de los sistemas computacionales, procurando, de ser posible, dejar a
un lado todos los aspectos especializados, técnicos y específicos de los sistemas,
a fin de evaluar únicamente las actividades vinculadas que se llevan a cabo
alrededor de éstos.
6.- Auditoria de seguridad de los sistemas
computacionales
Hablar de seguridad es un aspecto muy importante en los sistemas
computacionales, lo cual en algunos casos puede estar relacionado con otras
auditorías. Sin embargo, por lo especializado y profundo del tema, es
indispensable que se evalúe por separado;
7.- Auditoria Integral a los sistemas de cómputo
Esta definición trata de agrupar a todos los tipos de auditoría que se
analizan en estas conceptualizaciones, buscando concentrar todas las
evaluaciones bajo una misma auditoría con un enfoque global del área de
sistemas, según su tipo y tamaño.
8.- Auditoria ergonómica de sistemas computacionales
Uno de los aspectos menos analizados en el área de sistemas es la
afectación que causan el mobiliario y los propios sistemas computacionales en
los usuarios de computadoras; estos aspectos pueden llegar a influir en el
bienestar, salud y rendimiento de los usuarios, razón por la cual se deben
considerar mediante una auditoría especializada.
Comentarios
Publicar un comentario