PROCEDIMIENTOS DE AUDITORIA SE SISTEMAS



PROCEDIMIENTOS DE AUDITORIA SE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.



Planificación de la auditoria
Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado

Esquema COBIT


                                                                           

EL MARCO COBIT 5

COBIT 5 ayuda a las empresas a crear/obtener valor óptimo de la TI, manteniendo un balance entre los beneficios, riesgos y recursos, tiene un enfoque holístico para administrar y gobernar la información y tecnología relacionada en toda la empresa, establece principios y habilitadores genéricos que son útiles para empresas de todos tamaños y giros.

La misión de CobiT es investigar, desarrollar, publicitar y promocionar un marco de trabajo de control de Gobierno de TI autoritativo, actualizado, y aceptado internacionalmente que se adopte por las empresas y se emplee en el día a día por los gerentes de negocio, profesionales de TI y profesionales de aseguramiento.



Los cinco principios de COBIT 5:
1. Satisfacer las necesidades de los interesados
2. Cubrir la empresa de extremo a extremo
3. Aplicar un solo marco integrado
4. Habilitar un enfoque Holístico
5. Separar Gobierno de Administración


CISA (Certified Information Systems Auditor)

Es reconocido mundialmente como el estándar de rendimiento en auditoría, control, seguimiento y evaluación de la tecnología de una organización de la información y sistemas de negocio. Fue creada por profesionales con experiencia de trabajo en los sistemas de información de auditoría, control y de seguridad

ISACA (Systems Audit and Control Association)

Proporciona orientación práctica, puntos de referencia y otras herramientas eficaces para todas las empresas que utilizan sistemas de información. A través de sus servicios y orientación integral, ISACA define las funciones de los sistemas gobernabilidad, seguridad, auditoría y aseguramiento de profesionales de la información en todo el mundo. Los marcos de gobernanza COBIT, Val IT y riesgo y las certificaciones CISA, CISM, CGEIT y forma son marcas ISACA respetados y utilizados por estos profesionales en beneficio de sus empresas.
Auditoría y normas de control son seguidos por los profesionales de todo el mundo y nuestra investigación señala los temas profesionales que desafían a las empresas de hoy.
ISACA promueve activamente la investigación que resulte en el desarrollo de productos relevantes y útiles para el gobierno de TI, control, aseguramiento y profesionales de la seguridad.

CERTIFICACIÓN CISM (Certified Information Security Management)

El programa de certificación CISM se ha desarrollado específicamente para administradores experimentados de seguridad de la información y los que tienen responsabilidades de gestión de seguridad.


El Certificado de Gerente de Seguridad de la Información (CISM), esta certificación es única de gestión focalizada. A diferencia de otras certificaciones de seguridad, CISM es para la persona que gestiona, diseña, supervisa y evalúa la seguridad de la información de una empresa.
Certificación CISM es para las personas que diseñan, construyen y administrar la seguridad de la información empresarial y que tienen experiencia.

CERTIFICACIÓN CGEIT (Certified in the Governance of Enterprise IT)

El programa de certificación CGEIT fue diseñado específicamente para los profesionales encargados de satisfacer las necesidades de gobierno de TI de una empresa. Está diseñado para profesionales que manejan, prestar servicios de asesoramiento y/o garantía, y/o que de alguna manera apoyar la gobernabilidad de TI de una empresa y desean ser reconocidos por su gobierno de TI relacionados con la experiencia y el conocimiento, CGEIT se basa en ISACA y el IT Governance Institute (ITGI) propiedad intelectual y el aporte de expertos en la materia en todo el mundo.
CGEIT se ha desarrollado específicamente para profesionales de IT y de negocio que tienen una importante gestión, asesoramiento, o el papel de garantía en relación con la gobernanza de TI empresarial y para aquellos y que tienen experiencia en las siguientes áreas:

ISO OBJETIVO

Proporcionar información a las partes responsables para implementar la seguridad de la información dentro de una organización. Puede verse como una mejor practica para desarrollar y mantener estándares de seguridad y prácticas de gestión dentro de una organización para mejorar la confianza sobre la seguridad de la información en relaciones inter organizacionales. Define 133 estrategias de controles de seguridad bajo 11 títulos. El estándar hace hincapié en la importancia de la gestión de riesgos y deja claro que no se tiene que implementar toda la guía, solo lo relevante.

OBJETIVOS GENERALES DE UNA AUDITORIA DE SISTEMAS

-          Buscar una mejor relación costo – beneficio de los sistemas automáticos o computarizados  diseñados e implantados por el PAD
-          Incrementar la satisfacción de los usuarios de los sistemas computarizados.
-          Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
-          Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
-          Seguridad de personal, datos, hardware, software e instalaciones.
-          Apoyo de función informática a las metas y objetivos de la organización.
-          Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
-          Minimizar existencias de riesgos en el uso de Tecnología de información.
-          Decisiones de inversión y gastos innecesarios.
-          Capacitación y educación sobre controles en los Sistemas de Información


  


TIPOS ESPECIALIZADOS DE AUDITORIA COMPUTACIONAL

1.- Auditoria de la computadora:
Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes.

2.- Auditoria sin la computadora
En este tipo de auditoría se busca evaluar a los sistemas desde una óptica tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación acostumbrados y sin el uso de los sistemas computacionales, aunque éstos sean los que se evalúen.
Por lo general, esta auditoría se enfoca en los aspectos operativos, financieros, administrativos y del personal de los centros de sistemas computacionales.

3.- Auditoria a la Gestión Informática
Esta auditoría es, por lo general, de carácter administrativo y operacional; con su realización se busca evaluar la actividad administrativa de los centros de cómputo, con todo lo que conlleva esta gestión.
Se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo, tales como la planeación, organización, dirección y control de dicho centro

4.- Auditoria al sistema de cómputo:
Esta auditoría es más especializada y concreta, y está enfocada hacia la actividad y operación de sistemas computacionales, con mucho más de evaluación técnica y especializada de éstos y de todo lo relacionado con esta especialidad.

5.- Auditoria alrededor de la computadora
En este tipo de auditoría se trata de evaluar todo lo que involucra la actividad de los sistemas computacionales, procurando, de ser posible, dejar a un lado todos los aspectos especializados, técnicos y específicos de los sistemas, a fin de evaluar únicamente las actividades vinculadas que se llevan a cabo alrededor de éstos.

6.- Auditoria de seguridad de los sistemas computacionales
Hablar de seguridad es un aspecto muy importante en los sistemas computacionales, lo cual en algunos casos puede estar relacionado con otras auditorías. Sin embargo, por lo especializado y profundo del tema, es indispensable que se evalúe por separado;

7.- Auditoria Integral a los sistemas de cómputo
Esta definición trata de agrupar a todos los tipos de auditoría que se analizan en estas conceptualizaciones, buscando concentrar todas las evaluaciones bajo una misma auditoría con un enfoque global del área de sistemas, según su tipo y tamaño. 

8.- Auditoria ergonómica de sistemas computacionales
Uno de los aspectos menos analizados en el área de sistemas es la afectación que causan el mobiliario y los propios sistemas computacionales en los usuarios de computadoras; estos aspectos pueden llegar a influir en el bienestar, salud y rendimiento de los usuarios, razón por la cual se deben considerar mediante una auditoría especializada.



Comentarios

Publicar un comentario

Entradas populares de este blog

ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Imagen
ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA Normas de control interno COSO         Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes   realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,   que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados. Descripción de la metodología La presente metodología está estructurada en tres secciones principales: a)     La organización del proyecto b)     Las fases para el desarrollo de sistemas de información c)     La evolución de los sistemas de información En la primera de estas secciones se hace referencia a las funciones y responsabilidades de cada uno de los involucrados en el desarrollo del proy
Leer más

SOFTWARE DE AUDITORIA

Imagen
SOFTWARE DE AUDITORIA El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo. Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería. El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtene
Leer más

INFORME COSO

Imagen
INFORME COSO Es un sistema que permite implementar el control interno en cualquier tipo de entidad u organización. Sus siglas se refieren al Comité De Organizaciones Patrocinadoras De La Comisión De Normas. (Committee of Sponsoring Organizations of The Treadway Commission), quienes evaluaron y llegaron a la conclusión que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar los posibles fraudes o errores que pudieren surgir. La evolución a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del año 1992, en cuyo año se denominó Marco del Control Interno (COSO I), para el año 2004 se da a conocer la mejora en el Sistema de COSO I con el Marco Integral de Riesgos (COSO II ERM), y para el año 2006 se da a conocer el Sistema de COSO III para pequeñas y medianas empresas. Para facilitar a las empresas a evaluar y mejorar
Leer más