Auditoria de Sistemas de Información Es un diagnóstico global que ofrece una representación volátil del modo que se utiliza la información en un sistema de interacción. Este proceso permite tener una comprensión general del funcionamiento y características del sistema, antes que sea sometido a evaluaciones de usabilidad. Dicho sistema evalúa los elementos como: recursos de la información, usos que se puede hacer del sistema; flujo de información, características del soporte y tipos de interacción que permite que el sistema. Los Procesos que definen a la Auditoria se basan principalmente en:
Inventario Físico: Proceso de identificación y categorización de los recursos de información Mapeo de Información: Constituye una forma grafica de representar los recursos de información que hay en la organización y la interrelación entre ellos. Análisis de las necesidades de la información: Su finalidad principal es determinar que i8nformacion requiere los usuarios y la entidad-instituciónempresa para alcanzar sus objetivos. Procesos de control: Identifica los mecanismos de autorregulación, verificación y control con que cuenta el sistema de información estudiado.
La auditoria de sistemas de información pude promover y aplicar conceptos donde el auditor de sistemas, ofrece recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. Dentro de sus aspectos en el medio informático se tiene:
Complejidad Complejidad de los sistemas.
Uso de lenguajes.
Metodologías, son parte de las personas y su experiencia.
Centralización.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas. Controles del computador.
Para realizar la auditoria de sistemas de información se deber tener presente los siguientes requerimientos: requerimientos: 1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político. 2. Entendimiento del efecto de los sistemas en la organización. 3. Entendimiento de los objetivos de la auditoría. 4. Conocimiento de los recursos de computación de la empresa. 5. Conocimiento de los proyectos de sistemas. Riesgos asociados al área de Tecnología de la Información.
Hardware: Descuido o falta de protección: manejo, no observancia de las normas. Destrucción:
Software:
Uso. Copia. Modificación. Destrucción. Hurto. Omisiones y errores.
Archivos:
Usos o acceso.
Copia, modificación, destrucción, hurto.
Investigación preliminar:
Condiciones
inapropiadas,
mal
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Administración: Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. La aplicación de todo el conjunto de disposiciones amparadas a los conceptos de administración electrónica y el desarrollo acelerado de las tecnologías de la información y la la comunicación comunicación ayuda a fiscalizar fiscalizar los sistemas sistemas y control interno. interno. Se destaca el esfuerzo de síntesis realizado sobre una materia en la que, a pesar de su importancia, existe un déficit de información y documentación indudable. Se hace referencia a información técnica sobre auditoría informática pensada por y para informáticos, sino a metodología de auditoría informática o de sistemas de información pensada para los auditores financieros. En esta materia, la carencia es casi total si pensamos en literatura en nuestro idioma. La completa bibliografía que acompaña al trabajo, la mayoría de procedencia anglosajona, también ayudará a aquellos interesados en profundizar en esta materia. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización organización de centros de información, hardware y software).
Sistemas: Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.
Manual de formas. Manual de procedimientos de los sistemas. Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas. En el momento de hacer la planeación de la auditoría o bien su realización, se debe evaluar que pueden presentarse las siguientes situaciones. situaciones. Se solicita la información y se ve que:
No tiene y se necesita. No se tiene y no se necesita. Se tiene la información pero: No se usa.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se recomienda que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar porque no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa. El éxito del análisis crítico depende de las siguientes consideraciones: consideraciones:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento). f undamento). Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.
Para obtener un correcto funcionamiento en los sistemas la evaluación del proceso engloba factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivo. El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes: ¿Cuáles servicios se implementarán? ¿Cuándo se pondrán a disposición de los usuarios? ¿Qué características tendrán? ¿Cuántos recursos se requerirán? La estrategia de desarrollo desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados: ¿Qué aplicaciones serán desarrolladas y cuando? ¿Qué tipo de archivos se utilizarán y cuando? ¿Qué bases de datos serán utilizarán y cuando? ¿Qué lenguajes se utilizarán y en que software? ¿Qué tecnología será utilizada y cuando se implementará? ¿Cuántos recursos se requerirán aproximadamente?
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
¿Qué estudios van a ser realizados al respecto? ¿Qué metodología se utilizará para dichos estudios? ¿Quién administrará y realizará dichos estudios? En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos. Por último, el plan estratégico determina la planeación de los recursos. ¿Contempla el plan estratégico las ventajas de la nueva tecnología? ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios? El proceso de planeación planeación de sistemas deberá asegurarse asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Lo cual debe ir apoyado con estándares como: 1. ADACSI: (Asociación de Auditoría y Control de Sistemas de Información) tiene como propósito, avanzar en la generación de estándares globalmente aplicables que satisfagan esta necesidad. El desarrollo y distribución de estándares es la piedra angular de la contribución profesional que realiza ISACA a la comunidad de auditores.
2. ISACA: Formado por 95.000 auditores en todo el mundo, en más de 160 países donde presta sus servicios.
3. COBIT: (Objetivos de Control para la información y Tecnologías relacionadas). La misión es investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control aceptados para las tecnologías de la información que sean autorizados, actualizados, e internacionales para el uso del día a día de los gestores de negocios y auditores. Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.
4. ISO 27002: Se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una norma de auditoría apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoría y sistemas de gestión de seguridad .
5. ISO 27001: En una organización es un proyecto dependiendo del grado de madurez en seguridad de la información y el alcance de la organización que va
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Para completar el grupo, como colaboradores directos en la realización de la auditoria se deben tener personas con las siguientes características: características: •
Técnico en informática.
•
Experiencia en el área de informática.
•
Experiencia en operación y análisis de sistemas.
•
Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas. Ejemplos de empresas en Venezuela:
Fig. 1
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Fig. 2
Fig. 3
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Referencias Bibliográficas
http://www.auditool.org/ http://www.cpavenezuela.com/servicios.html http://www.eumed.net/rev/turydes/06/mvgg.htm
http://www.sindicom.gva.es/premi http://www.sindicom.gva.es/premi/files/auditoria% /files/auditoria%20sistemas%20 20sistemas%20inf_ok.pdf. inf_ok.pdf. http://www.tesis.ufm.edu.gt/aud/66461/Tesis.htm