LAS AREAS DE RIESGO Y EL PLAN DE CONT

INTRODUCCIÓN

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

En toda organización se debe contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma.

Es importante resaltar que cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido mediante la evaluación y análisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar.

Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto, planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

OBJETIVOS

Objetivo General

Establecer cuáles son las áreas de riesgo a considerar al realizar una auditoría en sistemas y determinar el plan de contingencias a elaborar para combatir los riesgos.

Objetivos Específicos

• Definir en qué consiste una auditoría en sistemas.

• Determinar los riesgos que debemos de considerar al realizar cualquier auditoría de sistemas informáticos.

• Identificar que son los planes de contingencia en un ambiente de sistemas informáticos.

LAS ÁREAS DE RIESGO Y EL PLAN DE CONTINGENCIAS

I. AUDITORÍA DE SISTEMAS

El auditor se encarga de analizar, evaluar los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad de la organización, mediante una revisión adecuada del sistema de procesamiento electrónico de datos. El auditor puede lograr un mejor conocimiento de los procedimientos para el control del cliente.

II. RIESGO

El riesgo es la probabilidad de que una amenaza se convierta en un desastre en una organización. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. Es importante que en toda organización se obtenga una herramienta que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área y por medio de procedimientos de control se pueda evaluar el desempeño del entorno a los sistemas.

El auditor realiza actividades de gestión de riesgo para identificar, evaluar, manejar y controlar toda clase de eventos o situaciones. Estos pueden abarcar proyectos sencillos o tipos de riesgos estrechamente definidos.

Procesos de gestión de riesgos, tanto en su diseño como qué tan bien están trabajando: Gestión de aquellos riesgos clasificados como “claves”, incluyendo efectividad de los controles y otras respuestas a éstos: y confiabilidad y evaluaciones apropiadas de riesgos y reportes de riesgo y estatus de controles.

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control se pueda evaluar el desempeño del entorno informático.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta que, una de las principales causas de los problemas dentro del entorno informático, es la inadecuada administración de riesgos informáticos, esta información sirve de apoyo para una adecuada gestión de la administración de riesgos, basándose en los siguientes aspectos:

• La evaluación de los riesgos inherentes a los procesos informáticos.

• La evaluación de las amenazas o causas de los riesgos.

• Los controles utilizados para minimizar las amenazas a riesgos.

• La asignación de responsables a los procesos informáticos.

• La evaluación de los elementos del análisis de riesgos.

Los sistemas de información computarizados son vulnerables a una diversidad de amenazas y atentados por parte de:

• Personas tanto internas como externas de la organización.

• Desastres naturales.

• Por servicios, suministros y trabajos no confiables e imperfectos.

• Por la incompetencia y las deficiencias cotidianas.

• Por el abuso en el manejo de los sistemas informáticos.

• Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos.

Todos estos aspectos hacen que sea necesario replantear la seguridad con que cuenta hasta ahora la organización, aunque también hay algunas entidades que están haciendo un trabajo prominente en asegurar sus sistemas informáticos.

Es fundamental que los directivos de las organizaciones que no se han ocupado lo suficiente en implementar un estricto sistema de seguridad se

...