Dirección de la auditoría de tecnologías de la información

Enviado por aylinmfjd • 24 de Septiembre de 2022 • Resúmenes • 2.050 Palabras (9 Páginas) • 48 Visitas

Página 1 de 9

Palabras claves

tecnologías de la información (TI)
Director de la auditoría interna (DAI)
Guía de auditoría de tecnología (GTAG)
Planificación de recursos empresariales (ERP o Enterprise resource planning)
Sistema de intercambio electrónico de datos (EDI)
Sistema de compensación electrónica (ACH)
Credenciales de identificación (facilities badging)
Directorio activo (Active directory)
Líneas base (baselines)
Control objectives for information and related technology (COBIT)
Marco de referencia (benchmark)
Identificaciones (IDs)

Introducción

A medida que las organizaciones aumentan su dependencia en las TI, surgen dos asuntos de importancia:

Probablemente un alto porcentaje de los controles internos claves para la organización son promovidos por la tecnología.
los sistemas que no poseen integridad o contengan deficiencias de control tendrán un mayor impacto sobre las operaciones de la organización así como su preparación para competir, lo cual aumenta la necesidad de controles efectivos de TI.

Definición de TI

La realidad es que las TI representan cosas diferentes para distintas organizaciones.
Una manera en que el DAI puede enfocar la definición de las TI es considerándolas por capas o niveles.

Consideración de cada nivel

Si el plan de auditoría de TI no contempla auditorías para cada nivel del entorno, es probable que el plan global no aborde el riesgo de TI de la organización de forma adecuada.

¿Cuáles son los niveles?

La dirección de TI.
La infraestructura técnica.
Las aplicaciones.
Las conexiones externas.

La organización de cada auditoría se deja a criterio del DAI.

Dirección de TI

Este nivel incluye el conjunto de las personas, políticas, procedimientos y procesos que gestionan al entorno de TI.

Monitorización del sistema: la monitorización incluye la identificación de transacciones que no se han contabilizado debido a un error de proceso, Hola detección cuando una base de datos se ha corrompido.
Programación: Esto se debe gestionar y supervisar de tal manera que los programas que contengan errores no causan un impacto sobre la integridad de los sistemas.
Planificación: el departamento de TI debe desarrollar planes estratégicos de TI tanto a largo como a corto plazo.
Gestión de la externalización de servicios: la gestión efectiva de esta relación es un elemento crítico para asegurar la integridad del entorno.
Gobierno de TI: el establecimiento de unas pautas sólidas al más alto nivel son componentes claves en la dirección de la función de TI.

Infraestructura técnica

Se refiere básicamente a los sistemas que sustentan, soportan y hacen posible la disponibilidad de aplicaciones primarias de negocio. Generalmente incluye:

Sistemas operativos: el grupo de programas que dan instrucciones a los sistemas informáticos para su funcionamiento.

Las acciones realizadas a nivel de sistema operativo normalmente sortean la mayoría de los controles y seguridad que existen en el nivel de procesos.

Base de datos: todos los datos de negocio, ya sean críticos o no, terminan por residir en algún tipo de base de datos en el entorno. Las bases de datos se componen de tablas que contienen datos que, entre otras cosas, forman la base de todos los informes de negocio.
Redes: la re consiste en componentes físicos tales como los cables, los dispositivos que gestionan el movimiento de tráfico de la red tales como interruptores, ruteadores o cortafuegos, además de los programas que controlan el movimiento de los datos.

Las auditorías de la infraestructura técnica tienden a centrarse más en la revisión de los parámetros de la configuración tienen los procesos

Aplicaciones

Las aplicaciones de negocios son programas que realizan tareas específicas relacionadas con la operaciones del negocio.

Normalmente se pueden clasificar en dos categorías:

Aplicaciones transaccionales: las aplicaciones transaccionales consisten principalmente en software que procesa y registra las operaciones del negocio. Normalmente pueden estar dentro de algunas de las siguientes categorías:

Ámbito de compras.
Ámbito de ventas.
Back-office/administración.
ERP.

Aplicaciones de soporte: las aplicaciones de soporte son programas de software especializados que facilitan la actividades de negocios aunque normalmente no procesan transacciones.

Gran parte de la atención por parte de auditoría de TI se debe orientar hacia las aplicaciones. No obstante, dependiendo del sector, algunas aplicaciones de soporte pueden también representar un alto riesgo.

Conexiones externas

La red corporativa no ópera de forma aislada.
El asunto aquí es que las redes externas no se encuentran bajo el control de la organización y por lo tanto, no se debe confiar en ellas.
Por lo tanto, es de vital importancia auditar los puntos de entrada y salida como mínimo.

La teoría del “copo de nieve” (snowflake Theory)

Esta teoría argumenta que todo entorno de TI es único y por lo tanto representa una serie de riesgos únicos.
Para lograr la efectividad, cada organización debe definir el enfoque de auditoría de TI y no de trabajo para la auditoría de TI que sean específicos a las necesidades del entorno en cuestión.

El factor de la configuración

Otro factor importante la teoría del “copo de nieve” es la configuración. Cuando una empresa despliega una determinada tecnología, la configura para soportar sus objetivos particulares.
La configuración tiene un impacto, además, en las aplicaciones de negocio.

Una serie de variables

Otras variables que tienen impacto sobre esta teoría son:

El grado de centralización de sistemas.
El grado de centralización geográfica.
El número de servidores.
La elección de tecnologías de infraestructura.
El grado de personalización de los sistemas.
Estructura organizativa del departamento de TI.
Las versiones de las tecnologías empleadas.
Las políticas comparativas.

La evolución del riesgo

La teoría del “copo de nieve” establece que cada empresa debe tener un perfil de riesgo que sea única para aquella organización.
La evolución del riesgo se basa en la ley de Moore indica que la densidad de los datos en circuitos integrados se duplica cada 18 meses, es decir, significa que la tecnología aumenta a un ritmo acelerado.
Como consecuencia de ello los riesgos de TI no son estáticos.
Para combatir el asunto de la opción de los riesgos el director de auditoría interna debe hacer lo siguiente:

Reconoce la naturaleza del riesgo y evaluar anualmente de forma independiente los riesgos.
Tener conocimiento de los planes a corto plazo de la empresa y cómo estás iniciativas pueden tener impacto en la valuación de riesgo de TI.
Actualizar cada componente de evaluación de riesgos.
Ser flexible con respecto al universo de auditoría de TI, estar dispuesto a adoptar procedimientos evolutivos.

Proliferación de los riesgos asociados a TI

...

Descargar como (para miembros actualizados) txt (13.2 Kb) pdf (86.5 Kb) docx (15.3 Kb)

Leer 8 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Auditor Se Declara Culpable De Fraude
NUEVA YORK | El contable David Friehling, auditor externo del financiero Bernard Madoff durante 17 años, se declaró hoy culpable de los nueve cargos que

3 Páginas • 1493 Visualizaciones
Auditores YOVENDO S.A.
Información de fondo: YOVENDO S.A. tiene domicilio legal en la Capital Federal. Se dedica a la importación, ensamble y venta de juegos de video. Su

3 Páginas • 971 Visualizaciones
L as estrías son el resultado del rompimiento de las fibras elásticas de la piel
Entendiendo las estrías L as estrías son el resultado del rompimiento de las fibras elásticas de la piel. Cuando la piel se estira las fibras

3 Páginas • 1579 Visualizaciones
LA RESPONSABILIDAD DEL AUDITOR
“INTRODUCCION” La norma que a continuación se presentan nos hace referencia a la responsabilidad del auditor para la detección de información significativamente errónea que resulte

27 Páginas • 2154 Visualizaciones
El auditor deberá usar juicio profesional para evaluar el riesgo de auditoría
400. EVALUACIÓN DE RIESGO Y CONTROL INTERNO Introducción El propósito de esta Norma Internacional de Auditoría es establecer normas y proporcionar lineamientos para obtener una

9 Páginas • 2013 Visualizaciones
INSTITUTO DE AUDITORES INTERNOS DE E.U.A
INSTITUTO DE AUDITORES INTERNOS DE E.U.A (I.I.A) INSTITUTO MEXICANO DE AUDITORES INTERNOS (I.M.AI.) THE INSTITUTE OF INTERNAL AUDITOS (IIA) Antecedentes históricos Iniciaba el año de

5 Páginas • 1044 Visualizaciones
Contador Publico Y Auditor
PLAN ESTRATÉGICO DE DESARROLLO Universidad de la Serena El presente documento contiene el Plan Estratégico de Desarrollo (PED) de la Universidad de La Serena (ULS)

4 Páginas • 1052 Visualizaciones
As The Old Saying Goes: "save Money For A Rainy Day"
As the old saying goes: “save money for a rainy day” The economic cycle theory, that attempts to explain and somehow forecast the long terms

2 Páginas • 1512 Visualizaciones
La Información sobre el predominio de AS es limitada, pero el desorden es más común en muchachos que en muchachas
Niños Asperger 4434332 La Información sobre el predominio de AS es limitada, pero el desorden es más común en muchachos que en muchachas (APA, 1994).

7 Páginas • 1668 Visualizaciones
Resolver Proble,As Que ImpliQuen El Analisis DEl Valor Posicional A Aprtir De La Descomposicion De Numeros Ensayos Y Documentos
Situacion Didactica CAMPO FORMATIVO: EXPLORACION Y CONOCIMIENTO DEL MUNDO ASPECTO: EL MUNDO NATURAL COMPETENCIA: OBESERVA SERES VIVOS Y ELEMENTOS DE LA NATURALEZA Y LO QUE

2 Páginas • 1994 Visualizaciones