Auditoria Informatica

INTRODUCCION.

El siguiente trabajo presentare algunas de las metodologías que existen para la realización de auditorías informáticas, la informática hoy es parte fundamental de la gestión integral de una empresa y por tal las normas y estándares propiamente informáticos deben estar sometidos a revisiones para su correcto funcionamiento.

Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática.

En la primer parte revisaremos los pasos que se siguen a la hora de realizar una auditoría en los sistemas de información, posteriormente revisaremos dos metodologías de las más utilizadas y finalmente realizare un análisis de cómo poder realizar una metodología de auditoría de información de acuerdo a mi área de trabajo, es importante mencionar que actualmente yo trabajo para una institución financiera desarrollando sistemas de aplicaciones bancarias y en este sentido dos veces por año son realizados controles por auditores, también se realizan auditorias por personal que envían del corporativo.

CONCEPTOS BASICOS.

Para iniciar revisaremos algunos conceptos sobre auditoria Informatica.

Auditoría informática

Es la evaluación y verificación de las políticas, controles, procedimientos y la seguridad en general, correspondiente al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección), a fin de que se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Según José A. Echenique, la auditoría en informática “es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo o de un sistemas o procedimiento especifico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles archivos, seguridad y obtención de información. Ello debe incluir los equipos de computo como la herramienta que permite obtener la información adecuada y la organización especifica que hará posible el uso de los equipos de cómputo” .

Según Mario Piattini Velthuis, la auditoría informática es “el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos” .

Auditoría de Sistemas.

Desde el punto de vista administrativo, cuando se habla de auditoría sistemas se refiere a los SISTEMAS DE INFORMACIÓN utilizados en las empresas públicas o privadas, mas no al computador como tal, que en sí es una herramienta de los sistemas de información. Se debe tener presente que la administración es un sistema abierto y por tanto cambiante en sus conceptos, técnicas y que está influenciada por lo que acontece en su alrededor.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también se puede decir que es el examen y evaluación de los procesos del área de Procesamiento Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas” .

METODOLOGÍA PARA REALIZAR AUDITORÍA

METODOLOGIA COBIT.

COBIT (Objetivos de Control para la información y Tecnologías relacionadas)

Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para tecnologías de información más utilizada en la ejecución de auditorías; a continuación se explica detalladamente algunos conceptos manejados por ésta y los dominios, procesos y actividades que lo conforman:

Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.

Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más productiva y económica) de recursos.

Confidencialidad. Se refiere a la protección de información sensible contra divulgación no autorizada.

Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio.

Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio impuestos externamente.

Confiabilidad de la información. Se refiere a la provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento.

Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.

Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.

Tecnología. La tecnología cubre

...