¿Qué es auditoría informática? ¿cuáles son sus objetivos y alcances?

1. ¿Qué es auditoría informática? ¿cuáles son sus objetivos y alcances?

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Los objetivos generales de una auditoría informática son comprobar:

• que el procesamiento electrónico de datos cumpla con las políticas normativas y los procedimientos institucionales y legales vigentes.

• que existan procedimientos adecuados para la selección, uso y resguardo de los recursos informáticos de la entidad, tanto los aplicados a los activos físicos (hardware, redes de comunicación de datos), como intangibles (licencias de software, programas de aplicación, datos).

• que la consistencia y confiabilidad de los datos administrados por las aplicaciones en producción son suficientes.

 • que la adecuada y eficaz operación de los sistemas y de las aplicaciones informáticas de la entidad esté asegurada

1. ¿Cuáles son los campos de acción de la auditoría informática? ¿Qué actividades de revisión comprenden estos campos?

Los trabajos de Auditoría Informática se desarrollan en el contexto del departamento de Sistemas de una organización.

según el campo de acción o actividad que abarquen:

 ♦ Administración: implica auditar los aspectos relacionados con la administración del departamento de Sistemas. Evalúa aspectos tales como: organización y personal, planificación del área, procedimientos de operación y control, aspectos legales (contratos de mantenimiento, de outsourcing), análisis de costos, normas y políticas internas, capacitación, planes de trabajo, controles internos, estándares, etc.

♦ Explotación u Operaciones: supervisa las actividades vinculadas con los servicios prestados por el área de Sistemas: operación y administración del equipamiento, administración de bases de datos, conectividad a las redes de comunicación de datos, soporte técnico y ayuda a los usuarios. En particular, se ocupa de mantener operativas las aplicaciones que procesan las operaciones de la empresa.

♦ Desarrollo: audita las actividades de programación y mantenimiento de las aplicaciones de la organización. Evalúa los procedimientos y metodologías utilizadas para el desarrollo de las aplicaciones (proyectos de nuevos sistemas), las funciones de mantenimiento a los programas en producción, etc. Las actividades de auditoría para este sector se relacionan con: - Revisión de las metodologías y procedimientos utilizadas - Revisión del cumplimiento de plazos y de especificaciones - Medición de la satisfacción de los usuarios

1. ¿Cómo aplicaría la metodología COBIT? Compare con el enfoque propuesto en esta unidad.

COBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para las buenas prácticas de seguridad y control en Tecnología de Información.

El COBIT se fundamenta en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF - www.isaca.org), mejorados a partir de estándares internacionales técnicos, profesionales, regulativos y específicos para la industria, tanto los ya existentes como los que están surgiendo en la actualidad. Los Objetivos de Control resultantes han sido desarrollados para su aplicación en sistemas de información en toda la empresa. El término "generalmente aplicables y aceptados" es utilizado explícitamente en el mismo sentido que los Principios de Contabilidad Generalmente Aceptados. Para propósitos del proyecto, "buenas prácticas" significa consenso por parte de los expertos.

La misión de COBIT es investigar, publicar y promover un conjunto de objetivos de control en tecnologías de información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.

Cobit: implica una definición de métricas y controles, proporciona una vista global de los procesos TI. No incluye pasos ni tareas de procesos se centra mas en lo que la empresa necesita hacer mas que en como hacerlo. Mientras ITIL implica una definición de procesos y tareas a realizar. Define los mejores procesos de la practica para TI y aconseja como conseguirlos. Controles y procesos de seguridad .

Estos modelos se complementan y se pueden usar juntos, ITIL para lograr efectividad y eficiencia en los servicios TI y COBIT para verificar la conformidad en cuanto a disponibilidad, rendimiento, eficiencia y riesgos asociados de dichos servicios con los objetivos y estrategias de la compañía, usando para ellos métricas claves y cuadros de mando que reporten dicha información.

1. ¿Quiénes son los demandantes de una auditoría informática?

 En primer lugar, la Dirección de la empresa. Esto ocurre cuando se cuestiona internamente la calidad de la producción del área de Sistemas, sector considerado como piedra angular en muchas organizaciones. Esta inquietud es más frecuente en aquellas empresas que disponen de mecanismos de control interno eficaces (por ejemplo, departamento de auditoría interna) para evaluar su actividad. El Director de la entidad está a menudo en inferioridad de condiciones para evaluar una actividad técnica en la cual, generalmente, no ha sido formado. Por lo tanto, es del todo legítimo que haga uso de las competencias profesionales de un auditor informático para evaluar y comprobar el seguimiento de los mandatos oportunamente definidos para el área de Sistemas.

...