Miguel Angel Martinez: Importancia de la auditoría informática en las organizaciones

E- GOBIERNO Y EL RIESGO

RESUMEN

Hoy día los sistemas de información son el alma de organizaciones, empresas y del estado, el grado de responsabilidad reposa en los sistemas, datos e información, ellos están encaminados al logro de los objetivos internos, estos se pueden mejorar y mantener teniendo una adecuada sistematización, control y documentación.

El software libre y el software propietario son extensos y no exentos de infalibilidades. Ambos tipos de softwares interactúan muchas veces de maneras inesperadas porque tanto los Estados como las empresas deben buscar, cada vez con mayor frecuencia, soluciones integradas para procesos cada vez más complejos y desafiantes

La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización.

Descriptores: e-gobierno. Riesgo, software libre, software propietario, control.

viernes, 24 de agosto de 2018

Importancia de la auditoría informática en las organizaciones

Nubia Fernández Grajales

La informática está inmersa en la gestión integral de la organización. A finales del siglo XX, los sistemas de TI (tecnologías de la información) se constituyeron como las herramientas más poderosas para cualquier organización, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, así como una elevada inversión en ellas. Debido a la importancia que tienen en el funcionamiento de una organización, existe la auditoría informática.

El término de auditoría se ha empleado con frecuencia de forma incorrecta, porque ha sido tomado como sinónimo de detección de errores y fallas. El concepto de auditoría es mucho más que eso, pues tiene como fin evaluar y mejorar la eficacia y eficiencia de una organización, al examinar su gestión.

Al igual que cualquier área de la organización, los sistemas de TI deben estar sometidos a controles de calidad y auditoría informática porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera información errónea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseñado puede convertirse en una herramienta muy peligrosa para la gestión y la coordinación de la organización.

¿Qué es la auditoría informática?

Es un proceso evolutivo “que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aportación al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”1.

Sus beneficios son:

Mejora la imagen pública.

Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en TI.

Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

La metodología empleada en la auditoría informática es similar a las fases que componen una auditoría tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evalúa el control interno establecido para determinar la probable efectividad y eficiencia del mismo; posteriormente, se aplican pruebas de auditorías para verificar la efectividad de los procedimientos de control (pruebas de cumplimiento), o de los productos de los procesos de trabajo (pruebas sustantivas).

Después se informan los resultados de las auditorías, con el fin de reportar las sugerencias correspondientes a las oportunidades de mejora encontradas y finalmente, se efectúa el seguimiento para evaluar el nivel del cumplimiento y el impacto de las recomendaciones hechas.

Para que las organizaciones puedan asegurar que construyen proyectos de tecnología de información que cubren de manera adecuada las necesidades del cliente, en forma eficiente y oportuna, y dentro del presupuesto contemplado, existe una asociación internacional denominada Information Systems Audit and Control Association (ISACA), cuya misión es la de mejorar el reconocimiento de la profesión de auditoría y control de las TI mediante la elaboración de estándares y prácticas, así como capacitación y certificación de sus miembros a través de la fundación (Information Systems Audit and Control Association).

De igual forma, existe un estándar internacional conocido como Control Objetives for Information and Related Technology (COBIT), que sirve como guía para la buena práctica de la auditoría de las TI, emitido por la ISACA. Éste contempla los procesos típicos de la función de TI, agrupados en cuatro dominios:

- Planificación y organización: identificación de la forma en que las TI pueden contribuir de la mejor manera al logro de los objetivos institucionales, y al establecimiento de una organización e infraestructura tecnológica apropiada.

- Adquisición e implementación: para llevar a cabo la estrategia de TI es necesario identificar, desarrollar o adquirir soluciones de TI adecuadas, así como implementarlas e integrarlas dentro del proceso del negocio. Además, cubre los cambios y el mantenimiento realizados a sistemas existentes.

- Distribución y soporte: corresponde a la entrega de los servicios requeridos, desde las tradicionales operaciones sobre seguridad y continuidad, hasta la capacitación, así como los procesos de soporte necesarios.

- Monitoreo: todos los procesos necesitan ser evaluados de forma regular a través del tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

COBIT, en su tercera edición, presenta un modelo de madurez basado en el modelo de Evolución de Capacidades de Software (CMM) desarrollado por el Instituto de Ingeniería de Software (SEI), que establece métricas para evaluar y calificar el nivel de madurez de los controles de TI, los cuales deben ser alineados con el nivel correspondiente de los procesos de TI.

Por lo anterior, se puede afirmar que el éxito de un organismo depende de los controles de evaluación de la eficacia y eficiencia de sus sistemas de TI. Hoy en día, las organizaciones estructuran su información en sistemas de TI, debido a ello, es de vital importancia que éstos funcionen de forma correcta e ininterrumpida para la productividad y supervivencia futura de una organización.

No hay comentarios:

Publicar un comentario

El cumplimiento de las auditorias.

Toda organización debe contar con mecanismos o sistemas que permitan al administrador cerciorarse e informarse sobre la situación real, detectar posibles desviaciones y de esta manera tomar las acciones correctivas.

Dicho mecanismo se conoce como control de gestión el cual es un sistema de información estadística, financiera , administrativa y operativa que puesta al servicio de la directiva de la organización, le permite tomar decisiones acertadas y oportunas, adoptar las medidas correctivas que correspondan y controlar la evolución en el tiempo de las principales variables y procesos (Beltrán, 2000).

Aunque existen ciertas prácticas y normas comunes para la realización de la auditoria de Estado en el mundo, cada país la organiza de acuerdo a las peculiaridades de su legislación y costumbres. En Venezuela, la experiencia de control que se conoce en los Organismos Públicos, es el control fiscal de carácter jurídico- contable, hasta ahora ejercido por la Contraloría General de la República, Las Contralorías Estadal es, Las Contralorías Municipales y Los Órganos de Control Interno de los distintos organismos y entidades públicas, dirigido a controlar el cumplimiento de los planes y programas de los Órganos de la Administración, los costos y los resultados de la acción administrativa.

AUDITORIA DE SISTEMAS DE INFORMACIÓN

¿Qué es la Auditoria en Sistemas de Información?

Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir una opinión acerca de:

· La eficiencia en la adquisición y utilización de los recursos informáticos.

· La confiabilidad, la integridad, la seguridad y oportunidad de información.

· La efectividad de los controles en los sistemas de información

Una auditoria de SI es diferente de una auditoria de estados financieros. Mientras que una auditoria financiera su propósito es evaluar si una organización está cumpliendo con las prácticas contables habituales, los efectos de una auditoria de SI deben evaluar el diseño del sistema de control interno y la eficacia. Esto incluye pero no se limita a la eficiencia y protocolos de seguridad, los procesos de desarrollo o de supervisión de SI. El objetivo es evaluar la capacidad de la organización para proteger sus activos de información y debidamente prescindir de la información a personas autorizadas.

La auditoria de SI se centra en determinar los riesgos que son relevantes para los activos de información, y en la evaluación de los controles a fin de reducir o mitigar estos riesgos. Mediante la implementación de controles, el efecto de los riesgos se puede minimizar, pero no puede eliminar por completo todos los riesgos.

Seguidores

E- GOBIERNO Y EL RIESGO

viernes, 24 de agosto de 2018

Importancia de la auditoría informática en las organizaciones

No hay comentarios:

Publicar un comentario

10 Mejores Practicas de Ciberseguridad

Datos personales

Vídeos sobre Auditorias

Archivo del blog

Wikipedia