_ap_ufes{"success":true,"siteUrl":"www.gestiopolis.com","urls":{"Home":"http://www.gestiopolis.com","Category":"http://www.gestiopolis.com/tema/administracion/","Archive":"http://www.gestiopolis.com/2015/05/","Post":"http://www.gestiopolis.com/globalizacion-y-su-impacto-en-el-manejo-de-las-relaciones-internacionales/","Page":"http://www.gestiopolis.com/archivo/","Attachment":"http://www.gestiopolis.com/impacto-de-la-globalizacion-en-la-economia-educativa/impacto-de-la-globalizacion-en-la-economia-educativa4/","Wpcf7_contact_form":"http://www.gestiopolis.com/?post_type=wpcf7_contact_form&p=325591"}}_ap_ufee

Auditoría y control de sistemas de información en tecnología

“AUDITORI
INF
Ana Itze
TEMA:
AUDITORIA DE SISTEMAS DE
INFORMACION”
PRESENTA:
Ana Itzel Betanzos Rodríguez
MAS DE
guez
DEFINICONES
Cualquier transfer
empresa termina
necesario en el fut
capas directivas,
información. Para
conocimiento actua
sabes, se queda obs
Peter Drucker
Como mencionaba Peter Dru
que tiene para llegar a los usu
sistemas de información. La
para verificar el estado actua
para comprender mejor la fu
y así definirla mejor, el siguie
una de sus partes:
AUDITORIA:
Proviene del latín audire(󰜝oír󰜞), que hace referencia a la forma en
que los primeros auditores cumplían con su función (escuchaban
y juzgaban la verdad o falsedad de lo que era sometido a su
verificación)
SISTEMA:
Del latín systema, un sistema es módulo ordenado de
elementos que se encuentran interrelacionados y que
interactúan entre sí. El concepto se utiliza tanto para definir
a un conjunto de conceptos como a objetos reales dotados
de organización
INFORMACION:
Conjunto organizado de datos, que constituye
un mensaje sobre un cierto fenómeno o ente. La información
permite resolver problemas y tomar decisiones, ya que su
uso racional es la base del conocimiento
DEFINICONES
ferencia de información a lo largo de la
a difuminando el mensaje. Por eso es
l futuro que las empresas dispongan de poc
s, aunque con gran habilidad en el manejo
ara ello, necesitamos profesionales con un
ctualizado, porque la información, como bi
da obsoleta con increíble rapidez.
ter Drucker la información suele difuminarse en
los usuarios finales, es por ello que surge la audi
n. La auditoria de los sistemas de información
actual de los sistemas de información de la emp
r la función de esta es necesario ir a la raíz de su
siguiente esquema nos representa las definicion
AUDITORIA:
Proviene del latín audire(󰜝oír󰜞), que hace referencia a la forma en
que los primeros auditores cumplían con su función (escuchaban
y juzgaban la verdad o falsedad de lo que era sometido a su
verificación)
SISTEMA:
Del latín systema, un sistema es módulo ordenado de
elementos que se encuentran interrelacionados y que
interactúan entre sí. El concepto se utiliza tanto para definir
a un conjunto de conceptos como a objetos reales dotados
de organización
INFORMACION:
Conjunto organizado de datos, que constituye
un mensaje sobre un cierto fenómeno o ente. La información
permite resolver problemas y tomar decisiones, ya que su
uso racional es la base del conocimiento
DEFINICONES
pocas
jo de
un
o bien
se en el recorrido
a auditoria de los
ación nos apoya
a empresa,: pero
de sus palabras
iniciones da cada
Entonces un sistema de información es un conjunto organizado de elementos, que
pueden ser personas, datos, actividades o recursos materiales en general, los
cuales interactúan entre si para generar información y esta pueda servir de base
al conocimiento.
La auditoria pues de los sistemas de información se basa en la forma en que se
obtienen esos elementos y su seguridad dentro del sistema.
En plena era de la información, las empresas se han dado cuenta de la
importancia que juega la información dentro de su organización, es por ello que
buscaran la mejor forma de resguardarlas y verificar que esta este siendo real y
cumpla con la función de informar correctamente a las personas adecuadas. Es
por ello que la auditoria general se especializo y dio paso a la auditoria informática
y mas especializada aun a la auditoria de los sistemas de información que toda
aquella información que interactúa en la organización y le repercute.
Clasificación de la auditoria
Toda información es importante si está conectada a otra.
Umberto Eco
La auditoria se entiende como un proceso sistemático que consiste en obtener y
evaluar objetivamente evidencias sobre las afirmaciones relativas, los actos y
eventos económicos; con el fin de determinar el grado de correspondencia entre
esas afirmaciones y los criterios establecidos, es decir comprobar la veracidad de
lo que se dice. Los inicios de la auditoria fueron principalmente contables con
carácter financiero, pues era lo que mas interesaba al propietario de una empresa.
La sociedad capitalista de la era industrial, se preocupaba mucho por es aspecto
económico, olvidando otros aspectos que encerraban en la organización, mas con
el paso del tiempo y los avances tecnológicos se hace necesario la ramificación de
la auditoria quedando esta de forma general de la siguiente forma:
En base a esta clasificación genérica, podemos decir que la auditoria financiera
fue el origen, y posteriormente dio lugar a la operativa debido al alcance y la
importancia que los usuarios del informe de auditoria, requieran sobre algunas
AREAS DE LA
ESPECIALIZACION
SE ESPECIALIZASE DIVEDEORIGEN
AUDITORIA
FINANCIERA
OPERATIVA
RECURSOS
HUMANOS
AMBIENTAL
SISTEMAS DE
INFORMACION
INFORMATICA
INTERNA
EXTERNA
VERBAL
OTRAS...
áreas operativas de la empresa volviendo a la auditoria mas especializada
todavía.
Así pues la auditoria financiera examina estados financieros conforme a las
normas internacionales de auditoria generalmente aceptado, los registros y
operaciones correspondientes para determinar la observancia de los principios de
contabilidad generalmente aceptados y dar así un sentido de confiabilidad en las
finanzas.
Por otra parte la administración operativa es un examen sistemático de las
actividades de una organización ( o de un segmento estipulado de las mismas) en
relación con objetivos específicos, a fin de evaluar el comportamiento, señalar
oportunidades de mejora y generar :
Recomendaciones para el mejoramiento
O potenciar el logro de objetivos
La auditoria de sistemas de información pertenece a la rama de la auditoria
operativa. Y esta se encarga de llevar a cabo la evaluación de normas, controles
técnicas y procedimientos que tienen establecidas en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la información que se
procesa a través de los sistemas de información.
Debido a que la mayoría de los Sistemas de información están regulados o
sustentados en la tecnología, esta es un área principal sobre la cual se hace
mucho énfasis, siendo en coordinación con personas especializadas en
informática que el auditor se apoya para lograr una correcta evaluación y así un
buen informe que de la información necesaria a los interesados.
Tipos de sistemas de información:
Existe un principio que se resiste a toda información, que se
resiste a toda investigación, que nunca deja de mantener al
hombre en una ignorancia perenne... Es el principio de
desestimar lo que no se ha investigado.
Herbert Spencer
Para Comprender mejor los diversos tipos de sistemas de información se debe
comprender los elementos que conforman el sistema de información los cuales se
ven mas detallados en el siguiente esquema:
Asi pues vemos que los sistemas de información se pueden clasificar de acuerdo
a las personas que lo integran, el tipo de información que se tiene y su origen y los
recursos o medios por los cuales puede crearse.
En base a las personas tenemos que se pueden agrupar por, internas y externas,
además de la siguiente forma.
PERSONAS
RECURSOS O
MEDIOS
INFORMACION
Así como también se pueden
toma de decisiones:
No podemos olvidar tambié
información ya sean interno
siguientes:
INFORMACION
DE RECURSOS
HUMANOS
INFORMACION
DE VENTAS
INFORMACION
ESTRATEGICA
INFORMACION
TACTICA
INFORMACION OPERATIVA
ueden agrupar al nivel de información que propo
ambién los medios que se utilizan dentro del
internos o externos son muy variados y pued
INFROMACION
CONDENSADA
EN DIRECCION
INFORMACION
DE VENTAS
INFORMACION
DE MARKETING
INFORMACION
DE FINANZAS
INFORMACION
DE
PRODUCCION
INFORMACION
ESTRATEGICA
INFORMACION
TACTICA
INFORMACION OPERATIVA
proporciona a la
del sistema de
pueden ser los
INFORMACION
DE
PRODUCCION
PRIMARIOS
󰜣medios propios "EL
SER HUMANO"
SECUNDARIOS
Necesitan el empleo
de técnicas
(tecnologías) del
lado del productor
de contenidos. El
receptor de la
información no
necesita ningún
dispositivo para
decodificar la
información
TERCIARIOS
󰜣Necesitan el
empleo de técnicas
(tecnologías) del
lado del productor
de contenidos y
del receptor.
Ejemplos:
Telegrafía,
televisión,
CUATERNARIOS
󰜣Permiten tanto la
comunicación
sincrónica como
asincrónica
(interacción).
Necesitan el
empleo de técnicas
(tecnologías) del
lado del productor
de contenidos y
del receptor. La
división de estos
últimos (productor
y receptor) tiende
a desaparecer, así
como el tiempo y
la distancia.
Sistemas de información avanzados
Cuanta más información posees, más enlaces mentales
construyes, y, como consecuencia, tu memoria se hace más
sólida.
Tony Buzan
Por sistemas de información avanzados en este capitulo nos vamos a refería a
todos aquellos sistemas informáticos que recaban información de cada una de las
áreas de la empresa a través de diferentes procesos para su correcta aplicación
en algunos sistemas que forman parte de la arquitectura de software
especializados para la toma de decisiones de cada área.
Un ejemplo del esquema de estos sistemas de información avanzados se presenta
en la siguiente imagen:
Nos encontraremos con un sistema compuesto de varias capas o niveles
que se superponen y en todas ellas se pueden producir determinados riesgos que
deben ser considerados en nuestro análisis, tal como veremos s adelante.
Estas capas son:
1. La primera capa está formada por la infraestructura física
Contiene básicamente los elementos materiales, el hardware:mmainframe,
sistemas periféricos, servidores, sistemas de comunicaciones, pc, etc.
2. Sobre la capa anterior, para hacer que funcionen los elementos físicos y el resto
del software, se ubican los sistemas operativos (SO) Los principales SO utilizados
en entidades medianas y grandes son: UNIX-Linux (en sus distintas versiones),
MS Windows Server (también con varias versiones) y Windows XP-Vista en las
estaciones de trabajo.
3. La siguiente capa, que funciona sobre los SO, la llamaremos sistemas TI de
base
Este término recoge una gran diversidad de plataformas posibles soportando las
aplicaciones del siguiente nivel. Se incluyen en este nivel los sistemas de gestión
de bases de datos SGBD (los más utilizados son Oracle Database, DB2, MS-
SQL Server), componentes de base de aplicaciones integradas y sistemas más
técnicos como el middleware (SAP Basis, NetWeaver, Oracle Fusion, IBM
WebSphere), que permite integrar muy diversas aplicaciones y sistemas.
4. Aplicaciones de negocio o aplicaciones de gestión Este nivel contiene los
elementos automatizados de los procesos de la entidad, las aplicaciones
informáticas propiamente dichas que soportan los procesos de negocio y las
principales líneas de actividad de la entidad
Aquí pueden encontrase muchas aplicaciones disponibles en el mercado, las más
habituales están basadas en Oracle E-Business Suite, SAP R/3, SAP ERP 6.0 o
Microsoft Dynamics.
Todas ellas tanto en una configuración estándar, como muy adaptada o como
desarrollo propio, funcionan sobre los SGBD y componentes de base incluidos en
la capa precedente.
5. Procesos de negocio o procesos de gestión: Principales procesos de la entidad,
presentados por áreas de actividad y subdivididos en subprocesos y en
actividades individuales.
Están soportados por las aplicaciones informáticas del nivel anterior.
Como se desprende de la esquemática y breve explicación de la estructura de un
sistema de información, las distintas capas o niveles están interrelacionados, y los
riesgos y debilidades en una de ellas pueden afectar al conjunto del sistema y
consecuentemente tener impacto en las cuentas anuales, que son el reflejo de la
actividad económico y financiera de una entidad durante un ejercicio económico.
Para minimizar esos riesgos el auditor debe analizar a fondo el conjunto del
sistema de información con una metodología adecuada, como la que se propone
en el presente trabajo
De una forma s gráfica, aunque sustancialmente similar, al esquema
representado en la figura
Objetivo de la auditoria de sistemas de
la información
La información es todo un arte. Cómo captar. Cómo
descartar. Porque hay en la noticia, en el rumor, en todas
esas cosas una acción sobre la que ha de decidir. Es
necesario aislar lo que no conviene y hacer llegar solamente
lo que conviene que llegue, porque de lo contrario se está
induciendo al error y a la falsa apreciación.
Juan Domingo Perón
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta
gerencia para mejorar o lograr un adecuado control interno en ambientes de
tecnología informática con el fin de lograr mayor eficiencia operacional y
administrativa. Todo esto a través de los siguientes objetivos específicos
Participación en el desarrollo de nuevos sistemas; buscando una evolución en
coordinación con las nuevas tecnologías y sus apoyos de protección y eficiencia
en el rubro
Evaluación de la seguridad en el área informática; desde la entrada de datos hasta
la concentración de estos en información, pera genera conocimiento a los
usuarios.
Evaluación de suficiencia en los planes de contingencia.: basándose en la
capacidad e reacción de los mismos y su capacidad de adaptación.
Respaldos, buscando con ello prever qué va a pasar si se presentan fallas.
Opinión de la utilización de los recursos informáticos. En base a las políticas de la
empresa y criterio del auditor
Resguardo y protección de activos. Verificando la asignación de lugares y de
responsables en esta área
Control de modificación a las aplicaciones existentes.
Fraudes
Control a las modificaciones de los programas.
Participación en la negociaci
Revisión de la utilización del
Utilitarios.
Control sobre la utilización de
Programas utilitarios.
Auditoría de la base de datos.
Estructura sobre la cual se d
Objetivos espeficos de la a
Auditoría de la red de telepro
Desarrollo de software de
sistemas bien implementada
control continuo de las opera
En donde la unión de los obje
Trata de
Colaboracion con auditores externos
Formacion de la informacion interna
Mecanizacion de las actividades de la
auditoria interna
ociación de contratos con los proveedores.
n del sistema operativo y los programas
ción de los sistemas operativos
datos.
l se desarrollan las aplicaciones...
e la auditoria de sistemas
eleprocesos.
e de auditoría. Es el objetivo final de una a
entada, desarrollar software capaz de estar eje
operaciones del área de procesamiento de datos.
s objetivos
Colaboracion con auditores externos
Formacion de la informacion interna
Mecanizacion de las actividades de la
auditoria interna
Verifica
Los aspectos organizativos y adminnistrativos
de la funcion del proceso de datos
El control de acceso del ciclo de vida del
sistema
El control de accesos a las intalaciones
terminales, librerias, webs, database etc..
na auditoría de
ar ejerciendo un
datos.
Los aspectos organizativos y adminnistrativos
de la funcion del proceso de datos
El control de acceso del ciclo de vida del
sistema
El control de accesos a las intalaciones
terminales, librerias, webs, database etc..
Pasos para implementar una auditoria
de sistemas
La comunicación no conlleva comprensión. La información,
si es bien transmitida y comprendida, conlleva
inteligibilidad, primera condición necesaria para la
comprensión, pero no suficiente.
Edgar Morin
Al igual que la auditoria financiera esta debe llevar un esquema que se basa en la
auditoria genérica y para simplificar los pasos son los siguientes:
Pero como estándar analizaremos las cuatro fases básicas de un proceso de
revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados
1. Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de
auditoría, efectuar visitas a la unidad informática para conocer detalles de la
misma, elaborar un cuestionario para la obtención de información para
evaluar preliminarmente el control interno, solicitud de plan de actividades,
Manuales de políticas, reglamentos,
Entrevistas con los principales funcionarios del PAD.
2. Revisión y evaluación de controles y seguridades.- Consiste de la revisión
de los diagramas de flujo de procesos, realización de pruebas de
cumplimiento de las seguridades, revisión de aplicaciones de las áreas
criticas, Revisión de procesos históricos (backups), Revisión de
documentación y archivos, entre otras actividades.
3. Examen detallado de áreas criticas.-Con las fases anteriores el auditor
descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo
en los que definirá concretamente su grupo de trabajo y la distribución de
carga del mismo, establecerá los motivos, objetivos, alcance Recursos que
usará, definirá la metodología de trabajo, la duración de la auditoría,
Presentará el plan de trabajo y analizará detalladamente cada problema
encontrado con todo lo anteriormente analizado.
4. Comunicación de resultados.- Se elaborará el borrador del informe a ser
discutido con los ejecutivos de la empresa hasta llegar al informe definitivo,
el cual se presentará esquemáticamente en forma de matriz, cuadros o
redacción simple y concisa que destaque los problemas encontrados, los
efectos y las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
Control de sistemas de información
Cuando la informa
Jim Rohn
El propósito de los contro
establecer procedimientos d
con el fin de asegurar r
autorizadas y registradas, y
oportuna.
Buscando con ello la implem
así como la seguridad y rigu
de los riesgos que conlleve
requiera la información, así
privado.
Visualmente podemos ver co
control de información y otro
Comparando los controles d
podemos decir que buscamo
sea pesada, para poder prote
.
Control de sistemas de información
ormación se organiza, surgen las ideas.
controles de aplicación en un entorno inform
tos de control específicos en las aplicaciones
rar razonablemente que todas las transacci
as, y que son procesadas de forma completa, a
plementación de los controles adecuados para
y rigurosidad que llevaran cada uno de ellos, de
nlleven determinada actividad o de la rapidez
, así como del conocimiento que se espera se
ver con los siguientes ejemplos los efectos d
y otro tipo de control
oles de los sistemas con las imágenes que se
scamos una correcta implantación de los contro
r proteger la información de la que disponemos.
.
Control de sistemas de información
informatizado es
ones de negocio
nsacciones son
leta, adecuada y
s para cada área,
los, dependiendo
pidez en que se
ra sea publico o
ctos de un buen
ue se presentan
controles, que no
mos.
COBIT
Un buen diseño para un ingeniero en informática puede que
no sea tan bueno para una persona que no esté relacionada
con sistemas. Muchos ingenieros no reconocen eso y
surgen problemas.
Jakob Nielsen
CobiT (Control Objectives for Information and Related Technology) es un marco
conceptual para el buen gobierno de las tecnologías de la información, que fue
desarrollado originalmente en 1994 por ISACA.
La versión 4.1 de CobiT fue publicada en 2005 por el IT Governance Institute
(ITGI). CobiT es una referencia de control interno sobre procesos informáticos
internacionalmente aceptada.
Se utiliza como metodología para definir y monitorizar el control interno
relacionado con los sistemas de información de las entidades y también como
metodología de auditoría.
Define procesos relacionados con la función informática así como los elementos
de control, buenas prácticas, gestión y auditores.
Desde un punto de vista práctico, tiene que ser «adaptado» en función del tamaño
y la misión de la organización. El Tribunal de
El marco de trabajo general CobiT se muestra gráficamente en la figura siguiente,
con el modelo de procesos de CobiT compuesto de cuatro dominios que contienen
34 procesos genéricos, administrando los recursos de TI para proporcionar
información al negocio de acuerdo con los requerimientos del negocio y de
gobierno y cualquier otro usuario
MARCO DE TRABAJO DE COBIT
Bibliografía
DE, D. (s.f.). DEFINICION.DE. Recuperado el 20 de 09 de 2011, de
DEFINICION.DE: http://definicion.de/
GARCIA, J. A. (s.f.). AUDITORIA EN INFORMATICA. MC GRAW HILL.
GARCIA, J. R., & URAN, M. E. (2003). DE LA GESTION DE LA INFORMACION A
LA GESTION DEL CONOCIMIENTO. INVESTIGACION
BIBLIOTECOLOGICA, 54-69.
INSTITUTO TECNOLOGICO DE CHETUMAL. (s.f.). INSTITUTO TECNOLOGICO
DE CHETUMAL. Recuperado el 10 de 2011, de www.itchetumal.edu.mx/
ROY, A. M. (2010). LA AUDITORIA DE SISTEMAS DE INFORMACION
INTEGRADA EN LA AUDITORIA FINANCIERA, LA PERSPECTIVA DEL
SECTOR PUBLICO. VALENCIA: GENERALITAT VALENCIANA.

Compártelo con tu mundo

Cita esta página
Betanzos Rodríguez Ana Itzel. (2011, diciembre 14). Auditoría y control de sistemas de información en tecnología. Recuperado de http://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-tecnologia/
Betanzos Rodríguez, Ana Itzel. "Auditoría y control de sistemas de información en tecnología". GestioPolis. 14 diciembre 2011. Web. <http://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-tecnologia/>.
Betanzos Rodríguez, Ana Itzel. "Auditoría y control de sistemas de información en tecnología". GestioPolis. diciembre 14, 2011. Consultado el 25 de Mayo de 2015. http://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-tecnologia/.
Betanzos Rodríguez, Ana Itzel. Auditoría y control de sistemas de información en tecnología [en línea]. <http://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-en-tecnologia/> [Citado el 25 de Mayo de 2015].
Copiar
Imagen del encabezado cortesía de aditza121 en Flickr

También en Administración