La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, también permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es critica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
· El control de la función informática
· El análisis de la eficiencia de los Sistemas Informáticos
· La verificación del cumplimiento de la Normativa en este ámbito
· La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática mejora ciertas características en la empresa como:
· Eficiencia
· Eficacia
· Rentabilidad
· Seguridad
La auditoria informática se desarrolla o combina en las siguientes áreas:
· Gobierno corporativo
· Administración del Ciclo de vida de los sistemas
· Servicios de Entrega y Soporte
· Protección y Seguridad
· Planes de continuidad y Recuperación de desastres
· Auditoria de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
· Auditoria legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
· Auditoria de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
· Auditoria de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
· Auditoria de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
· Auditoria de la seguridad física: Referido a la ubicación de la organización. También está referida a las protecciones externas (arcos de seguridad, vigilantes, etc.) y protecciones del entorno.
· Auditoria de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
· Auditoria de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
· Auditoria de la seguridad en producción: Frente a errores, accidentes y fraudes.
· Independencia y objetividad
· Madurez
· Capacidad de síntesis
· Análisis y seguridad en sí mismo.
Herramientas de un auditor informático:
· Observación
· Realización de cuestionarios
· Entrevistas a auditados y no auditados
· Muestreo estadístico
· Flujogramas
· Listas de chequeo
Otras materias que están reguladas en materia informática:
· Ley de auditoria de cuentas.
Ninguna de éstas normas definen quien puede ser auditor informático, pero debe disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoria, siendo por tanto aceptables equipos multidisciplinarios formados por informáticos y licenciados en derecho especializados en el mundo de la auditoria.
· Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida.
· Pruebas sustantivas: Aportan al auditor informático las suficientes evidencias y que se pueda formar un juicio. Verifican asimismo la exactitud, integridad y validez de la información.
· Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización).
No hay comentarios.:
Publicar un comentario