La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la auditoría externa de estados financieros que es una auditoría realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables. El origen etimológico de la palabra es el verbo latino “Audire”, que significa “oír”. Esta denominación proviene de su origen histórico, ya que los primeros auditores ejercían su función juzgando la verdad o falsedad de lo que les era sometido a su verificación principalmente oyendo
Auditoria informática
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.
Los objetivos de la auditoría Informática son:
* El control de la función informática
* El análisis de la eficiencia de los Sistemas Informáticos
* La verificación del cumplimiento de la Normativa en este ámbito
* La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
- Gobierno corporativo
- Administración del Ciclo de vida de los sistemas
- Servicios de Entrega y Soporte
- Protección y Seguridad
- Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, ISO, COSO e ITIL.
METODOLOGIA
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
§ Enfoque lo amplio que se desee.
§ Plan de trabajo flexible y reactivo.
§ Se concentra en la identificación de eventos.
Desventajas
§ Depende fuertemente de la habilidad y calidad del personal involucrado.
§ Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular.
§ Dependencia profesional.
Metodologías en Auditoría Informática.
Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de metodologías para la auditoría informática:
Ø Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.
Ø Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor.
No hay comentarios:
Publicar un comentario