lunes, 22 de abril de 2013
domingo, 21 de abril de 2013
lunes, 21 de enero de 2013
RESUMEN DE TIPOS DE AUDITORIA DE SISTEMAS Y MAPA CONCEPTUAL
¿Qué son las auditorias de sistemas de calidad y tipos de auditoría?
Definición:
Una auditoria es una actividad
de información, la cual se puede verificar el cumplimiento de sistemas calidad
establecido y la efectividad de dicho sistema, caso contrario evaluar la
necesidad de una mejora o de algo correctivo.
Aspectos:
a) Existe un sistema de
calidad previamente establecido
b) Se cumple el sistema de
calidad
c) El sistema es adecuado
Una condición para la
auditoria y el auditor es que existan reglas que afectan a la empresa. Estas
consisten en las normas ISO de la serie 9000.
El sistema de calidad está
documentado en documentos tales como el Manual de Calidad, Procedimientos e
Instrucciones, etc.
Manual de Calidad: se describe la filosofía de la calidad de la
empresa y “QUE” hace para asegurar calidad de producto o servicio.
Procedimientos e Instrucciones: la forma en que lleva a cabo lo
indicado en el manual de calidad. Indica el “COMO” lo hace la empresa.
Tipos de Auditorias
Existen varias formas de
clasificar las auditorias: del sistema de calidad, del proceso, del producto,
que a su vez pueden ser internas o externas y de adecuación o de cumplimiento.
Auditorias de Sistemas de Calidad:
Son una actividad que se
realiza para comprobar, mediante un examen y evaluación de evidencias, que el
sistema de calidad es adecuado y ha sido desarrollado, documentado e implantado
de acuerdo a los requisitos.
Auditoria de Calidad de Producto:
Consiste en la estimación
cuantitativa del cumplimiento de características requeridas en el producto.
Auditorías Internas:
Siendo la propia empresa quien
investiga sus propios sistemas, procedimientos, y actividades para saber que
son adecuados y que se cumplen.
Auditoría Externa:
Desarrollada por una empresa
sobre sus propios suministradores o subcontratistas o que realiza un cliente
sobre ella.
Auditorias por tercera parte:
Efectuadas por un organismo
independiente que verifica la efectividad
del sistema de calidad y el cumplimiento de las normas internacionales
de calidad (ISO).
Auditoria de Adecuación:
Conocida como auditoria de
sistema o de dirección. Labor de despacho, determina si el sistema de calidad
documentado mediante el manual de calidad, sus procedimientos, instrucciones de
trabajo y registros, cumple con los requisitos de una norma, y si proporciona
evidencias objetivas de que el sistema ha sido diseñado para ello.
Auditoria de cumplimiento:
Trata de determinar el nivel
de implantación del sistema de calidad.
Auditoria operativa:
Examen posterior, profesional
objetivo y sistemático de la totalidad aparte de las operaciones de una
entidad, proyecto, programa inverso o contrato en particular, sus unidades
operacionales economía, eficacia, eficiencia.
Auditoria informática de sistemas
Analiza procedimientos,
métodos de la empresa. Se audita por separado. Medios de comunicación. Mejora
control interno. Identifica puntos débiles de los sistemas. Genera
recomendaciones cambios de sistemas actualización.
Auditoria administrativa:
Fases de proceso
administrativo que aseguran el cumplimiento con políticas como planes,
programas, leyes y reglamentación. Impacto significativo en operación de
reportes y asegurar el cumplimiento y respetándolo.
Auditoría financiera:
La finalidad es la emisión de
informe. El auditor da su opinión sobre la situación financiera. Mediante
evidencia de auditoría. Ayuda a maximizar el desarrollo de la empresa a nivel
financiera.
Auditoría de gestión:
La auditoría de gestión aunque
no tan desarrollada como financiera, es si se quiere de igual o mayor
importancia que esta ultima pues sus efectos tienen consecuencias que mejoran
en forma apreciable el desempeño de la organización.
Auditoria a los planes de desarrollo empresarial:
Permite fijar metas.
Identifica posibles eventualidades. Pretende crear estrategias para logras
ciertos objetivos. La auditoria al igual que cualquier otra actividad requiere
una buena planeación.
AUDITORIA INFORMÁTICA COMPLETO
La auditoría informática es un
proceso llevado a cabo por profesionales especialmente capacitados para el
efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar
si un sistema de
información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización,
utiliza eficientemente los recursos, y cumple con las leyes y regulaciones
establecidas. Permiten detectar de forma sistemática el uso de los recursos y
los flujos de información dentro de una organización y determinar qué
información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes. en si la auditoria informática
tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro
de la empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su
nombre lo dice es aquella en la cual la empresa contrata a personas de afuera
para que haga la auditoria en su empresa. Auditar consiste principalmente en
estudiar los mecanismos de control que están implantados en una empresa u
organización, determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que se deberían
realizar para la consecución de los mismos. Los mecanismos de control pueden
ser directivos, preventivos, de detección, correctivos o de recuperación ante
una contingencia.
Los objetivos de la auditoría Informática son:
·
El análisis de la eficiencia de los Sistemas Informáticos
·
La verificación del cumplimiento de la Normativa en este ámbito
·
La revisión de la eficaz gestión de los recursos informáticos.
Sus beneficios son:
·
Mejora la imagen pública.
·
Confianza en los usuarios sobre la seguridad y control de los servicios
de TI.
·
Optimiza las relaciones internas y del clima de trabajo.
·
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos,
entre otros).
·
Genera un balance de los riesgos en TI.
·
Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.
La auditoría informática sirve para mejorar ciertas
características en la empresa como:
·
Desempeño
·
Fiabilidad
·
Eficacia
·
Rentabilidad
·
Seguridad
·
Privacidad
Generalmente se puede desarrollar en alguna o
combinación de las siguientes áreas:
·
Gobierno corporativo
·
Administración del Ciclo de vida de los sistemas
·
Servicios de Entrega y Soporte
·
Protección y Seguridad
·
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y
herramientas estándar para el ejercicio de la auditoría informática ha
promovido la creación y desarrollo de mejores prácticas como COBIT,
COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified
Information Systems Auditor es una de las más reconocidas y avaladas
por los estándares internacionales ya que el proceso de selección consta de un
examen inicial bastante extenso y la necesidad de mantenerse actualizado
acumulando horas (puntos) para no perder la certificación.
Tipos de Auditoría de
Sistemas
Dentro de la auditoría informática destacan los
siguientes tipos (entre otros):
·
Auditoría de la gestión: la contratación de bienes y servicios, documentación de los
programas, etc.
·
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de
seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
·
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de
los flujogramas.
·
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los
datos.
·
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
·
Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación
física de esta. También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
·
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
·
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los
sistemas de comunicación.
·
Auditoría de la seguridad en producción: Frente a errores, accidentes y
fraudes.
Importancia de la Auditoria Informática
La auditoría permite a través de una revisión
independiente, la evaluación de actividades, funciones específicas, resultados
u operaciones de una organización, con el fin de evaluar su correcta
realización. Este autor hace énfasis en la revisión independiente, debido a que
el auditor debe mantener independencia mental, profesional y laboral para
evitar cualquier tipo de influencia en los resultados de la misma.
la técnica de la auditoría, siendo por tanto
aceptables equipos multidisciplinarios formados por titulados en Ingeniería
Informática e Ingeniería Técnica en Informática y licenciados en derecho
especializados en el mundo de la auditoría
Principales pruebas y
herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el
auditor puede realizar las siguientes pruebas:
·
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen
obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de
examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la información.
·
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis
de la muestra. Proporciona evidencias de que los controles claves existen y que
son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un
auditor informático son:
·
Observación
·
Realización de cuestionarios
·
Entrevistas a auditados y no auditados
·
Muestreo estadístico
·
Flujogramas
·
Listas de chequeo
TIPOS DE AUDITORIA
Existen algunos tipos de Auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática.
Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera.
Entre los principales enfoques de Auditoría tenemos los siguientes:
|
DEFINICIÓN DE AUDITORIA
La palabra Auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
|
Suscribirse a:
Entradas (Atom)