Qué son las auditorías de ordenadores informáticos

Drag to rearrange sections
Rich Text Content

La auditoría (en inglés Information Technology Audit o IT Audit ) tiene como objetivo identificar y evaluar los riesgos (operativos, financieros, reputacionales particulares) asociados con las operaciones de TI de una empresa o una administración. Para ello, la auditoría se basará en el marco regulatorio del sector de actividad del país en cuestión (por ejemplo, el CRBF 97-02 para un banco francés), en los repositorios de buenas prácticas existentes (por ejemplo, el repositorio de CobiT ), en los puntos de referencia disponibles y la experiencia profesional de los auditores implicados.

Hay dos categorías principales de auditoría. La primera implica auditorías de entidades globales durante las cuales se evalúan todas las actividades relacionadas con los sistemas de información. La segunda categoría corresponde a las auditorías temáticas, con el objetivo de revisar un tema de TI dentro de una entidad (gestión de proyectos, seguridad lógica por ejemplo).

 

La auditoría no debe confundirse con la actividad de consultoría que tiene como objetivo, en general, mejorar el funcionamiento y desempeño de una organización con una posible implicación en la implementación de esta mejora. Estas dos actividades, auditoría y consultoría, no pueden ser realizadas para una determinada entidad por los mismos actores con el fin de no generar una situación favorable a conflictos de interés.

 

Los conceptos básicos de la auditoría 

 

El concepto de control está en el corazón del proceso de auditoría de TI. El objetivo es poner en marcha sistemas de control eficaces y eficientes para controlar eficazmente la actividad de TI. El control interno es un proceso implementado por iniciativa de los ejecutivos de la empresa y destinado a proporcionar una seguridad razonable en cuanto al logro de los siguientes tres objetivos:

 

  • cumplimiento de leyes y reglamentos,
  • la fiabilidad de la información financiera,
  • implementación y optimización de operaciones ....

 

Es obvio que la auditoría de TI está principalmente interesada en el tercer objetivo.

 

El proceso de auditoría de TI se define sobre la base de las preocupaciones del solicitante de la auditoría, que puede ser el gerente general, el director de TI, el director financiero, etc. Por lo tanto, le ordenará al auditor que responda una lista de preguntas específicas que se asemejan, más o menos implícitamente, al estado de las buenas prácticas conocidas en este campo. Esto da lugar a un documento importante: la carta compromiso que especifica el mandato a ejecutar y que otorga las facultades necesarias al auditor.

 

Esto luego se enfocará en identificar los hechos y luego realizar entrevistas con las partes interesadas. Luego se esforzará por evaluar sus observaciones en comparación con puntos de referencia ampliamente reconocidos. Sobre esta base propondrá recomendaciones.

 

El auditor de TI utilizará repositorios de auditoría de TI que le otorgan el estado de buenas prácticas en esta área. El repositorio básico es CobiT : Objetivos de control para la información y la tecnología relacionada. Pero también utilizará otros estándares como: CobiT , ISO 27002 , CMMi , ITIL , Val IT , Risk IT, etc.

 

Diferentes tipos de auditoría 

 

El enfoque de auditoría de TI es general y se aplica a diferentes áreas como la función de TI, estudios de TI, proyectos de TI, operaciones, planificación de TI, redes y telecomunicaciones, seguridad de TI, Compras de TI, TI local o descentralizada, calidad de servicio, outsourcing, gestión de flotas, aplicaciones operativas, etc. A continuación se muestra una breve presentación de las auditorías de TI más frecuentes.

 

Auditoría de la función de TI 

 

El propósito de la Auditoría de ordenadores informáticos es dar respuesta a las inquietudes de la dirección general o del departamento de TI sobre la organización de la función de TI, su gestión, su posicionamiento en la estructura, sus relaciones con los usuarios, sus métodos. laboral…

 

Para realizar una auditoría de la función de TI, nos basamos en buenas prácticas conocidas en cuanto a la organización de la función de TI. Son numerosos y muy conocidos, entre ellos podemos mencionar:

 

  • la claridad de las estructuras y responsabilidades del equipo de TI,
  • la definición de las relaciones entre la dirección general, los departamentos funcionales y operativos y la función de TI,
  • la existencia de medidas de actividad y, en particular, un tablero de la función de TI,
  • el nivel de habilidades y calificaciones del personal de la función.

 

Existen muchas otras mejores prácticas para la función de TI. La auditoría de la función se basa en estas prácticas con el fin de identificar un cierto número de objetivos de control tales como:

 

el papel de los departamentos funcionales y operativos en la gestión de TI y, en particular, la existencia de un comité directivo de TI,

la implementación de políticas, estándares y procedimientos específicos para la función,

la definición de las respectivas responsabilidades de la función informática y de las unidades usuarias en materia de procesamiento, mantenimiento, seguridad, inversiones, desarrollos, etc.

 

La existencia de mecanismos que permitan conocer y monitorear los costos de TI, ya sea mediante contabilidad de costos o, en su defecto, mediante un mecanismo de refacturación,

el cumplimiento de los sistemas de control interno como la evaluación periódica de riesgos, la medición del impacto de las TI en el desempeño de la empresa, etc.

Estos diferentes objetivos de control corresponden al proceso PO 4 de CobiT: "Definir los procesos, la organización y las relaciones de trabajo".

 

Auditoría de Estudios de Computación 

 

La auditoría de equipos informáticos es un subconjunto de la auditoría de la función de TI. El objetivo de esta auditoría es asegurar que su organización y estructura sean eficientes, que su gestión sea adecuada, que sus diversas actividades estén controladas, que sus relaciones con los usuarios se desarrollen con normalidad, ...

 

Para realizar una auditoría de los estudios de TI, nos apoyamos en el conocimiento de las buenas prácticas identificadas en este campo. Son numerosos y conocidos por todos los profesionales. Entre estos podemos mencionar:

 

  • la organización de la función de estudios en equipos, la elección de las personas y su formación, sus responsabilidades…;
  • la implementación de herramientas y métodos apropiados, en particular una clara identificación de tareas, horarios, presupuestos, sistemas de seguimiento del estudio, un tablero, etc .;
  • el control de las distintas actividades que no se pueden planificar como pequeños proyectos, proyectos urgentes…;
  • control del mantenimiento de aplicaciones operativas;
  • el seguimiento de las actividades de estudio de las hojas de tiempo.

 

Existen muchas otras mejores prácticas para los estudios de computación. Para auditar, nos basaremos en estas buenas prácticas con el fin de identificar un cierto número de objetivos de control como:

 

evaluación de la organización de la función de estudios informáticos y, en particular, de la forma en que se planifican las diversas actividades de estudio;

el cumplimiento de las normas de documentación de la aplicación y, en particular, la definición de los documentos que se proporcionarán con los distintos entregables previstos;

el control de la subcontratación, en particular la calidad de los contratos, el cumplimiento de costes y plazos, la calidad de los entregables, etc .;

la evaluación de la calidad de los entregables proporcionados por las diversas actividades de estudio que deben ser comprobables y comprobables;

Hay muchos otros objetivos de control relacionados con los estudios de TI y se eligen en función de las preocupaciones del solicitante de la auditoría.

 

Auditoría operativa 

 

El propósito de la auditoría de operaciones es asegurar que los diferentes centros de producción de TI estén funcionando de manera eficiente y que estén adecuadamente administrados. Por tanto, es necesario implementar herramientas de monitorización de la producción como Openview de HP, de IBM's Tivoli, etc. También existe un sistema de gestión de producción Open Source como Nagios. Estos son sistemas de información reales dedicados a las operaciones.

 

Para realizar una auditoría operativa, nos apoyamos en el conocimiento de buenas prácticas en esta área tales como:

 

la claridad de la organización de la función, en particular la división en equipos, la definición de responsabilidades, etc.

la existencia de un sistema de información dedicado a la operación, en particular para monitorear la gestión de incidentes, gestión de recursos, planificación del trabajo, procedimientos operativos, etc.






rich_text    
Drag to rearrange sections
Rich Text Content
rich_text    

Page Comments