Es el examen objetivo, crtico, sistemtico, posterior y selectivo que se hace a
la administracin informtica de una organizacin, con el fin de emitir una opinin acerca de: La eficiencia en la adquisicin y utilizacin de los recursos informticos. La confiabilidad, la integridad, la seguridad y oportunidad de informacin. La efectividad de los controles en los sistemas de informacin. El objetivo es evaluar la capacidad de la organizacin para proteger sus activos de informacin y debidamente prescindir de la informacin a personas autorizadas.
La auditora de SI determina los riesgos que son relevantes para los
activos de informacin, y en la evaluacin de los controles a fin de reducir o mitigar estos riesgos, no puede eliminar por completo todos los riesgos.
La auditora de SI, auditora informtica o auditora de sistemas es un tipo de
auditora consistente en el examen de los sistemas de informacin y de los centros de proceso de datos, instalaciones y unidades informticas de las organizaciones. La auditora de sistemas de informacin persigue propiciar con sus actuaciones: El establecimiento y mantenimiento de sistemas de gestin de la seguridad. La reduccin de los riesgos inherentes a la utilizacin de los SI. El incremento de la confianza de los usuarios internos y externos en los sistemas de informacin. Comprobar el cumplimiento de los requerimientos de negocio de la informacin. Analizar la gestin de los riesgos asociados a los sistemas de informacin, proponiendo la adopcin de medidas que mejoren el sistema de anlisis y gestin de los riesgos informticos. Comprobar e impulsar la seguridad de los sistemas de informacin. Principales razones para auditar y controlar los SI
Toma de decisiones incorrectas
Reducir el costo de los errores Control del uso de las TIC Consecuencias de las prdidas de datos Valor del hardware, del software y del personal Privacidad de los datos personales Fraude informtico Qu es la metodologa de Auditoria de SI? Un camino estructurado de forma lgica para asegurar el xito de proyectos de auditora de informtica.
Un grupo de etapas que pueden adaptarse a empresas pequeas, medianas y
grandes de cualquier giro para planear y desarrollar proyectos de auditora en informtica.
Metodologa y Estndares
Utilizacin de metodologas, instrumentos y procedimientos operativos
propios. En la planificacin de las auditoras informticas Empleo de marcos referenciales para la declaracin de los objetivos del control. En el desarrollo de las auditoras informticas empleo de herramientas de auditora especficas. Metodologa y Estndares
Existen tres tipos de metodologas de auditoria informtica:
R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.). Las metodologas de auditora de SI son de tipo cualitativo/subjetivo. Solo existen dos tipos de metodologas para la auditoria de SI:
Controles Generales:
El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera.
Metodologas de los auditores internos: Estn formuladas por
recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.