Auditoria informàtica

Una auditoria informàtica és el procés de recollir, agrupar i avaluar proves per a determinar si un sistema d'informació salvaguarda l'actiu empresarial, manté la integritat de les dades, porta a terme eficaçment els objectius de l'organització i utilitza eficientment els recursos.^[1]

Una auditoria consisteix principalment a estudiar els mecanismes de control que estan implantats en una empresa o organització, determinant si els mateixos són adequats i compleixen uns determinats objectius o estratègies, establint els canvis que s'han de realitzar per a la seva consecució.

Propòsit

Una auditoria d'informàtica és diferent d'una auditoria dels estats financers. Mentre que l'objectiu d'una auditoria financera és avaluar si els estats financers es presenten de manera justa, en tots els aspectes importants, la posició financera d'una entitat, els resultats d'operacions i els fluxos d'efectiu conformes a les pràctiques comptables estàndard, els objectius d'una auditoria d'informàtica són avaluar el sistema. disseny i eficàcia del control intern. Això inclou, però no es limita a, protocols d'eficiència i seguretat, processos de desenvolupament i governança o supervisió d'informàtica. La instal·lació dels controls és necessària, però no suficient per proporcionar una seguretat adequada. Les persones responsables de la seguretat han de considerar si els controls s'instal·len de la manera adequada, si són efectius o si s'ha produït un incompliment de la seguretat i, si és així, quines accions es poden fer per evitar futurs incompliments. Aquestes consultes han de ser contestades per observadors independents i imparcials. Aquests observadors estan duent a terme la tasca d'auditoria de sistemes d'informació. En un entorn de sistemes d'informació (IS), una auditoria és un examen dels sistemes d'informació, les seves entrades, sortides i processament.^[2]

Les funcions principals d'una auditoria d'informàtica són avaluar els sistemes existents per protegir la informació d'una organització. En concret, les auditories de tecnologia de la informació s'utilitzen per avaluar la capacitat de l'organització de protegir els seus actius d'informació i distribuir adequadament la informació a les parts autoritzades. L'auditoria informàtica té com a objectiu avaluar el següent:

Quan els sistemes informàtics de l'organització estiguin disponibles per a la companyia en tot moment (coneguda com a disponibilitat) La informació dels sistemes només es divulgarà als usuaris autoritzats? (coneguda com a seguretat i confidencialitat) La informació proporcionada pel sistema sempre serà precisa, fiable i oportuna? (mesura la integritat) D'aquesta manera, l'auditoria espera avaluar el risc per al bé valuós de la companyia (la seva informació) i establir mètodes per minimitzar aquests riscos.

Tipus

Diverses autoritats han creat diferents taxonomies per distingir els diferents tipus d'auditories d'informàtica. Goodman & Lawless afirma que hi ha tres enfocaments sistemàtics específics per dur a terme una auditoria d'informàtica:^[3]

• Auditoria del procés d'innovació tecnològica: Aquesta auditoria construeix un perfil de risc per a projectes existents i nous. L'auditoria avaluarà la durada i la profunditat d'experiència de l'empresa en les seves tecnologies triades, així com la seva presència en mercats rellevants, l'organització de cada projecte i l'estructura de la part de la indústria que tracta d'aquest projecte o producte, organització. i estructura de la indústria.
• Auditoria de comparació innovadora: Aquesta auditoria és una anàlisi de les capacitats innovadores de la companyia que s'audita, en comparació amb els seus competidors. Això requereix examinar les instal·lacions de recerca i desenvolupament de la companyia, així com el seu historial de producció de nous productes.
• Auditoria de posició tecnològica: Aquesta auditoria revisa les tecnologies que actualment té la companyia i que cal afegir. Les tecnologies es caracteritzen per ser "base", "clau", "ritme" o "emergent".

Altres descriuen l'espectre de les auditories d'informàtica amb cinc categories d'auditories:

• Sistemes i aplicacions: una auditoria per verificar que els sistemes i les aplicacions són adequats, són eficients i estan controlats adequadament per garantir una entrada, un processament i una sortida vàlids, fiables, segurs i segurs a tots els nivells de l'activitat d'un sistema. Les auditories de garantia de sistemes i processos formen un subtipus, centrat en els sistemes informàtics empresarials centrats en els processos empresarials. Aquestes auditories tenen l'objectiu d'ajudar els auditors financers.
• Instal·lacions de processament d'informació: una auditoria per verificar que la instal·lació de processament està controlada per garantir un processament oportú, precís i eficient de les aplicacions en condicions normals i potencialment perjudicials.
• Desenvolupament de sistemes: una auditoria per verificar que els sistemes en desenvolupament compleixen els objectius de l'organització i assegurar-se que els sistemes es desenvolupin d'acord amb normes generalment acceptades per al desenvolupament de sistemes.
• Gestió de l'arquitectura informàtica i empresarial: una auditoria per verificar que la gestió informàtica ha desenvolupat una estructura organitzativa i procediments per garantir un entorn controlat i eficient per al processament de la informació.
• Client / servidor, telecomunicacions, intranet i extranet: una auditoria per verificar que hi hagi controls de telecomunicacions al client (serveis de recepció d'ordinadors), servidor i a la xarxa que connecta els clients i els servidors.

Diversos professionals de l'auditoria d'informàtica consideren que hi ha tres tipus fonamentals de controls, independentment del tipus d'auditoria a realitzar, especialment en l'àmbit informàtic. Molts marcs i estàndards intenten trencar els controls en diferents disciplines o àmbits, anomenant-los "controls de seguretat" i "controls d'accés", en un esforç per definir els tipus de controls implicats. A un nivell més fonamental, es pot demostrar que aquests controls consisteixen en tres tipus de controls fonamentals: controls de protecció / prevenció, controls de detectius i controls de reactiu / correcció.

En un SI, hi ha dos tipus d'auditors i auditors: interns i externs. L'auditoria IS normalment forma part de l'auditoria interna comptable i és sovint realitzada per auditors interns corporatius. Un auditor extern revisa les conclusions de l'auditoria interna, així com les entrades, processament i sortides dels sistemes d'informació. L'auditoria externa dels sistemes d'informació és sovint una part de l'auditoria externa global realitzada per una empresa de comptadors públics certificats (CPA)

L'auditoria SI considera tots els riscos i controls potencials en els sistemes d'informació. Es centra en qüestions com ara operacions, dades, integritat, aplicacions de programari, seguretat, privadesa, pressupostos i despeses, control de costos i productivitat. Les directrius estan disponibles per ajudar els auditors en els seus llocs de treball, com ara l'associació d'auditoria i Control de Sistemes d'informació.

Procés de l'auditoria informàtica

Els següents són els passos bàsics per dur a terme el procés d'auditoria de les tecnologies de la informació:

1. Planificació IN
2. Estudiar i avaluar els controls
3. Proves i avaluació de controls
4. Informar
5. Seguiment
6. Informes

Seguretat de la informació

L'auditoria de la seguretat de la informació és una part vital de qualsevol auditoria informàtica i sovint s'entén que és l'objectiu principal d'una auditoria informàtica. L'ampli abast d'auditoria de la seguretat de la informació inclou temes com a centres de dades (la seguretat física dels centres de dades i la seguretat lògica de bases de dades, servidors i components d'infraestructura de xarxa), la seguretat de xarxes i aplicacions. Com la majoria dels àmbits tècnics, aquests temes sempre evolucionen; Els auditors informàtics han de continuar constantment ampliant els seus coneixements i comprensió dels sistemes i el medi ambient i la recerca de l'empresa del sistema.

Història

El concepte d'auditoria informàtica es va formar a mitjans dels anys seixanta. Des de llavors, l'auditoria informàtica ha experimentat nombrosos canvis, en gran part a causa dels avenços tecnològics i de la incorporació de la tecnologia als negocis.

Actualment, hi ha moltes empreses dependents de la informàtica que depenen de les tecnologies de la informació per operar el seu negoci, p. ex. Empresa de telecomunicacions o banca. Per als altres tipus de negoci, la informàtica té una gran part de l'empresa, inclosa l'aplicació del flux de treball en comptes d'utilitzar el formulari de sol·licitud de paper, utilitzant el control d'aplicacions en lloc de control manual que sigui més fiable o implementi l'aplicació ERP per facilitar l'organització mitjançant l'ús de només 1 aplicació. Segons aquests, la importància de l'auditoria informàtica s'incrementa constantment. Un dels aspectes més importants de l'auditoria informàtica és auditar el sistema crític per donar suport a l'auditoria financera o per donar suport a les regulacions específiques anunciades, p. ex. SOX.

Personal d'auditoria

• Auditor de sistemes d'informació certificats (CISA)
• Certificat de pràctic en auditoria de seguretat de la informació (PCISA)
• Auditor intern certificat (CIA)
• Certificat en Control de Sistemes d'informació i Risc (CRISC)
• Professional de certificació i acreditació (CAP)
• Professional Computer Certified (CCP)
• Professional Certified Information Privacy (CIPP)
• Professional Certified Information Security Security (CISSP)
• Gestor certificat de seguretat de la informació (CISM)
• Comptador públic certificat (CPA)
• Auditor de controls interns certificats (CICA)
• Comptador públic certificat forense (FCPA)
• Examinador de fraus certificat (CFE)
• Comptador forense certificat (CrFA)
• Comptador professional professional certificat (CCPA)
• Executiu de comptes certificats (CEA)
• Auditor intern professional certificat (CPIA)
• Auditor de gestió professional certificat (CPMA)
• Comptador oficial (CA)
• Comptador certificat certificat (ACCA / FCCA)
• Auditor de xarxa i sistema certificat GIAC (GSNA)
• Professional Certified Information Technology (CITP); per certificar, els auditors han de tenir 3 anys d'experiència
• Professional de la comptabilitat forense electrònica certificada] (CFAP)
• Professional certificat ERP Audit (CEAP)

Referències

1. «A career as Information Systems Auditor - Secured View - Network Magazine India». Arxivat de l'original el 2007-07-12. [Consulta: 23 agost 2018].
2. Rainer. Introduction to information systems (en anglès). 3ra ed.. Hoboken, 2011. 
3. Technology and strategy. 

Vegeu també

• Auditoria de seguretat informàtica