¿QUÉ ES LA AUDITORIA DE TECNOLOGIA DE INFORMACIÓN (A.T.I.)?

DEFINICIÓN :
La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años. En algunos países altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como privado, en la medida en que la Información es considerada un activo tan o más importante que cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas prácticas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la Información tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha Información y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoría de general aceptación y conocimiento técnico específico.

Tambien desde el punto de vista en cuanto a  Especialidad profesional se refiera ,es apoyada por un conjunto de conocimientos profundos acerca de la tecnología informática, de técnicas y procedimientos de auditoría y de conocimientos contables suficientes, para evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, asi como brindar seguridad razonable acerca de la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un juicio al respecto. Complementariamente, su trabajo, deberá permitir la emisión de un juicio u opinión acerca de lo adecuado del control interno informático. Finalmente, deberá expresar su opinión acerca de el grado de eficiencia, eficacia y economía con que están siendo usados – administrados todos los recursos de tecnología informática a cargo de la administración, incluido el factor humano.

ROL DE LA AUDITORIA EN LA EMPRESA :

El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del proceso de sistematización del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su proceso de obtención de evidencia y validación de procedimientos de control a través del uso de C.A.A.T. (computer audit assisted technologies) y del computador.

Los servicios de Auditoría de Tecnología de Información se encuentran orientados al mercado pro-activo y preventivo, brindándole a nuestros clientes evaluaciones de sus controles, que sirvan para el fortalecimiento de su seguridad e infraestructura tecnológica.

Auditoría de Tecnología de la Información

• Auditoría de Sistemas
• Outsourcing o Co-Sourcing de Auditorias de Sistemas
• Revisiones de estándar de seguridad del PCI – VISA
• Auditoría de Sistemas especializadas (ACH, Cajeros automáticos (ATM), etc.)
• Certificación-Declaración de Sistemas Contables
• Certificación-Declaración de Sistemas de Almacenamiento Tecnológico
• Sistema de Gestión de Seguridad de la Información (Norma ISO)
• Evaluación y Alineamiento de Tecnología con mejores prácticas Gobierno de TI

OBJETIVOS ESPECIFICOS:

–	La información y la tecnología es el activo más valioso de nuevo milenio.
–	La información puede constituirse en una ventaja competitiva de la empresa frente a terceros. Su uso inadecuado puede convertirse en la peor amenaza
–	La información es la memoria y el conocimiento de la empresa. Base de su desarrollo y adaptación futura
–	Todo lo que la rodea (la información) y la soporta, debe estar adecuadamente asegurado y controlado. Hablamos de equipos, personas y programas de computador
–	Es necesario determinar si los recursos informáticos están siendo utilizados de la manera más efectiva, eficiente y económica.
–	Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen involucrados los CONTROLES suficientes que garanticen una información libre de errores, fraudes, alteración o falta de disponibilidad. Es decir, que dicha información está realmente segura y protegida del acceso no autorizado, daño intencional o destrucción por parte de terceros o personal de la empresa
–	Se hace necesario mantener servicios de monitoreo de nuevas tecnologías, de forma que estas se adquieran y utilicen en beneficio de los objetivos de la empresa, generando ventajas competitivas y beneficios tangibles frente a terceros.
–	Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos años en proyectos de sistematización de todo tipo y el uso de estándares y metodologías de reconocido valor técnico, garantizan que la tecnología Informática, y la información en si misma, están siendo adecuadamente utilizadas y aseguradas.

Caracteristicas

La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa.

Los principales objetivos que constituyen a la auditoría Informática son:

• el control de la función informática,
• el análisis de la eficiencia de los Sistemas Informáticos,
• la verificación del cumplimiento de la Normativa en este ámbito

y la revisión de la eficaz gestión de los recursos informáticos.

Normas ATI

Las normas mas utilizadas son:

Norma COBIT

La norma COBIT fue lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.

Usuarios:

La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
Características:

Orientado al negocio
Alineado con estándares y regulaciones “de facto”
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

COBIT se divide en tres niveles:

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.                                                                                                                                                                                         

Descargar: COBIT

Norma Técnica Peruana (NTP)

Esta Norma Técnica Peruana establece un marco de referencia común para los procesos del ciclo de vida del software, con una terminología bien definida a la que puede hacer referencia la industria del software. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software y durante el suministro, desarrollo, operación y mantenimiento de productos software. El software incluye la parte software del firmware.

 Limitaciones

Esta NTP describe la arquitectura de los procesos del ciclo de vida del software, pero no especifica los detalles de cómo implementar o llevar a cabo las actividades y tareas incluidas en los procesos.

Descargar:NTP