AUDITORÍA DE SISTEMAS DE INFORMACIÓN
description
Transcript of AUDITORÍA DE SISTEMAS DE INFORMACIÓN
NOVIEMBRE 2000 Marina Touriño 1
ATIATI
AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
IMPACTO DE LA CALIDAD DEL SOFTWARE EN LA REALIZACIÓN
DE UNA AUDITORÍA DE SISTEMAS DE INFORMACIÓN
NOVIEMBRE 2000 Marina Touriño 2
ATIATI
La Auditoría de Sistemas de Información es el
proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a
cabo los fines de la organización y utiliza
eficientemente los recursos
NOVIEMBRE 2000 Marina Touriño 3
ATIATI
La Auditoría de Sistemas de Información brinda a la Dirección información objetiva e independiente sobre
el grado de cumplimento de loscontroles (políticas y procedimientos)
la detección de los riesgos dondeexistan debilidades significativas de control
recomendaciones para realizaracciones correctivas
NOVIEMBRE 2000 Marina Touriño 4
ATIATI
Auditoría de S.I. - Fundamentar el riesgo
Aquellas tareas de auditoría que deben realizarse para fundamentar o “sustanciar” el riesgo producido por controles que no se
cumplen o son débiles.
El objetivo es soportar una opinión y provocar que la Dirección tome acciones.
NOVIEMBRE 2000 Marina Touriño 5
ATIATI
RIESGOS DE LOS S.I. (entre otros)
CONFIDENCIALIDAD
PÉRDIDA DE IMAGEN
INEXACTITUD DE LAINFORMACIÓN
INTEGRIDAD DE LAINFORMACIÓN
EFICIENCIA Y EFICACIA
CALIDAD
DEL
SOFTWARE
NOVIEMBRE 2000 Marina Touriño 6
ATIATI
ÁREAS DE ACTIVIDAD de la AUDITORÍA DE S.I.
POLÍTICAS DE LA ORGANIZACIÓN
NORMATIVA GENERAL Y PLANIFICACIÓN
PROCESO DE LOS SISTEMAS DE
INFORMACIÓN
DESARROLLO E IMPLANTACIÓN DE
SISTEMAS
INTEGRIDAD Y CONFIDENCIALIDAD
NOVIEMBRE 2000 Marina Touriño 7
ATIATI
NORMATIVA GENERAL Y PLANIFICACIÓN
ALCANCE/OBJETIVO DE CONTROL
La Dirección a su más alto nivel debe establecer un marco
de políticas y normativas que consolide la
implantación de procedimientos, que aseguren el
cumplimiento de esas políticas, en los distintos procesos de
las tecnologías de la información
NOVIEMBRE 2000 Marina Touriño 8
ATIATI
REVISIONES DE AUDITORÍA EN RELACIÓN A LA CALIDAD DEL SOFTWARE
ALGUNOS EJEMPLOS
Evaluar si el plan de Calidad de Software
tiene en cuenta los planes a corto y largo plazo de la organización
Evaluar si el plan de Calidad de Software
es compatible con el plan de calidad total de la organización
NOVIEMBRE 2000 Marina Touriño 9
ATIATI
Evaluar si la función de Aseguramiento de la
Calidad del Software incluye revisiones específicas del cumplimiento del modelo de calidad adoptado, auditorías, obtención de métricas y estadísticas de cumplimiento, informes periódicos de las actividades de la función, etc.
Revisar la obtención de certificaciones de la
Calidad del Software
Evaluar si el enfoque de Calidad del
Software es escalable y aplicable a todos los proyectos de S.I.
NOVIEMBRE 2000 Marina Touriño 10
ATIATI
Comprobar si el método de Calidad del
Software adoptado incluye todas las etapas del ciclo de vida de desarrollo de S.I.
Comprobar que el método de Calidad del
Software adoptado considera y es compatible con otras políticas y procedimientos de la organización (protección de activos, cumplimiento legal, etc.)
NOVIEMBRE 2000 Marina Touriño 11
ATIATI
DESARROLLO E IMPLANTACIÓN DE SISTEMAS
ALCANCE/OBJETIVO DE CONTROL
Los sistemas deben ser adquiridos, desarrollados,
mantenidos, actualizados e implantados dentro
de un entorno de control que asegure la satisfacción de
los objetivos de la entidad, área o negocio, al mismo tiempo
que preserve los aspectos de calidad, seguridad e integridad de
la información
NOVIEMBRE 2000 Marina Touriño 12
ATIATI
Evaluar el procedimiento para el análisis de los
riesgos de un nuevo proyecto
Comprobar si la función de Aseguramiento de la
Calidad del Software es responsable de la revisión de las tareas contratadas de programación
Comprobar si las interfaces internas y
externas están adecuadamente documentadas
REVISIONES DE AUDITORÍA EN RELACIÓN A LA CALIDAD DEL SOFTWARE
ALGUNOS EJEMPLOS
NOVIEMBRE 2000 Marina Touriño 13
ATIATI
Auditoría de SI
Evaluación de riesgos relacionados con el alcance y objetivo de la auditoría de S.I.
Realización de pruebas
Evaluación de resultados de las pruebas
Conclusiones y Recomendaciones
NOVIEMBRE 2000 Marina Touriño 14
ATIATI
Calidad del software
Eficaz y eficiente
Potencial reducción del tiempo de la auditoría de sistemas de información
Evidencias del cumplimiento
(auditable y comprobable)