ESTÁNDARES Y METODOLOGÍAS DE SISTEMAS

¿Qué es la metodología de Auditoria de SI?

•Un camino estructurado de forma lógica para asegurar el éxito de proyectos de auditoría de informática.

•Un grupo de etapas que pueden adaptarse a empresas pequeñas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditoría en informática.

Metodología y Estándares

1.    Utilización de metodologías, instrumentos y procedimientos operativos propios.

2.    En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control.

3.    En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares:

•   ISACA - Asociación de Auditoría y Control de Sistemas de Información
•  ISO – Organización Internacional para la estandarización.
•  NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

En la actualidad existen tres tipos de metodologías de auditoria informática:

•   R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.
•  CHECKLIST o cuestionarios.
•  AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).

En sí las tres metodologías están basadas en la minimización de los riesgos, que se conseguirá en función de que existan los controles y de que éstos funcionen. En consecuencia el auditor deberá revisar estos controles y su funcionamiento. Las metodologías de auditoría de SI son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua.

Solo existen dos tipos de metodologías para la auditoria de SI

·   Controles Generales: Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera, es resultado es escueto y forma parte del informe de auditoría, en donde se hacen notar las vulnerabilidades encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan.

Solo existen dos tipos de metodologías para la auditoria de SI

·     Metodologías de los auditores internos: Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor