El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades:
- Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
- Análisis de la administración de Sistemas de Información,desde un punto de vista de riesgo de seguridad,administración y efectividad de la administración.
- Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.
- Auditoría del riesgo operativo de los circuitos de información
- Análisis de la administración de los riesgos de la información y de la seguridad implícita.
- Verificación del nivel de continuidad de las operaciones.
- Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.
Organización de la función de Auditoría Informática
La función de la auditoría informática se haconvertido en una función que desarrolla un trabajo más acorde con la importancia que para lasorganizaciones tienen los SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor de empresas en materias de:
- Seguridad
- Control interno operativo
- Eficiencia y eficacia
- Tecnologías de Información
- Continuidad de operaciones
- Administración de riesgos
Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista unacoordinación lógica entre ambos departamentos), con independencia de objetivos, planes de formación y presupuestos.
Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demás tecnología,que depende de la misma persona que la auditoría interna (Director General o Consejero).
La dependencia debe ser del máximo responsable dela organización, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar eltrabajo de auditoría y ofrecer conclusiones y recomendaciones. Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formación en auditoría y organización y con perfil informático (especialidades).
No hay comentarios:
Publicar un comentario