ATIATI

NOVIEMBRE 2000 Marina Touriño 1

AUDITORÍA DE SISTEMAS DE

INFORMACIÓN

IMPACTO DE LA CALIDAD DEL SOFTWARE EN LA REALIZACIÓN

DE UNA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

ATIATI

NOVIEMBRE 2000 Marina Touriño 2

La Auditoría de Sistemas de Información es el

proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema

informatizado salvaguarda los activos,

mantiene la integridad de los datos, lleva a

cabo los fines de la organización y utiliza

eficientemente los recursos

ATIATI

NOVIEMBRE 2000 Marina Touriño 3

La Auditoría de Sistemas de Información brinda a la Dirección información objetiva e independiente sobre

el grado de cumplimento de loscontroles (políticas y procedimientos)

la detección de los riesgos dondeexistan debilidades significativas de control

recomendaciones para realizaracciones correctivas

ATIATI

NOVIEMBRE 2000 Marina Touriño 4

Auditoría de S.I. - Fundamentar el riesgo

Aquellas tareas de auditoría que deben realizarse para fundamentar o “sustanciar” el riesgo producido por controles que no se

cumplen o son débiles.

El objetivo es soportar una opinión y provocar que la Dirección tome acciones.

ATIATI

NOVIEMBRE 2000 Marina Touriño 5

RIESGOS DE LOS S.I. (entre otros)

CONFIDENCIALIDAD

PÉRDIDA DE IMAGEN

INEXACTITUD DE LAINFORMACIÓN

INTEGRIDAD DE LAINFORMACIÓN

EFICIENCIA Y EFICACIA

CALIDAD

DEL

SOFTWARE

ATIATI

NOVIEMBRE 2000 Marina Touriño 6

ÁREAS DE ACTIVIDAD de la AUDITORÍA DE S.I.

POLÍTICAS DE LA ORGANIZACIÓN

NORMATIVA GENERAL Y PLANIFICACIÓN

PROCESO DE LOS SISTEMAS DE

INFORMACIÓN

DESARROLLO E IMPLANTACIÓN DE

SISTEMAS

INTEGRIDAD Y CONFIDENCIALIDAD

ATIATI

NOVIEMBRE 2000 Marina Touriño 7

NORMATIVA GENERAL Y PLANIFICACIÓN

ALCANCE/OBJETIVO DE CONTROL

La Dirección a su más alto nivel debe establecer un marco

de políticas y normativas que consolide la

implantación de procedimientos, que aseguren el

cumplimiento de esas políticas, en los distintos procesos de

las tecnologías de la información

ATIATI

NOVIEMBRE 2000 Marina Touriño 8

REVISIONES DE AUDITORÍA EN RELACIÓN A LA CALIDAD DEL SOFTWARE

ALGUNOS EJEMPLOS

Evaluar si el plan de Calidad de Software

tiene en cuenta los planes a corto y largo plazo de la organización

Evaluar si el plan de Calidad de Software

es compatible con el plan de calidad total de la organización

ATIATI

NOVIEMBRE 2000 Marina Touriño 9

Evaluar si la función de Aseguramiento de la

Calidad del Software incluye revisiones específicas del cumplimiento del modelo de calidad adoptado, auditorías, obtención de métricas y estadísticas de cumplimiento, informes periódicos de las actividades de la función, etc.

Revisar la obtención de certificaciones de la

Calidad del Software

Evaluar si el enfoque de Calidad del

Software es escalable y aplicable a todos los proyectos de S.I.

ATIATI

NOVIEMBRE 2000 Marina Touriño 10

Comprobar si el método de Calidad del

Software adoptado incluye todas las etapas del ciclo de vida de desarrollo de S.I.

Comprobar que el método de Calidad del

Software adoptado considera y es compatible con otras políticas y procedimientos de la organización (protección de activos, cumplimiento legal, etc.)

ATIATI

NOVIEMBRE 2000 Marina Touriño 11

DESARROLLO E IMPLANTACIÓN DE SISTEMAS

ALCANCE/OBJETIVO DE CONTROL

Los sistemas deben ser adquiridos, desarrollados,

mantenidos, actualizados e implantados dentro

de un entorno de control que asegure la satisfacción de

los objetivos de la entidad, área o negocio, al mismo tiempo

que preserve los aspectos de calidad, seguridad e integridad de

la información

ATIATI

NOVIEMBRE 2000 Marina Touriño 12

Evaluar el procedimiento para el análisis de los

riesgos de un nuevo proyecto

Comprobar si la función de Aseguramiento de la

Calidad del Software es responsable de la revisión de las tareas contratadas de programación

Comprobar si las interfaces internas y

externas están adecuadamente documentadas

REVISIONES DE AUDITORÍA EN RELACIÓN A LA CALIDAD DEL SOFTWARE

ALGUNOS EJEMPLOS

ATIATI

NOVIEMBRE 2000 Marina Touriño 13

Auditoría de SI

Evaluación de riesgos relacionados con el alcance y objetivo de la auditoría de S.I.

Realización de pruebas

Evaluación de resultados de las pruebas

Conclusiones y Recomendaciones

ATIATI

NOVIEMBRE 2000 Marina Touriño 14

Calidad del software

Eficaz y eficiente

Potencial reducción del tiempo de la auditoría de sistemas de información

Evidencias del cumplimiento

(auditable y comprobable)