Одитиране на информационни и комуникационни технологии. copextel sa case

В заглавието на нашата работа е: "Двойната функция на вътрешния одитор в одита на информационните технологии и съобщенията. Опит на териториалното поделение на Вила Клара ”.

На авторите на тази работа са MSC. Антонио Родригес Перес, завършил юридическа степен от Централния университет в Лас Вили, юрисконсулт и съветник по въпросите на вътрешния контрол в COPEXTEL SA, Териториален отдел на Вила Клара и лиценз Олга Лидия Леон Бургера, юрисконсулт, завършила бакалавърска степен по право от Университета в Хавана, съветник на COPEXTEL SA, Териториално отделение на Villa Clara по въпросите на качеството.

Изследването е поставено в предмета на одита, по-специално в темата, свързана с одита на информационните технологии.

На цели сме си поставили, са следните: Създаване на пряк историята на информационни и комуникационни технологии одит; определяне на въздействието на ИКТ в управлението на бизнеса; уточнете двойната роля на вътрешния одитор в одитите на ИКТ и посочете важността на валидирането на всички тези процеси въз основа на международните стандарти, като го дефинирате въз основа на опита на COPEXTEL SA, Териториалното поделение на Villa Clara.

Одитът на ИКТ става все по-актуален, откакто се появява през 1969 г., поради нарастващото значение и известност на компютърните системи във всички области на нашето общество. Тези одити помагат на организациите да оценят начина, по който правят своя бизнес или предоставят услугите си, поддържани от ИКТ, като се стремят да защитят интересите на държавата, работниците и клиентите. Един елемент, който ни доведе до голяма степен до намаляване на рисковете по отношение на използването на ИКТ в нашия отдел, е включването на вътрешните одитори на нашата интегрирана система за управление на качеството в процесите на развитие на компютърните системи на тези, които поддържат и организират някои от нашите дейности.Участието на вътрешния одитор е един от най-добрите контроли в разработването на компютърни системи за управление на бизнеса, тъй като това е най-доброто време за одитора да повлияе върху дизайна на контролите. Информацията е най-важният ресурс на всяка компания, тъй като тя е единствената, която не може или е много трудно да се замени. В същото време ресурсът е обект на най-големи уязвимости. Когато успяхме да включим въпроси, свързани с прилагането на ИКТ в управлението на бизнеса във Вътрешния одит, успяхмезащото е единственият, който не може или е много трудно да се замени. В същото време ресурсът е обект на най-големи уязвимости. Когато успяхме да включим въпроси, свързани с прилагането на ИКТ в управлението на бизнеса във Вътрешния одит, успяхмезащото е единственият, който не може или е много трудно да се замени. В същото време ресурсът е обект на най-големи уязвимости. Когато успяхме да включим въпроси, свързани с прилагането на ИКТ в управлението на бизнеса във Вътрешния одит, успяхмеда се оцени ефективността на вътрешния контрол в тази важна сфера на компанията, като се постигне истинско разнообразие в контролния списък, използван от одиторите. Постигането на интегрирана система за управление, която вече е сертифицирана по стандартите ISO 9001, ни позволи да насочим работата, за да постигнем в краткосрочен план сертифициране по стандарти ISO 27001 и 27002, стандарти, в които накратко ще спрем по-долу,

Основните изводи, които стигнахме до нашето изследване, са, че многозначителното развитие, което информационните технологии и комуникационните технологии изискват от света на бизнеса, по-ефективни действия във връзка с подреждането на механизмите за вътрешен контрол, без да се изкривява неговата същност; Освен това успяхме да потвърдим, че работата на одитора от първите моменти на появата и внедряването на компютърни приложения ни позволява да откриваме и коригираме възможните рискове в Business Management, с по-малко разходи и по-навременен начин. Друг от изводите, до които достигнахме, е, че е възможно и обективно възможно да се интегрират по въпросите на вътрешния одит на системите за управление на бизнеса въпроси, свързани с контрола,надзор и инспекция на информационните технологии и комуникационните технологии, в допълнение към възможността да валидират тези най-добри практики с международни стандарти като ISO 27001 и 27002.

Развитие.

На цели сме си поставили, са следните:

Установете пряката история на одита на информационните и комуникационните технологии; Определете въздействието на ИКТ върху управлението на бизнеса; Уточнете двойната роля на вътрешния одитор в одитите на ИКТ; Посочете важността на валидирането на всички тези процеси, базирани на международни стандарти, подчертават опита на COPEXTEL SA, Териториално поделение на Villa Clara, във връзка с прилагането на тези добри практики.

В обхвата на разследването е основно фокусиран върху работата, извършена в COPEXTEL SA, Вила Клара териториално деление, от вътрешните одитори на Системата за управление на качеството на Интегрираната, свързани с преразглеждането на информационните технологии и комуникационни технологии и тяхното поставяне в нашата система за управление на бизнеса, като част от действията на системата за вътрешен контрол, която имаме. Опитът ни обхвана седемте стратегически бизнес звена, декларирани в нашата организационна структура, 4-те ръководства за поддръжка и апарата за управление на отдела.

Глобализация, интернет, нови пазари… Нарастващата сложност на средата, в която работят компаниите и особено нарастващото значение, което информационните системи придобиха, налага на отделите за вътрешен одит да положат усилия да предвидят нови рискове. преди да е станало твърде късно. Перфектната координация с отделите, отговорни за информационните системи, които не винаги съществуват, е от съществено значение за тази задача.

Одитът на информационните и комуникационните технологии става все по-актуален, от появата му през 1969 г., поради нарастващото значение и известност на компютърните системи във всички области на нашето общество. Понастоящем компаниите и организациите депозират в своите информационни системи отговорността да управляват своите бизнес операции ефективно и ефикасно. Ръчните процеси са все по-редки и на практика се забелязва, че почти всички компании използват наличния огромен процес, управление и комуникационен капацитет, всички на все по-достъпни цени за организации от всякакъв мащаб.Тази отговорност означава, че евентуална загуба от експлоатацията на тези системи има много важно въздействие върху възможностите за корпоративно управление, като става все по-важно да се използват методи и технологии, които намаляват до минимум вероятността от инциденти, свързани с тези последици. отрицателна.

Електронната обработка на данни започва през 50-те години на миналия век, за да води счетоводство и да регистрира дейности в организациите. Скоро след това започна интересът към одит на информационни системи, поддържаните от тях бизнес процеси, финансово-счетоводни данни, технологична инфраструктура и компютърна сигурност.

Дейностите, подкрепени от ИКТ, се преразглеждат за преглед на контрола, спазването на политиките и регулациите и степента, в която те подкрепят ефективността, ефективността и икономическата рентабилност.

Тези одити помагат на организациите да оценят начина, по който правят своя бизнес или предоставят услугите си, подкрепяни от ИКТ, като се стремят да защитят интересите на държавата, работниците и клиентите. Това позволява да се валидира сигурността, надеждността, целостта и поверителността на информационните системи.

Предвид нарастващата зависимост на организациите от ИКТ и появата на регулации за доброто им управление, вътрешният одитор работи и като бизнес съветник, като съветва за създаването на политики и стандарти, които осигуряват информация и контрол на ИКТ.

Един елемент, който ни доведе до голяма степен до намаляване на рисковете по отношение на използването на ИКТ в нашия отдел, е включването на вътрешните одитори на нашата интегрирана система за управление на качеството в процесите на развитие на компютърните системи на Онези, които поддържат и организират някои от нашите дейности, за които ще предоставим нашия опит въз основа на елементите, върху които се поддържа работата на одитора в този контекст. В този случай ние присъстваме на профилактичната работа на одитора, която при правилно преследване допринася не само за обучението на умения във вътрешния контрол на мениджърите и работниците, но и за избягване на нарушения на стандарта.

Участието на вътрешния одитор е един от най-добрите контроли в разработването на компютърни системи за управление на бизнеса, тъй като това е най-доброто време за одитора да повлияе върху дизайна на контролите. През този период могат да се правят промени в структурата за контрол на приложенията с много по-ниска цена и с по-малко усилия, отколкото след като системата е в своя продуктивна фаза.

Основният им принос е да гарантират, че новите системи включват подходящ контрол (ефективен и достатъчен).

Опитът ни ни позволи да определим някои от основните проблеми, с които вътрешният одитор се сблъсква по време на разработването на информационните системи за управление на компанията, за които ще формулираме някои въпроси, на които ще отговорим по-късно.

Одиторите губят своята независимост и обективност, когато участват в разработването на системи? Ако Одиторът участва и каже, че контролите са подходящи, тогава той ще се почувства пречка да каже, че контролите са неадекватни? Оправдано е да създава приложения с лош контрол просто така, одиторът може да запази независимост?

На решения на тези въпроси ще бъдат:

Преглеждайте изпълняваните приложения от вътрешни одитори, различни от тези, които са участвали по време на разработването на системата. Провеждайте прегледи само в критични точки от жизнения цикъл на развитието на системата.

За да се постигне по-добро разбиране на работата на вътрешния одитор през целия процес на създаване на нови компютърни приложения, на които се основава определена дейност на нашето управление на бизнеса, е необходимо да се очертаят различните моменти, през които той преминава от своето раждане до пускането му в експлоатация.

Одит на проекта за развитие на компютърните системи, по това време ръководството на компанията се оценява и информира „доколко добре се изпълняват фазите на развитие на системата“. В този смисъл работата на одитора ще бъде насочена към:
1. Мониторинг и оценка на спазването на политиките и стандартите за развитие на системата. Оценка на обективността на административните прегледи и одобрения на всяка фаза. Оценка на отговорността и степента на участие на потребители, доставчици, техници. Оценка на планирането и изпълнението на фаза на изпълнение.
Одит на администрацията на проекти за развитие на системи Одитните интервенционни точки ще бъдат установени във всеки от етапите на цикъла на развитие на системата.
1. Определение на информационните нужди Определение на модела на данни Проектиране на информационната система Изграждане и тестване на системите Прилагане на системата Работа и настройка на системата
Одит на предишните фази на изследване
1. Одиторът трябва да провери дали процесите, водещи до разрешаване на проблема, са разумни. Също така да се определи, че нуждите на потребителя са дефинирани и документирани. Проверете дали са извършени проучвания на съотношението цена / полза и дали това е разумно. Определете, че бизнес проблемът е решен. Проверете дали са уточнени изисквания за контрол.
Фаза на одит на проекта
1. Рисковете за кандидатстване трябва да бъдат идентифицирани, като се определи контролът върху приложенията, за да се намали рискът до приемливи нива. Съответствието със стандартите, политиките, разпоредбите и документацията за приложение (ръководствата) за приложение трябва да е пълно. решаване на повдигнатите проблеми.

Освен това одиторът трябва да провери:

Спецификации на входа Спецификации на проекта Спецификации на изхода Системи Блок-схема Изисквания за хардуер и софтуер Операции Ръководство Процедура Спецификации Политика за запазване на данни

Одит на фазата на програмиране Следните документи трябва да бъдат прегледани:
1. Спецификации за програмиране Общо проучване на приложенията (транзакции и вериги) Програмна документация Инструкции за експлоатация Тестова документация (проект и резултати от изпитванията)
Одит на фазата на теста Информацията, получена от тестовата фаза, включва:
1. Планирайте тестове Тестовете за данни Тестови резултати от потребителя доклад с приемане или отхвърляне на приложението
Фаза на преобразуване
1. Схема на преобразуване PlanConversion Схема на списъци на програми за преобразуване и документация Необходима документация за замяна на стари програми с нови. Нов наръчник на оператораНово ръководство на потребителяПроверка на процедурата, че фазата на преобразуване е изпълнена успешно.

Нашата същност, в рамките на техния опит в тази модалностОдитът може да се отнася до извършената работа във връзка с две важни приложения, създадени от нашите териториални специалисти: едното от тях е наречено „Регистър на клиенти и регистрационни договори“, а другото „Система за управление на техническите услуги. Ние забелязваме, че от самото раждане на тези компютърни приложения ние сме свързани с вашия проект, разработка и внедряване за целия Териториален отдел, като можем да коригираме на всеки един от тези етапи всички технически подробности, необходими, за да има приложения, които наистина отговарят на нуждите на висшето ръководство, но в същото време те са били утвърдени с инструменти за вътрешен контрол, които биха ни дали сигурността, че информацията, съдържаща се във всеки от този софтуер, не е била лесно нарушена от неговите потребители.

Преди всичко е необходимо да се спомене, че всеки опит, разгледан в нашето изследване, се основава на състоянието на вътрешните одитори, което има Управляващата група, което в нашия случай е съставено от 11 специалисти. Това условие на вътрешните одитори за управление на бизнес е предоставено от регистъра на Lloyd и е одобрено от стандарта ISO 9001, който ни дава правомощия за оценка, одит и подобряване на инструментите за управление, активирани за всеки процес, деклариран в отдела. Стандартът ISO 9001 не противоречи на системата за вътрешен контрол, тъй като изисква като изискване цялото управление на бизнеса да се оценява систематично, за да се открият навреме възможни отклонения, да се коригират и да се работи въз основа на непрекъснати подобрения.,Именно самият стандарт изисква включването на теми, свързани с ИКТ, в обхвата на всеки одит, тъй като работата на компанията в компютърните системи се поддържа.

Юридическият съветник, като надзирател на законността в Дружеството, заедно с част от Управляващата група на Отдела, може да извършва действия по надзор и наблюдение на всяко от заявленията, за които предполагаме по-горе, да пристъпи към това по същия начин изпълняват мениджърите на различните командни структури. Тези прегледи или мониторинг се извършват онлайн, той се утвърждава спрямо основните документи (на хартиен носител), които поддържат всяка регистрация в софтуера и измерва не само законността на всеки запис, но и проследяването на операциите, извършени от потребителите на система.

При всеки надзор измерваме не само спазването на правната норма, но и работата на софтуера, на който поддържаме всяка система. Различните видове отчети, които сме активирали като средство за консултиране с тези приложения, също са част от контролните действия, които сме планирали, което ни дава възможност за измерване на ефективността и ефикасността на всеки процес, но от своя страна, спазването на стандарт, спестяващите системи, възможната уязвимост на системите и поведението на човешкия капитал, който управлява тези ИКТ.

Одит на сигурността въз основа на стандартите ISO27001 и ISO27002

Основната причина на стандартите ISO27001 и ISO27002 е да има система за управление, която позволява, въз основа на факта, че не съществува абсолютна сигурност, да предлага на компании и организации инструменти, които да гарантират максимално възможна сигурност на вашата информация.

Добрата дефиниция на политиките за сигурност е необходима, за да има конкретни насоки на действие в рамките на сигурността, свързана с информационните технологии в бъдеще.

ISO / UNE 2700X СТАНДАРТ

Информацията е най-важният ресурс на всяка компания, тъй като тя е единствената, която не може или е много трудно да се замени. В същото време ресурсът е обект на най-големи уязвимости.

Информационната сигурност има за цел да защити информацията от заплахи, като гарантира непрекъснатостта на бизнеса, както и минимизиране на потенциалните щети и увеличаване на възвръщаемостта на инвестициите и бизнес възможностите. Важно е да се подчертае, че информационната сигурност не е синоним на компютърна сигурност. Информационната сигурност наистина включва технически аспекти, но също така обхваща обхвата на организацията и включва аспекти, които са строго законни.

Критични фактори за внедряване на добри практики, включени в стандартите ISO 27001 и ISO 27002

Политиката за сигурност трябва да бъде адаптирана към целите на организацията; подходът за информационна сигурност трябва да е съобразен с културата на организацията, което изисква ангажираност и видима подкрепа на ръководството.

ОБХВАТ НА ISO 27002

Стандартът ISO27002 (преди ISO 17799) е ръководство за компании и организации, чието съдържание е изключително показателно. Той установява какво трябва да прави компанията, за да има ефективно управление на информационната сигурност.

Структура на ISO 27002

Стандартът е структуриран около 12 области или области на действие, наречени контролни клаузи:

Анализ на риска Политика за сигурност Организация на сигурността Класификация и контрол на активите Сигурност, свързана с персонала Комуникации и управление на операцията Контрол на достъпа до системата Физическа сигурност и околна среда Разработка и поддръжка План за непрекъснатост Спазване до законите. Управление на инциденти със сигурност

Когато успяхме да включим въпроси, свързани с прилагането на ИКТ в управлението на бизнеса, що се отнася до вътрешния одит, успяхме да оценим ефективността на вътрешния контрол в тази важна област на компанията, постигайки истинско разнообразие в контролния списък, използван от одиторите. Онези, които, подпомагани от експерти по тези въпроси, ни дадоха възможност своевременно да откриваме рисковете, да променяме вътрешните разпоредби или наръчници, да определяме и коригираме отклоненията от основните процеси, на които се основава бизнес мениджмънта, обучаваме и развиваме мениджъри и работници на тези дейности, което го прави важен инструментс което има висшето ръководство на нашата организация, което позволява ефективно и навременно вземане на решения в различните командни структури.

Постигането на интегрирана система за управление, която вече е сертифицирана по стандартите ISO 9001, ни позволи да насочим работата, за да постигнем в краткосрочен план сертифициране по стандарти ISO 27001 и 27002, стандарти, в които накратко ще спрем по-долу, Стандартът ISO 27001

Втората част на стандарта BS7799 е преобразувана в стандарт ISO27001 и уточнява как да се прилагат избраните контроли на стандарта ISO27002.

И накрая, важно е да се подчертае голямата му взаимовръзка с други стандарти за управление като добре познатите ISO 9001 за качество и ISO 14001 за околната среда.

Разработването на одит за сигурност на базата на стандартите ISO 27001 и ISO 27002 ще позволи да се знае нивото на сигурност, съществуващо в информацията на компанията, както и да има достатъчно елементи за справяне с бъдещи инвестиции, следвайки не само капацитет, но и критерии за сигурност.

Това е опит, ограничен до нашия Териториален отдел, но той може да бъде прилаган перфектно във всяка кубинска компания, която дори без да има сертифицирана система за управление, може да включи в процеса на вътрешен контрол въпроса, свързан с одита на технологиите. по информатика и комуникации

Изводи.

Препоръки.

Въвеждане, поетапно, в компаниите на наша територия, опитът на териториалното поделение „Вила Клара“ във връзка с включването във вътрешния одит на въпроса, свързан с контрола на информационните технологии и комуникационните технологии. Укрепване на курсовете за обучение за вътрешни одитори в областта на новите информационни технологии и комуникационни технологии, на които се основава голяма част от системата за управление на бизнеса. Въведете в плановете за проучване и квалификация по предмета на одита, въпроси, свързани с новите информационни и комуникационни технологии. Провеждане на семинари на ниво компания,които позволяват на мениджърите и работниците да оценят важността и необходимостта от упражняване на вътрешен контрол във връзка с ИКТ, прилагани към процесите на всяко образувание.

Библиографска справка.

ИКТ одит. Sergio Etcheverry G. [email protected]… Отдел за одит и информационни системи. Актуализирано на: 21.03.2007 г. www.unap.cl/~setcheve/ati/index.html - 9k - Скептиците относно ползите от одити, или по-точно тези на SI-TIC, могат да разсеят съмненията или страховете им чрез Асоциацията на www. idg.es/computerworld/articulo.asp?id=160393 - 65k –Audit Process. · Роля на одита в ИКТ. · Основни концепции за одит. · Стандарти и насоки за одит… www.itdeusto.com/itdeusto/modules/idealportal/upload/Master.pdf - Защита на информационните активи и непрекъснатостта на бизнеса и възстановяване при бедствия. ДИПЛОМА. ОДИТ НА СИСТЕМИТЕ И ИКТ. usistemas.cl/2006/images/stories/pdf_diplomas/auditoria_contabilidad/r_diplomado_auditoria_sistemas_ti.pdf - Намерете други елементи, маркирани с „auditoria-tic“:. Technorati Del.icio.us IceRocket · Условия за ползване · Поверителност · Помощ · Статистика… en.wordpress.com/tag/auditoria-tic/ - 10k –експерт по одит, експертиза и управление на ИКТ. Основен тип:. Курс на експертите. Модалност лице в лице. Начална дата:. Всеки месец. Учебни часове:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В одитите на отделите за ИКТ степента на съответствие на катедрата с нуждите на организацията,… integral.abast.es/auditoria_departamentos_tic.shtml - 11k - Основна страница на уебсайта на Abast Grup, глобален доставчик на бизнес решения и ИКТ услуги.us IceRocket · Условия за ползване · Поверителност · Помощ · Статистика… en.wordpress.com/tag/auditoria-tic/ - 10k –експерт по одит, експертиза и управление на ИКТ. Основен тип:. Курс на експертите. Модалност лице в лице. Начална дата:. Всеки месец. Учебни часове:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В одитите на отделите за ИКТ степента на съответствие на катедрата с нуждите на организацията,…us IceRocket · Условия за ползване · Поверителност · Помощ · Статистика… en.wordpress.com/tag/auditoria-tic/ - 10k –експерт по одит, експертиза и управление на ИКТ. Основен тип:. Курс на експертите. Модалност лице в лице. Начална дата:. Всеки месец. Учебни часове:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В одитите на отделите за ИКТ степента на съответствие на катедрата с нуждите на организацията,… integral.abast.es/auditoria_departamentos_tic.shtml - 11k - Основна страница на уебсайта на Abast Grup, глобален доставчик на бизнес решения и ИКТ услуги.Учебни часове:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В одитите на отделите за ИКТ степента на съответствие на катедрата с нуждите на организацията,… integral.abast.es/auditoria_departamentos_tic.shtml - 11k - Основна страница на уебсайта на Abast Grup, глобален доставчик на бизнес решения и ИКТ услуги.Учебни часове:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В одитите на отделите за ИКТ степента на съответствие на катедрата с нуждите на организацията,… integral.abast.es/auditoria_departamentos_tic.shtml - 11k - Основна страница на уебсайта на Abast Grup, глобален доставчик на бизнес решения и ИКТ услуги.

integ.abast.es/ - 13k - Осъществява среща на професионалисти в областта на одита и контрола с новите концепции и подходи на тази професионална работа,… 158.170.11.155:8080/moodle/course/info.php?id = 26 - 5k –информация на статията COBIT 4.0 Рамка за одит на ИКТ. dialnet.unirioja.es/servlet/articulo?codigo=2164668 - 10k -

Изтеглете оригиналния файл