Аудит информационных и коммуникационных технологий. Copextel SA Case

Название нашей работы: «Двойная функция внутреннего аудитора в аудите информационных технологий и массовых коммуникаций. Опыт территориальной дивизии Вилла-Клара ».

В Авторы этой работы ЦКМ. Антонио Родригес Перес, выпускник юридического факультета Центрального университета Лас-Вильяс, юрисконсульт и советник по вопросам внутреннего контроля в COPEXTEL SA, территориальное подразделение Villa Clara и Lic. Ольга Лидия Леон Бургуэра, юрисконсульт, выпускник бакалавриата юриспруденция в Университете Гаваны, советник COPEXTEL SA, Территориальное управление виллы Клара по вопросам управления качеством.

Исследование оформлено на предмет аудита, особенно на предмет, связанный с аудитом информационных технологий.

В задачи мы ставим перед собой следующие: Установить прямую историю информационно-коммуникационных технологий аудита; определить влияние ИКТ на управление бизнесом; указать двойную роль внутреннего аудитора в аудитах ИКТ и указать на важность валидации всех этих процессов на основе международных стандартов, определяя их на основе опыта COPEXTEL SA, территориального подразделения Villa Clara.

Аудит ИКТ становится все более актуальным, начиная с его появления в 1969 году, из-за возрастающей важности и значимости компьютерных систем во всех сферах нашего общества. Эти проверки помогают организациям оценить, как они ведут бизнес или предоставляют свои услуги с поддержкой ИКТ, стремясь защитить интересы государства, работников и клиентов. Одним из элементов, который побудил нас в значительной степени снизить риски с точки зрения использования ИКТ в нашем Подразделении, было включение внутренних аудиторов нашей Интегрированной системы управления качеством в процессы разработки компьютерных систем на те, которые поддерживают и организуют некоторые из наших мероприятий.Участие внутреннего аудитора является одним из лучших средств контроля в разработке компьютеризированных систем управления бизнесом, поскольку для аудитора это наилучшее время для влияния на разработку средств контроля. Информация является наиболее важным ресурсом любой компании, поскольку она является единственной, которую невозможно или очень трудно заменить. В то же время именно этот ресурс подвержен наибольшим уязвимостям. Когда нам удалось включить вопросы, связанные с применением ИКТ в управление бизнесом, во Внутренний аудит, нам удалосьза то, что он единственный, кого невозможно или очень трудно заменить. В то же время именно этот ресурс подвержен наибольшим уязвимостям. Когда нам удалось включить вопросы, связанные с применением ИКТ в управление бизнесом, во Внутренний аудит, нам удалосьза то, что он единственный, кого невозможно или очень трудно заменить. В то же время именно этот ресурс подвержен наибольшим уязвимостям. Когда нам удалось включить вопросы, связанные с применением ИКТ в управление бизнесом, во Внутренний аудит, нам удалосьоценить эффективность внутреннего контроля в этой важной сфере деятельности компании, добившись истинного разнообразия в контрольном списке, используемом аудиторами. Достижение интегрированной системы управления, уже сертифицированной по стандартам ISO 9001, позволило нам направить работу для достижения в краткосрочной перспективе сертификации по стандартам ISO 27001 и 27002 - стандартам, в которых мы кратко остановимся ниже.,

Основные выводы, к которым мы пришли в нашем исследовании, заключаются в том, что головокружительное развитие, которое информационные технологии и коммуникационные технологии требуют от делового мира, более эффективно предпринимает в отношении упорядочения механизмов внутреннего контроля, не искажая его суть; Кроме того, мы смогли проверить, что работа Аудитора с первых моментов появления и внедрения компьютерных приложений позволяет нам выявлять и исправлять возможные риски в управлении бизнесом с меньшими затратами и более своевременно. Еще один вывод, к которому мы пришли, состоит в том, что в вопросах внутреннего аудита систем управления бизнесом возможно и объективно возможно интегрировать вопросы, связанные с контролем,контроль и инспекция информационных технологий и коммуникационных технологий, в дополнение к возможности проверить эти передовые практики с помощью международных стандартов, таких как ISO 27001 и 27002.

Развитие.

В задачи мы ставим перед собой следующие:

Установить непосредственную историю аудита информационных и коммуникационных технологий; определить влияние ИКТ на управление бизнесом; указать двойную роль внутреннего аудитора в аудитах ИКТ; указать на важность проверки всех этих процессы, основанные на международных стандартах.Основите опыт COPEXTEL SA, Территориальное подразделение Villa Clara, в отношении применения этих передовых методов.

Сфера нашего исследования была в основном сосредоточена на работе, проводимой в COPEXTEL SA, Вилья - Клара территориального отдела по внутренних аудиторов интегрированной системы менеджмента качества, связанных с пересмотром информационных технологий и коммуникационных технологий и их вставки в нашей Системе управления бизнесом, как часть действий системы внутреннего контроля, которые мы имеем. Наш опыт охватывал семь стратегических бизнес-единиц, заявленных в нашей организационной структуре, 4 службы поддержки и управленческий аппарат Отдела.

Глобализация, Интернет, новые рынки… Растущая сложность сред, в которых работают компании, и особенно растущее значение, которое приобретают информационные системы, заставляет отделы внутреннего аудита прилагать усилия для прогнозирования новых рисков. пока не стало слишком поздно. Совершенная координация с отделами, отвечающими за информационные системы, которые не всегда существуют, имеет важное значение для этой задачи.

Аудит информационных и коммуникационных технологий становится все более актуальным, начиная с его появления в 1969 году, из-за возрастающей важности и значимости компьютерных систем во всех сферах нашего общества. В настоящее время компании и организации передают в свои информационные системы ответственность за эффективное и действенное управление своими бизнес-транзакциями. Ручные процессы все реже и реже, и на практике наблюдается, что почти все компании используют огромный доступный процесс, управленческие и коммуникационные возможности, все по все более доступным ценам для организаций всех размеров.Эта ответственность означает, что возможная потеря работы этих систем оказывает очень важное влияние на возможности корпоративного управления, что делает все более важным наличие методов и технологий, которые сводят к минимуму вероятность инцидентов, связанных с этими последствиями. отрицательный.

Электронная обработка данных началась в 1950-х годах, чтобы вести учет и вести учет деятельности в организациях. Вскоре начался интерес к аудиту информационных систем, поддерживаемым ими бизнес-процессам, финансово-бухгалтерским данным, технологической инфраструктуре и компьютерной безопасности.

Мероприятия, поддерживаемые ИКТ, анализируются для проверки средств контроля, соответствия политикам и нормативам, а также степени, в которой они поддерживают эффективность, результативность и экономическую рентабельность.

Эти проверки помогают организациям оценить, как они ведут свою деятельность или предоставляют свои услуги с поддержкой ИКТ, стремясь защитить интересы государства, работников и клиентов. Это позволяет проверять безопасность, надежность, целостность и конфиденциальность информационных систем.

Учитывая растущую зависимость организаций от ИКТ и появление нормативов для их эффективного управления, внутренний аудитор также работает в качестве бизнес-консультанта, консультируя по вопросам разработки политики и стандартов, которые обеспечивают информацию и контроль над ИКТ.

Одним из элементов, который побудил нас в значительной степени снизить риски с точки зрения использования ИКТ в нашем Отделе, было включение внутренних аудиторов нашей Интегрированной системы управления качеством в процессы разработки компьютерных систем на те, которые поддерживают и организуют некоторые из наших действий, для которых мы будем предоставлять наш опыт на основе элементов, на которых работа Аудитора поддерживается в этом контексте. В данном случае мы находимся в профилактической работе Аудитора, которая при надлежащем судебном преследовании способствует не только обучению навыкам внутреннего контроля руководителей и работников, но и предотвращению нарушений стандарта.

Участие Внутреннего аудитора является одним из лучших средств контроля при разработке компьютеризированных систем управления бизнесом, поскольку для Аудитора это наилучшее время для влияния на разработку средств контроля. В течение этого периода могут быть внесены изменения в структуру управления приложениями при гораздо меньших затратах и с меньшими усилиями, чем после того, как система находится в своей продуктивной стадии.

Их основной вклад заключается в обеспечении того, чтобы новые системы включали соответствующие средства контроля (эффективные и достаточные).

Наш опыт позволил нам определить некоторые из основных проблем, с которыми сталкивается внутренний аудитор при разработке информационных систем управления, для которых мы сформулируем некоторые вопросы, на которые мы ответим позже.

Аудиторы теряют свою независимость ума и объективности при участии в разработке систем. Если аудитор участвует и говорит, что средства управления являются подходящими, то он будет вынужден сказать, что средства управления неадекватны? Разумно создавать приложения с плохими средствами управления просто так, чтобы Аудитор может сохранить независимость?

В решениях по этим вопросам будут:

Проведите проверку приложений, проверенных внутренними аудиторами, за исключением тех, которые участвовали в разработке системы, и проводите проверки только в критических точках жизненного цикла разработки системы.

Чтобы лучше понять работу Внутреннего аудитора на протяжении всего процесса создания новых компьютерных приложений, на которых основана определенная деятельность нашего Управления бизнесом, необходимо описать различные моменты, через которые он проходит с момента своего рождения до ввод в эксплуатацию.

Аудит Проекта по развитию компьютерных систем, когда руководство компании оценивается и информируется о том, «насколько хорошо выполняются этапы разработки системы». В этом смысле работа Аудитора будет направлена на:
1. Мониторинг и оценка соответствия политикам и стандартам разработки системы. Оценка объективности административных проверок и одобрений каждого этапа. Оценка ответственности и степени участия пользователей, поставщиков, технических специалистов. Оценка планирования и выполнения этап реализации.
Аудит Администрации Проектов Развития Систем. Точки вмешательства аудита будут создаваться на каждом из этапов цикла разработки Системы.
1. Определение информационных потребностей Определение модели данных Проектирование информационной системы Построение и тестирование систем Внедрение системы Эксплуатация и настройка системы
Аудит предыдущих этапов обучения
1. Аудитор должен проверить, что процессы, ведущие к решению проблемы, являются разумными. Также определите, что потребности пользователя определены и задокументированы. Убедитесь, что были проведены исследования по соотношению затрат и выгод и что это разумно. Определите, что бизнес-проблема была решена. Убедитесь, что контрольные требования были уточнены.
Аудит этапа проектирования
1. Необходимо идентифицировать риски приложения, определяя средства управления приложением для снижения риска до приемлемых уровней. Должно быть выполнено соответствие стандартам, политикам, правилам и документации приложения (руководствам). Приложение должно быть способно решить возникшие проблемы.

Кроме того, Аудитор должен проверить:

Технические характеристики входных данных Технические характеристики проекта Технические характеристики выходных данных Блок-схема системы Требования к аппаратному и программному обеспечению Руководство по эксплуатации Процедура Технические характеристики Политика хранения данных

Аудит на этапе программирования Следующие документы должны быть рассмотрены:
1. Спецификации программирования Общие прикладные исследования (транзакции и цепочки) Программная документация Инструкция по эксплуатации Тестовая документация (дизайн и результаты испытаний)
Аудит этапа тестирования Информация, полученная на этапе тестирования, включает в себя:
1. План испытаний Данные тесты Результаты испытаний пользовательский отчет с принятием или отклонением заявки
Аудит фаз конверсии
1. План преобразования Конверсионная блок-схемаПрограммные списки и документация по преобразованию Необходимая документация для замены старых программ новыми. Новое руководство для оператора. Новое руководство пользователя. Проверка того, что этап преобразования успешно выполнен.

Наша сущность в рамках своего опыта в этой модальностиАудит может относиться к работе, выполненной в отношении двух важных приложений, созданных нашими территориальными специалистами: одно из них называется «Реестр клиентов и реестры контрактов», а другое - «Системой управления техническими услугами». Мы наблюдаем, что с самого рождения этих компьютерных приложений мы связаны с вашим проектом, разработкой и внедрением для всего территориального подразделения, и на каждом из этих этапов мы можем исправить все технические детали, необходимые для того, чтобы приложения действительно отвечали потребностям старшее руководство, но в то же время они были проверены с помощью инструментов внутреннего контроля, что дало бы нам уверенность в том, что информация, содержащаяся в каждом из этих программ, не была легко нарушена его пользователями.

Прежде всего, необходимо отметить, что каждый опыт, рассматриваемый в нашем исследовании, основан на состоянии внутренних аудиторов, которыми обладает Группа управления, которая в нашем случае состоит из 11 специалистов. Это условие внутренних аудиторов по управлению бизнесом было предоставлено Регистром Ллойда и одобрено стандартом ISO 9001, который дает нам полномочия оценивать, проверять и улучшать инструменты управления, включенные для каждого процесса, заявленного в Отделе. Стандарт ISO 9001 не вступает в противоречие с системой внутреннего контроля, поскольку требует, чтобы в качестве требования систематически оценивалось все управление бизнесом, чтобы своевременно выявлять возможные отклонения, исправлять их и работать на основе постоянных улучшений,Сам стандарт требует включения тем, связанных с ИКТ, в сферу охвата каждого аудита, поскольку деятельность Компании в области компьютерных систем устойчива.

Юрисконсульт, как наблюдатель за законностью в Компании, вместе с частью группы управления Подразделения, может осуществлять действия по надзору и мониторингу каждого из приложений, на которые мы ссылаемся выше, действовать таким же образом, выполнять менеджеров различных командных структур. Эти проверки или мониторинг выполняются в режиме онлайн, он проверяется на соответствие первичным документам (в печатном виде), которые поддерживают каждую регистрацию в Программном обеспечении, и он измеряет не только законность каждой сделанной записи, но также и отслеживаемость операций, выполняемых пользователями система.

В каждом надзоре мы измеряем не только соответствие правовой норме, но и работу программного обеспечения, на котором мы поддерживаем каждую систему. Различные типы отчетов, которые мы включили в качестве средства просмотра этих приложений, также являются частью запланированных нами контрольных действий, которые дают нам возможность измерять эффективность и результативность каждого процесса, но, в свою очередь, соответствие стандарт, системы сохранения, возможная уязвимость систем и поведение человеческого капитала, который управляет этими ИКТ.

Аудит безопасности на основе стандартов ISO27001 и ISO27002

Основой стандартов ISO27001 и ISO27002 является наличие системы управления, которая позволяет, исходя из того, что абсолютной безопасности не существует, предлагать компаниям и организациям инструменты, гарантирующие максимально возможную безопасность вашей информации.

Хорошее определение политик безопасности необходимо, чтобы иметь конкретные направления действий в рамках безопасности, связанные с информационными технологиями в будущем.

ISO / UNE 2700X СТАНДАРТ

Информация является наиболее важным ресурсом любой компании, поскольку она является единственной, которую невозможно или очень трудно заменить. В то же время именно этот ресурс подвержен наибольшим уязвимостям.

Информационная безопасность направлена на защиту информации от угроз, обеспечение непрерывности бизнеса, а также минимизацию потенциального ущерба и максимизацию прибыли от инвестиций и возможностей для бизнеса. Важно подчеркнуть, что информационная безопасность не является синонимом компьютерной безопасности. Информационная безопасность действительно включает технические аспекты, но она также распространяется на сферу деятельности организации и включает в себя аспекты, которые строго законны.

Критические факторы для внедрения передового опыта, включенного в стандарты ISO 27001 и ISO 27002

Политика безопасности должна быть адаптирована к целям организации; подход информационной безопасности должен соответствовать культуре организации, требуя приверженности и видимой поддержки со стороны руководства.

ОБЛАСТЬ ПРИМЕНЕНИЯ ISO 27002

Стандарт ISO27002 (ранее ISO 17799) является руководством для компаний и организаций, чье содержание является в высшей степени показательным. Он устанавливает, что компания «должна делать» для эффективного управления информационной безопасностью.

Структура ISO 27002

Стандарт структурирован вокруг 12 областей или областей действия, называемых Контролем:

Анализ рисков Политика безопасности Организация безопасности Классификация и контроль активов Безопасность, связанная с персоналом Коммуникации и управление операциями Контроль доступа к системе Физическая безопасность и окружающая среда Разработка и сопровождение План обеспечения непрерывности Соответствие к законам. Управление инцидентами безопасности

Когда нам удалось включить вопросы, связанные с применением ИКТ в управлении бизнесом, когда речь заходит о внутреннем аудите, мы смогли оценить эффективность внутреннего контроля в этой важной области компании, добившись истинного разнообразия в контрольном списке, используемом аудиторами. Те, кто при содействии экспертов в этих вопросах дал нам возможность своевременно выявлять риски, изменять внутренние правила или руководства, определять и исправлять отклонения от основных процессов, на которых основано управление бизнесом, обучать и развивать менеджеров и работников на эти мероприятия, что делает его важным инструментомс которыми имеет высшее руководство нашей организации, что позволяет эффективно и своевременно принимать решения в различных структурах командования.

Достижение интегрированной системы управления, уже сертифицированной по стандартам ISO 9001, позволило нам направить работу для достижения в краткосрочной перспективе сертификации по стандартам ISO 27001 и 27002, стандартов, в которых мы кратко остановимся ниже., СТАНДАРТ ISO 27001

Вторая часть стандарта BS7799 стала стандартом ISO27001 и определяет, как реализовать выбранные элементы управления в стандарте ISO27002.

Наконец, важно подчеркнуть его отличную взаимосвязь с другими стандартами управления, такими как хорошо известный ISO 9001 для качества и ISO 14001 для окружающей среды.

Развитие аудита безопасности на основе стандартов ISO 27001 и ISO 27002 позволит узнать уровень безопасности, существующий в информации компании, а также иметь достаточно элементов для решения будущих инвестиций, следуя не только пропускной способности, но и критериям безопасности.

Это был опыт, ограниченный нашим территориальным подразделением, но он может быть идеально применен в любой кубинской компании, которая, даже не имея сертифицированной системы управления, может включить в процесс внутреннего контроля проблему, связанную с технологическим аудитом. информатики и связи

Выводы.

Рекомендации.

Внедрить поэтапно на предприятиях нашей территории опыт территориального подразделения Villa Clara в отношении включения в рамках внутреннего аудита вопроса, касающегося контроля за информационными технологиями и коммуникационными технологиями. Продвигать учебные курсы внутренних аудиторов в области новых информационных и коммуникационных технологий, на которых основана большая часть системы управления бизнесом. Ввести в планы обучения и квалификации субъекта аудита, вопросы, связанные с новыми информационно-коммуникационными технологиями. Проведение семинаров на уровне компании,которые позволяют руководителям и работникам оценивать важность и необходимость осуществления внутреннего контроля в отношении ИКТ, применяемой к процессам каждого субъекта.

Библиографическая ссылка.

ИКТ аудит. Серхио Этчеверри Г. [email protected]… Департамент аудита и информационных систем. Обновлено: 21.03.2007. www.unap.cl/~setcheve/ati/index.html - 9k - Скептики о преимуществах проверок или, в частности, о SI-TIC, могут развеять свои сомнения или страхи через Ассоциацию www. idg.es/computerworld/articulo.asp?id=160393 - 65 КБ - процесс проверки. · Роль аудита в ИКТ. · Основные концепции аудита. · Стандарты и руководящие принципы аудита… www.itdeusto.com/itdeusto/modules/idealportal/upload/Master.pdf - Защита информационных активов, непрерывности бизнеса и аварийного восстановления. ДИПЛОМ. АУДИТ СИСТЕМ И ИКТ. usistemas.cl/2006/images/stories/pdf_diplomas/auditoria_contabilidad/r_diplomado_auditoria_sistemas_ti.pdf –Найдите другие элементы, отмеченные как «auditoria-tic»:. Technorati Del.icio.us IceRocket · Условия предоставления услуг · Конфиденциальность · Помощь · Статистика… en.wordpress.com/tag/auditoria-tic/ - 10k - Эксперт в области аудита, экспертизы и управления ИКТ. Мастер тип:. Экспертный курс. Фейс модальность. Дата начала:. Каждый месяц. Учебные часы:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В ревизиях департаментов ИКТ степень согласованности кафедры с потребности организации,… целостность.abast.es/auditoria_departamentos_tic.shtml - 11k - главная страница веб-сайта Abast Grup, глобального поставщика бизнес-решений и услуг ИКТ.us IceRocket · Условия предоставления услуг · Конфиденциальность · Помощь · Статистика… ru.wordpress.com/tag/auditoria-tic/ - 10k - Эксперт в области аудита, экспертизы и управления ИКТ. Мастер тип:. Экспертный курс. Фейс модальность. Дата начала:. Каждый месяц. Учебные часы:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В ревизиях департаментов ИКТ степень согласованности департамента с потребности организации,… целостность.abast.es/auditoria_departamentos_tic.shtml - 11k - главная страница веб-сайта Abast Grup, глобального поставщика бизнес-решений и услуг ИКТ.us IceRocket · Условия предоставления услуг · Конфиденциальность · Помощь · Статистика… ru.wordpress.com/tag/auditoria-tic/ - 10k - Эксперт в области аудита, экспертизы и управления ИКТ. Мастер тип:. Экспертный курс. Фейс модальность. Дата начала:. Каждый месяц. Учебные часы:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В ревизиях департаментов ИКТ степень согласованности департамента с потребности организации,… целостность.abast.es/auditoria_departamentos_tic.shtml - 11k - главная страница веб-сайта Abast Grup, глобального поставщика бизнес-решений и услуг ИКТ.Учебные часы:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В ревизиях департаментов ИКТ степень согласованности департамента с потребности организации,… целостность.abast.es/auditoria_departamentos_tic.shtml - 11k - главная страница веб-сайта Abast Grup, глобального поставщика бизнес-решений и услуг ИКТ.Учебные часы:… www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm - 36k - В ревизиях департаментов ИКТ степень согласованности департамента с потребности организации,… целостность.abast.es/auditoria_departamentos_tic.shtml - 11k - главная страница веб-сайта Abast Grup, глобального поставщика бизнес-решений и услуг ИКТ.

целостность.abast.es/ - 13k - Создать встречу профессионалов в области аудита и контроля с новыми концепциями и подходами этой профессиональной работы,… 158.170.11.155:8080/moodle/course/info.php?id = 26 - 5k –Информация о статье COBIT 4.0 Framework для аудита ИКТ. dialnet.unirioja.es/servlet/articulo?codigo=2164668 - 10 000 -

Скачать оригинальный файл