Введение
В этой статье рассказывается о теме аудита информационных систем. Тема начинается с определения того, что такое аудит, и некоторых существующих типов. Позже информационные системы обсуждаются в организациях, их характеристиках, процессе, которому они следуют, и классификации, которой они управляют.
После того, как основы этих двух частей созданы, они объединяются, чтобы создать определение аудита информационных систем в организациях. Упоминаются цели, которые преследует этот процесс, а также причины его реализации в компании.
Упоминаются организмы, которые стандартизировали этот процесс, и, наконец, предлагается общий метод его проведения.
Аудит информационных систем
Прежде чем начать говорить о том, что такое аудит организационных информационных систем, я считаю необходимым определить понятия отдельно, таким образом, мы начнем с общего, чтобы перейти к наиболее конкретному и получить более четкое представление о предмете.
аудит
Первый термин для определения - Аудит. Согласно ISO 19011, Аудит - это «системный, независимый и документированный процесс для получения доказательств и их объективной оценки для определения степени соответствия установленным критериям» (ISO, 2012).
Существуют аудиты разных типов, которые применяются к компаниям, каждая из которых регулярно проводится по регионам. Например, существуют налоговые, бухгалтерские, финансовые, социальные, качественные, операционные проверки, среди прочего.
Организационная информационная система
Второе определение, которое следует упомянуть, - это определение информационной системы, известной своими инициалами как SI. Информационная система - это набор взаимосвязанных элементов, которые служат для обработки данных и могут быть полезны в деятельности организаций.
Внутри СИ есть взаимодействие между людьми, данными, программным обеспечением, оборудованием; и если они недоступны, физические базы данных, которые функционируют как реестры, в дополнение к другим средствам связи и технологии, сопровождаются правилами и положениями компании.
Процесс, выполняемый информационной системой, состоит из четырех этапов:
- Хранилище данных
Ввод данных происходит при записи нужных данных. Хранение относится к деятельности по сохранению данных в базе данных либо физически, либо электронно (на компьютере). Следующим этапом является обработка данных, в которой данные преобразуются в полезную информацию. Наконец выход найден, этот этап необходим для получения информации, которая будет использоваться для принятия решения.
Одни данные не содержат никакой ценности для компаний, пока они не проанализированы и не обработаны, полученная информация генерирует важные знания. По этой причине информационные системы должны быть качественными.
Основные характеристики, которыми должна обладать информация в системе поддержки бизнеса:
- Это относится к тому факту, что информация должна быть доступна в нужное время, ни до, ни после, чтобы иметь возможность использовать ее без задержки, а это означает, что информация всегда должна быть реальной, без изменений и без ошибок. Что информация защищена и управляется доверенными лицами.
Из-за большой полезности информационных систем они реализуются с различными целями внутри компании.
Они существуют для коммерческих, производственных, финансовых и административных целей. Примеры каждого из них:
- Бизнес-система: используется для планирования закупок, продаж и управления запасами. Производственная система: закупка материалов, контакты с поставщиками, планирование заказов, производственные затраты. Система бухгалтерского учета: составление прогнозов, бюджетов, финансовых соображений, фискальный контроль. Система Заработная плата: объединяет заработную плату, IMSS, прежде всего, страхование.
Аудит организационных информационных систем
Эта деятельность определяется как: «Проверка средств контроля при обработке информации, разработке и установке систем с целью оценки их эффективности и представления рекомендаций для руководства» (Naranjo, 2005).
Он состоит из проверки и оценки средств контроля, а также систем и процессов для обработки информации компании.
цели
Цели этого аудита:
- Защита полезных активов для обработки данных, предотвращение кражи, уничтожения, ненадлежащего использования, поддержание целостности данных, благодаря вкладу информации, которая обрабатывается в компании, для достижения организационных целей.
Причины проведения аудита
Ситуации, которые могут указывать на необходимость аудита (Ynfante, 2010):
- Значительное и неоправданное увеличение бюджета PAD (Департамент обработки данных). Отсутствие информации в областях деятельности компании. Полное или частичное отсутствие логических и физических мер защиты, гарантирующих целостность персонала, оборудования и информации. Обнаружение мошенничества осуществляется с помощью Компьютерное отсутствие планирования из-за нехватки своевременной информации. Недовольство клиентов из-за сроков и низкого качества результатов.
Органы, которые занимаются контролем и аудитом СИ
Некоторые из основных органов, которые служат источниками стандартов для проведения аудита:
- ISACA - Ассоциация аудита и контроля информационных систем ISO - Международная организация по стандартизации NIST - Национальный институт стандартов и технологий США.
методология
В настоящее время существует три типа аудиторских методологий, ROA. (подход, ориентированный на риск, контрольный список или вопросники и аудит продукта).
Методология, представленная ниже, является наиболее широко используемой и общей. Весь процесс делится на три части: планирование, исполнение и мнение.
Планирование аудита информационной системы компании состоит в определении источника аудита, то есть где он будет местом, с которого он должен начаться, после чего следует предварительно посетить район. Затем мы продолжаем устанавливать цели, которые мы хотим достичь, определять моменты, которые будут оцениваться в ходе аудита, и подготавливать планы, программы и бюджеты для их реализации. Затем необходимо определить и выбрать методы, инструменты, инструменты и процедуры, необходимые для аудита, и назначить ресурсы и системы, которые будут полезны для аудита.
Вторая часть состоит из выполнения, здесь выполняются действия, запрограммированные для аудита, применяются установленные инструменты и инструменты, и, при необходимости, готовятся документы о найденных возможностях для улучшения и продолжается анализ полученной информации.
Среди методов и инструментов, которые могут быть использованы: наблюдение, интервью, анкетирование, опросы, контрольные списки и инвентаризация.
Третья и последняя часть - это мнение. На этом этапе представлены полученные результаты.
вывод
Аудит организационных информационных систем очень важен, к сожалению, многие компании рассматривают этот процесс как обязательное требование, которое заставляет их тратить время и деньги, когда реальность такова, что этот процесс помогает организациям идти по пути к своим цели. Информация, предоставляемая системой, является ключевым ресурсом компании для планирования будущего, контроля настоящего и оценки прошлого.
Аудит информационных систем может проводиться лицом, внешним по отношению к компании, или каким-либо внутренним сотрудником, если он соответствует объективности.
Важно, чтобы в конце аудита полученные результаты отслеживались, поскольку, если проблема не будет решена, цель ее решения не будет достигнута.
Некоторые многонациональные компании, такие как Toyota, периодически используют процесс аудита, поскольку они заинтересованы в том, чтобы их информационная система работала должным образом, отказ означал бы потери клиентов и хорошую репутацию, которой они достигли.
Ссылки
- ASF. (2014). Получено 7 сентября 2015 г. из Высшего аудита Федерации: http://www.asf.gob.mx/INCAP. (2011). Получено 7 сентября 2015 г. из INCAP: http://www.incap.int/sisvan/index.php/es/acerca-de-san/conceptos/sistema-de-vigilanciaISO. (2012). Получено 7 сентября 2015 г. у Испанской ассоциации качества: http://www.aec.es/web/guest/centro-conocimiento/une-en-iso-19011 López, A. (2013). Получено 7 сентября 2015 г. с сайта UV: http://www.uv.mx/personal/artulopez/files/2012/10/07-Auditoria-de-SI.pdfNaranjo, A. (2005). Системный аудит. Получено 7 сентября 2015 г. с сайта galeon.com: http://anaranjo.galeon.com/Solarte, F. (2011). Получено 6 сентября 2015 г. у системного аудитора: http://auditordesistemas.blogspot.mx/Yañez, C. (октябрь 2011 г.).Получено 7 сентября 2015 г. у OLACEFS: http://www.olacefs.com/wp-content/uploads/2014/08/1erlugar.pdfYnfante, R. (2010). Получено 7 сентября 2015 г. с сайта monografías.com:
