信息和通信技术审计。copextel sa case

该标题我们的工作是：“内部审计在信息技术和通信的审计双重功能。别墅克拉拉领土部的经验”。

这项工作的作者是MsC。安东尼奥·罗德里格斯·佩雷斯（AntonioRodríguezPérez），拉斯维拉斯中央大学法学学位，COPEXTEL SA，维拉克拉拉地区分部法律顾问和内部控制问题法律顾问。哈瓦那大学法学博士学位，COPEXTEL SA顾问，维拉克拉拉地区质量管理事务部。

这项研究是在框架主体审计，特别是在涉及到信息技术的审计对象。

我们为自己设定的目标如下：建立信息和通信技术审计的直接背景；确定信息通信技术在业务管理中的影响；明确内部审计师在ICT审计中的双重作用，并指出根据国际标准验证所有这些流程的重要性，并根据Villa Clara领土分部COPEXTEL SA的经验对其进行定义。

ICT审计自1969年问世以来，由于计算机系统在本协会所有领域中的重要性和地位日益提高，因此变得越来越重要。这些审计帮助组织评估其开展业务或提供ICT支持的服务的方式，以保护国家，工人和客户的利益。导致我们在很大程度上降低了我们部门使用ICT的风险的一项因素是，将我们的综合质量管理体系的内部审核员纳入了计算机系统的开发流程中。支持和组织我们某些活动的组织。内部审计员的参与是计算机化业务管理系统开发中最好的控制措施之一，因为这是审计员影响控制措施设计的最佳时间。信息是任何公司中最重要的资源，因为它是唯一无法或很难替代的资源。同时，遭受最高漏洞攻击的是资源。当我们能够将与ICT的应用相关的问题纳入内部审计的业务管理时，我们设法因为它是唯一无法或很难替代的产品。同时，遭受最高漏洞攻击的是资源。当我们能够将与ICT的应用相关的问题纳入内部审计的业务管理时，我们设法因为它是唯一无法或很难替代的产品。同时，遭受最高漏洞攻击的是资源。当我们能够将与ICT的应用相关的问题纳入内部审计的业务管理时，我们设法评估公司这一重要领域的内部控制有效性，从而实现审计师使用的检查表的真正多样性。实现已经通过ISO 9001标准认证的集成管理系统，使我们能够指导工作，以便在短期内实现通过ISO 27001和27002标准的认证，我们将在下面简要介绍以下标准。

我们在研究中得出的主要结论是，信息技术和通信技术的蓬勃发展，要求商业界在不影响其内部控制机制本质的前提下，对内部控制机制的排序采取更有效的措施。此外，我们能够验证审计员的工作，从计算机应用程序的出现和实施的第一刻起，就使我们能够以更低的成本和更及时的方式检测并纠正业务管理中可能存在的风险。我们得出的另一个结论是，在业务管理系统的内部审计中，将与控制，监督和检查信息技术和通信技术，此外还可以选择按照国际标准（例如ISO 27001和27002）验证这些最佳做法。

发展。

我们为自己设定的目标如下：

建立信息和通信技术审计的直接历史；定义ICT对业务管理的影响；指定内部审计员在ICT审计中的双重作用；指出验证所有这些的重要性基于国际标准的流程，着重介绍COPEXTEL SA（维拉克拉拉地区局）在应用这些良好实践方面的经验。

该范围我们的调查已基本集中在COPEXTEL SA，比亚克拉拉领土划分开展的工作，通过综合质量管理体系的内部审计，涉及到信息技术和通信技术及其插入修订在我们的业务管理系统中，作为我们内部控制系统行动的一部分。我们的经验涵盖了我们组织结构中宣布的七个战略业务部门，四个支持管理部门以及该部门的管理机构。

全球化，互联网，新市场…公司运营环境的日益复杂，尤其是信息系统已变得越来越重要，因此内部审计部门必须努力预测新的风险。趁早。与负责并不总是存在的信息系统的部门的完美协调对于此任务至关重要。

自1969年问世以来，由于计算机系统在本社所有领域中的重要性和重要性日益提高，因此信息和通信技术审计的重要性与日俱增。当前，公司和组织在其信息系统中存放有效和高效地管理其业务交易的责任。手动流程的频率越来越低，在实践中，几乎所有公司都在利用可用的巨大流程，管理和沟通能力，而这些价格对于各种规模的组织而言都是越来越负担得起的。这种责任意味着这些系统可能的运行损失对公司管理能力具有非常重要的影响，因此越来越需要使方法和技术能够最大程度地减少涉及这些后果的事件的可能性。负。

电子数据处理始于1950年代，用于记帐并记录组织中的活动。不久之后，人们开始对信息系统的审计，它们所支持的业务流程，财务会计数据，技术基础结构和计算机安全性产生兴趣。

对信通技术支持的活动进行审查，以审查控制措施，对政策和法规的遵守情况以及它们对效率，有效性和经济利润的支持程度。

这些审计帮助组织评估其开展业务或提供ICT支持的服务的方式，以保护国家，工人和客户的利益。这允许验证信息系统的安全性，可靠性，完整性和私密性。

鉴于组织对ICT的依赖性越来越高，以及其善政法规的出现，内部审计师还担任业务顾问，为建立确保ICT信息和控制的政策和标准提供建议。

导致我们在很大程度上降低了我们部门使用ICT的风险的一项因素是，将我们的综合质量管理体系的内部审核员纳入了计算机系统的开发流程中。那些维持和组织我们某些活动的组织，我们将根据在此背景下维持审计员工作的要素，提供我们的经验。在这种情况下，我们需要审计师的预防工作，在适当起诉的情况下，这不仅有助于培训管理人员和工人的内部控制技能，而且还有助于避免发生违反标准的情况。

内部审计员的参与是计算机化业务管理系统开发中最好的控制措施之一，因为这是审计员影响控制措施设计的最佳时机。在此期间，与系统处于生产阶段之后相比，可以以更低的成本和更少的精力对应用程序控制结构进行更改。

他们的主要贡献是确保新系统包括适当的控制（有效和充分）。

我们的经验使我们能够定义内部审计员在公司管理信息系统开发过程中遇到的一些主要问题，我们将针对这些问题提出一些问题，稍后再回答。

审计员在参与系统开发时会失去思想和客观性的独立性吗？如果审计员参与并说控制措施是适当的，那么他将被阻碍说控制措施不充分？合理地产生控制措施差的应用程序是合理的，这样审计师可以保持独立性吗？

这些问题的解决方案是：

由内部审核员（除参与系统开发的人员之外）审核正在运行的应用程序，仅在系统开发生命周期的关键时刻进行审核。

为了在创建新的计算机应用程序的过程中更好地了解内部审计员的工作，并在该计算机应用程序上维持业务管理的某些活动，有必要概述其从诞生到发展的不同时刻。投入运行。

审计计算机系统开发项目，这时对公司管理层进行评估并告知“系统的开发阶段进行得如何好。”从这个意义上讲，审计员的工作旨在：
1. 监视和评估对系统开发策略和标准的遵守情况；评估每个阶段的行政审查和批准的客观性；评估用户，供应商，技术人员的责任和参与程度；评估计划的制定和执行实施阶段。
系统开发项目管理审核将在系统开发周期的每个阶段中建立审核干预点。
1. 定义信息需求定义数据模型信息系统的设计系统的构建和测试系统的实施系统的运行和调整
先前学习阶段的审核
1. 审核员应核实导致问题解决的过程是否合理；还应确定定义并记录了用户的需求；核实已经对成本/收益比进行了研究；这是合理的；确定业务问题已得到解决；核实已指定控制要求。
设计阶段审核
1. 应确定应用风险，确定应用控制措施以将风险降低到可接受的水平，必须完全遵守应用标准，政策，法规和应用文档（手册）。解决提出的问题。

此外，审核员必须核实：

输入规格项目规格输出规格系统流程图硬件和软件需求操作手册程序规格数据保留策略

审核到编程阶段应审查以下文件：
1. 编程规范常规应用研究（交易和链）程序文档操作说明测试文档（设计和测试结果）
测试阶段的审核从测试阶段获得的信息包括：
1. 计划测试数据测试测试结果用户报告接受或拒绝应用程序
转换阶段审核
1. 转换计划转换流程图程序清单和转换文件用新程序替换旧程序的必要文件新操作员手册新用户手册验证程序已成功执行转换阶段。

我们的实体，根据他们在该模式中的经验审计可以指与我们的地区专家创建的两个重要申请相关的工作：其中一个名为“客户注册和合同注册”，另一个名为“技术服务管理系统”。我们注意到，从这些计算机应用程序诞生之日起，我们就与整个领土部门的项目，开发和实施建立了联系，能够在每个阶段中纠正所有必要的技术细节，以使应用程序真正满足用户的需求。高级管理人员，但同时使用内部控制工具进行了验证，这可以使我们确定每个软件所包含的信息都不会轻易受到其用户的侵犯。

最重要的是，有必要提到，我们研究中涉及的每种经验都是基于管理小组拥有的内部审计师的条件，在我们的案例中，内部审计师由11名专家组成。该业务管理内部审核员的条件已由劳埃德船级社（Lloyd's Register）批准，并得到ISO 9001标准的认可，该标准使我们能够评估，审核和改进为该部门宣布的每个流程启用的管理工具。 ISO 9001标准与内部控制系统不冲突，因为它要求对所有业务管理进行系统的评估，以便及时发现可能的偏差，进行纠正并在持续改进的基础上开展工作。。由于公司本身在计算机系统中的运营是可持续的，因此该标准本身要求在每次审核的范围内包括与ICT相关的主题。

作为公司合法性的监督者，法律顾问可以与本部门管理小组的一部分一起，对我们上面提到的每项申请进行监督和监视，并以同样的方式进行。负责不同指挥机构的管理人员。这些检查或监视是在线完成的，并根据支持该软件中每次注册的主要文档（以硬拷贝形式）进行了验证，不仅衡量了每个条目的合法性，还衡量了由用户执行的操作的可追溯性。系统。

在每个监督中，我们不仅要衡量对法律规范的遵守情况，而且还要衡量我们支持每个系统的软件的运行情况。我们作为查询这些应用程序的手段而启用的不同类型的报告，也是我们计划的控制措施的一部分，这使我们有可能测量每个过程的有效性和效率，但反过来又要遵守标准，储蓄系统，系统可能的脆弱性以及操作这些ICT的人力资本的行为。

基于ISO27001和ISO27002标准的安全审核

ISO27001和ISO27002标准的存在理由是要有一个管理系统，该系统基于不存在绝对安全性的事实，为公司和组织机构提供工具，以确保您信息的最大可能安全性。

为了在将来与信息技术相关的安全框架中采取特定的行动方针，必须对安全策略进行正确的定义。

ISO / UNE 2700X标准

信息是任何公司中最重要的资源，因为它是唯一无法或很难替代的资源。同时，遭受最高漏洞攻击的是资源。

信息安全旨在保护信息免受威胁，确保业务连续性，以及最大程度地减少潜在损害并最大化投资回报和商机。必须强调的是，信息安全不是计算机安全的同义词。信息安全确实包括技术方面，但也扩展到组织范围，并且包括严格合法的方面。

部署ISO 27001和ISO 27002标准中的良好实践的关键因素

安全策略必须适应组织的目标；信息安全方法必须与组织的文化相一致，需要管理层的承诺和明显支持。

ISO 27002的范围

ISO27002标准（以前称为ISO 17799）是公司和组织的指南，其内容具有明显的指示意义。它确定了公司“应该做什么”以进行有效的信息安全管理。

ISO 27002的结构

该标准围绕12个领域或称为控制条款的行动领域进行组织：

风险分析安全政策安全组织资产分类和控制与人员相关的安全运营的沟通和管理对系统访问的控制物理安全和环境开发和维护连续性计划合规依法处理安全事件

在内部审计中，我们将与ICT实施相关的问题纳入企业管理中时，我们会评估公司这一重要领域的内部控制有效性，从而实现审计师使用的清单的真正多样性那些在这些问题上得到专家协助的人，为我们提供了及时发现风险，修改内部法规或手册，定义和纠正与业务管理所基于的主要流程的偏差，培训和发展经理人员和工人的机会。这些活动，使其成为重要工具与我们实体的最高管理人员一起使用，可以在各种指挥结构中进行有效，及时的决策。

实现已经通过ISO 9001标准认证的集成管理系统，使我们能够指导工作，以便在短期内实现通过ISO 27001和27002标准的认证，在这些标准中，我们将简要介绍如下。。

ISO 27001 标准

的BS7799标准的第二部分已经成为标准ISO27001，以及指定如何实现ISO27002标准的所选控件。

最后，重要的是要突出其与其他管理标准（如著名的ISO 9001质量管理体系和ISO 14001环境管理体系）之间的密切关系。

基于ISO 27001和ISO 27002标准的安全审核的开发将使人们能够了解公司信息中现有的安全级别，并且有足够的要素来应对未来的投资，不仅要遵循容量，还要遵循安全标准。

这种经验仅限于我们的地区部门，但是可以完美地应用于任何古巴公司，即使没有经过认证的管理系统，该公司也可以将与技术审核有关的问题纳入内部控制流程。信息与通信学院

结论。

建议。

在我们领土内的公司中分阶段实施Villa Clara领土部的经验，即在内部审计中插入与计算机和通信技术的控制有关的问题。促进内部审计师在新信息和通信技术领域的培训课程，这是大部分业务管理系统所基于的领域。在审计主题的学习和资格计划中，与新的信息和通信技术有关的问题在公司一级举办研讨会，它使管理人员和工人可以评估应用到每个实体流程中的与ICT有关的内部控制的重要性和必要性。

参考书目。

ICT审核。 Sergio Etcheverry [email protected]…审计和信息系统部。更新日期：2007年3月21日。 www.unap.cl/~setcheve/ati/index.html-9k –怀疑审计的好处，或更具体地说，SI-TIC的好处，可以通过www协会消除怀疑或恐惧。 idg.es/computerworld/articulo.asp?id=160393-65k –审核过程。 ·审计在信息通信技术中的作用。 ·基本审核概念。 ·审核标准和准则…www.itdeusto.com/itdeusto/modules/idealportal/upload/Master.pdf –信息资产的保护以及业务连续性和灾难恢复。文凭。系统和信息通信技术的审计。 usistemas.cl/2006/images/stories/pdf_diplomas/auditoria_contabilidad/r_diplomado_auditoria_sistemas_ti。pdf –查找带有“ auditoria-tic”标签的其他项目：。 Technorati Del.icio.us IceRocket·服务条款·隐私·帮助·统计…en.wordpress.com/tag/auditoria-tic/-10k –审计，专业知识和ICT管理专家。主类型：专家课程。面对面的方式。开始日期：。每个月。授课时间：…www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm-36k-在ICT部门的审计中，部门与组织的需要，…完整性.abast.es / auditoria_departamentos_tic.shtml-11k –业务解决方案和ICT服务的全球提供商Abast Grup网站的主页。我们IceRocket·服务条款·隐私·帮助·统计…en.wordpress.com/tag/auditoria-tic/-10k –审计，专业知识和ICT管理专家。主类型：专家课程。面对面的方式。开始日期：。每个月。授课时间：…www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm-36k-在ICT部门的审计中，部门与组织的需要，…完整性.abast.es / auditoria_departamentos_tic.shtml-11k –业务解决方案和ICT服务的全球提供商Abast Grup网站的主页。我们IceRocket·服务条款·隐私·帮助·统计…en.wordpress.com/tag/auditoria-tic/-10k –审计，专业知识和ICT管理专家。主类型：专家课程。面对面的方式。开始日期：。每个月。授课时间：…www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm-36k-在ICT部门的审计中，部门与组织的需要，…完整性.abast.es / auditoria_departamentos_tic.shtml-11k –业务解决方案和ICT服务的全球提供商Abast Grup网站的主页。授课时间：…www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm-36k-在ICT部门的审计中，部门与组织的需要，…完整性.abast.es / auditoria_departamentos_tic.shtml-11k –业务解决方案和ICT服务的全球提供商Abast Grup网站的主页。授课时间：…www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm-36k-在ICT部门的审计中，部门与组织的需要，…完整性.abast.es / auditoria_departamentos_tic.shtml-11k –业务解决方案和ICT服务的全球提供商Abast Grup网站的主页。

integrity.abast.es/-13k –使用该专业工作的新概念和新方法召开审核和控制领域的专业人士会议，…158.170.11.155:8080/moodle/course/info.php?id = 26-5k –有关信息和通信技术审计的COBIT 4.0框架条款的信息。dialnet.unirioja.es/servlet/articulo?codigo=2164668-10k-

下载原始文件