Auditoría de las Comunicaciones: Todo lo que Debes Saber para Mejorar tu Estrategiapost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Auditoría de las Comunicaciones: Definición, Importancia y Proceso

Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles. Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos. Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin.

¿Qué es una auditoría interna y para qué sirve?

La auditoría interna es un proceso independiente y objetivo diseñado para aportar valor a una empresa a través del análisis y evaluación de la eficacia de sus procesos de gestión de riesgos, control y gobierno para conocer el estado de un negocio y tomar las decisiones correctas en el momento adecuado. La auditoría interna se centra en analizar que la operación de una compañía sea correcta de acuerdo a la normativa interna y externa aplicable.

Este proceso de auditoría interna se centrará en analizar si el funcionamiento de las distintas áreas de una compañía es el correcto, revisando las operaciones contables, las políticas y los procesos establecidos para proteger los activos del negocio con el fin de comprobar que todo se realiza de forma correcta y así evitar posibles fraudes o sabotajes e incrementar la eficiencia operativa. El objetivo de la auditoría interna es, por tanto, analizar y optimizar los controles y el desempeño de un negocio. La misión que persigue este proceso es mejorar y proteger el valor de las organizaciones.

El auditor interno no tiene responsabilidad por la gestión, aspecto que garantiza su independencia y objetividad. Este profesionista se encargará de revisar la fiabilidad e integridad de la información de la compañía, del cumplimiento de las políticas y normativas, de los procesos de protección de activos, del uso eficiente de los recursos y de que se cumplan las metas operativas que ha fijado la dirección de la compañía.

La labor de auditor interno se rige a nivel global por el Marco Internacional para la Práctica Profesional de la Auditoría Interna. Esta guía establece el camino que deben seguir los profesionistas auditores, fijando los principios fundamentales, su código ético y las normas internacionales de obligado cumplimiento.

Lea también: Auditoría de Calidad: Ejemplo y Guía

Importancia de la auditoría informática

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. También permite realizar inventarios, revisar los mecanismos de control y gestión. Los avances tecnológicos en informática y computación están en continua mejora. Condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores.

En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados. Es la que se realiza a lo interno de la empresa. Si necesitas mayor información para diseñar e implementar estrategias de ciberseguridad, redes inteligentes, infraestructura y datos.

Pasos para realizar una auditoría interna

El proceso de auditoría interna se realiza dentro de la propia compañía. A la hora de ponerlo en marcha, se siguen una serie de pasos o fases:

  1. Planeación: Es necesario realizar un análisis general de la organización objeto de la auditoría. Antes de iniciar cualquier proceso, se realiza un análisis general de la compañía y determinar el conjunto de áreas que se auditarán: gestión de recursos humanos, gestión financiera, tecnológica, comercial, de las comunicaciones… Delimitado el universo de la auditoría se debe trazar un plan de auditoría que recoja los recursos humanos y financieros destinados a tal actividad, las prioridades, la duración y el calendario de la inspección, etc. El auditor será el encargado de coordinar la realización y ejecución del plan y de comunicar el impacto que tendrá sobre los recursos de la compañía al equipo de dirección.
  2. Ejecución: El equipo auditor comienza el análisis de todas las áreas que se ha decidido auditar. Para este análisis se observará cómo funciona la actividad, se realizarán reuniones con los responsables de cada departamento y se recopilará la información necesaria.
  3. Informe y plan de acción: Contrastando los datos recopilados y los criterios que se aplican a la auditoría, el equipo auditor elaborará un informe con los hallazgos realizados. Como resultado de la auditoría, el auditor puede determinar la conformidad o no conformidad respecto a las normas aplicables y las oportunidades de mejora. Todo queda recogido en un informe de auditoría en el que se expresa de forma concisa y clara desde los objetivos y alcance del proceso, hasta los criterios aplicados, los hallazgos y las conclusiones.

Frecuencia de las auditorías internas

La frecuencia de las auditorías internas varía según la organización y sus necesidades específicas. Generalmente se realizan de forma anual o semestral. Algunas áreas críticas o de alto riesgo pueden requerir auditorías más frecuentes para garantizar el cumplimiento y la eficiencia operativa.

Tipos de auditoría interna

A la hora de analizar el funcionamiento de una compañía, el auditor interno puede centrarse en aspectos concretos que dan lugar a tipos específicos de auditorías. Estas se refieren a distintas certificaciones de calidad como:

Lea también: Auditoría y las Líneas de Defensa

  • Auditoría interna medioambiental: La norma ISO 14001 sobre Sistemas de Gestión Ambiental fija los requisitos que tienen que cumplir las empresas en esta materia para que su actividad sea segura y responsable. El auditor interno verificará que los procesos de una compañía den cumplimiento a esta normativa.
  • Auditoría interna de seguridad laboral: En este caso, el auditor comprobará que la compañía ha adaptado sus procesos y funcionamiento al mandato de la norma ISO 45001 que regula los Sistemas de Seguridad y Salud en el trabajo y la normativa de Prevención de Riesgos Laborales.
  • Auditoría interna de calidad: La norma internacional de Sistemas de Gestión de Calidad es la ISO 9001 y es el marco para planificar los procesos de auditoría que evalúan el cumplimiento de los procesos que garantizan que una compañía es capaz de satisfacer a sus clientes y proveer productos y servicios que cumplen con las exigencias y normativas, internas y externas a la organización, vigentes.

Como hemos visto, la labor del auditor interno consiste en asegurar en una empresa el cumplimiento y el buen funcionamiento tanto del sistema de control interno como de los de gestión de riesgos. El perfil laboral del auditor interno requiere un profundo conocimiento de la cultura empresarial y, por supuesto, de los sistemas y procesos con los que se articula una compañía. El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir, cuáles materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben aparecer al comienzo del informe final.

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos específicos, éstos se añadirán a los objetivos generales y comunes de toda auditoría informática: la operatividad de los sistemas y los controles generales de gestión informática.

Proceso detallado de auditoría informática

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto el auditor deberá fijarse en:

  • Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
  • Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
  • Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario, detectará, por ejemplo, si algún empleado tiene dos jefes. Las jerárquicas implican la correspondiente subordinación; las funcionales, por el contrario, indican relaciones no estrictamente subordinables. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.
  • Número de puestos de trabajo: El equipo auditor comprobará que los nombres de los puestos de trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes.
  • Número de personas por puesto de trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

Entorno de la auditoría

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

  • Situación geográfica de los sistemas: Se determinará la ubicación geográfica de los distintos centros de proceso de datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo.
  • Arquitectura y configuración de hardware y software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos.
  • Inventario de hardware y software: El auditor recabará información escrita, en donde muestran todos los elementos físicos y lógicos de la instalación. En cuanto a hardware, incluirá las CPU, unidades de control local y remoto, periféricos de todo tipo, etcétera. El inventario de software debe contener todos los productos lógicos del sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.
  • Comunicación y redes de comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las redes locales de la empresa.

Procesos informáticos

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada.

Lea también: Auditorías Ambientales: Una Guía

  • Metodología del diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones.
  • Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
  • Cantidad y complejidad: El auditor recabará información de tamaño y características de las bases de datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los archivos, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática. Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente.

Herramientas para la auditoría

Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

  • Software: Programas propios de la auditoría: Son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
  • Hardware: Los procesos de control deben efectuarse necesariamente en las computadoras del auditado.

Etapas de la auditoría moderna

En general, la auditoría moderna es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos. Este esquema es lo suficientemente general como para que pueda ser adoptado por cualquier empresa de servicios de auditoría que trabaje bajo la filosofía del proyecto. Además, tiene la ventaja de que permite al comprador público un seguimiento sencillo de la actividad auditora. Por ello, la especificación de una secuencia de fases de este tipo puede ser considerada como un elemento a tener en cuenta a la hora de la redacción del pliego de prescripciones técnicas. La aplicación de las recomendaciones ISO garantizará la organización del trabajo de auditoría y el control de todas sus fases.

Recolección de información relevante

En esta etapa se recaba toda la información relevante referente a la organización a auditar. La información es de todo tipo, pero se deberá hacer hincapié en las áreas relacionadas con los SI.

  • Objetivos estratégicos de la organización y plan de SI. Estos objetivos deberían estar contenidos dentro del plan de sistemas de información, en caso de que exista.
  • Restricciones legales, sociales, de entorno en las que debe funcionar la "organización".
  • Organigrama de la organización.
  • Volumen de la organización. Presupuesto anual, distribución geográfica de instalaciones, número de empleados, etcétera.
  • Resultados de otras auditorías.

Área informática

Se encarga de todo lo relacionado con los sistemas informáticos y con la aplicación de las directrices del plan de sistemas de información.

  • Modelo general. Equipo físico existente. Esta información permite un posicionamiento inicial sobre el área informática.
  • Volumen del área informática. Número de empleados, producción de líneas de código y módulos, distribución de personal por áreas de explotación, mantenimiento, desarrollo e investigación, etcétera.
  • Aplicaciones en proceso de desarrollo. Permiten evaluar el esfuerzo actual en nueva producción.
  • Aplicaciones en proceso de explotación.

Planificación

La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto. Es importante esta reflexión para identificar aquellas áreas problemáticas a las que probablemente haya que dedicar más tiempo y recursos. El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado plan de auditoría. Se puede limitar el alcance del proceso auditor por razones como indisponibilidad de recursos, cercanía a otros procesos auditores o imposibilidad de perturbar en un momento crítico una determinada área.

  • Alcance de los objetivos.
  • Resultados parciales a considerar.
  • Presupuesto.

Captación de información

Ésta es la fase de captación de información. Para evitar en lo posible que la información se vea empañada por las opiniones personales del auditor, éste posee una serie de herramientas para sistematizar el proceso de observación.

  • Cuestionarios.
  • Modelos de entrevistas.
  • Técnicas psicológicas de grupos.
  • Modelos matemáticos, ejemplo: CPE (Computer Performance Evaluation).
  • Simulaciones del comportamiento de sistemas a construir.
  • Programas de registro de actividad de dispositivos y redes de comunicaciones.
  • Modelos de comportamiento y de análisis organizacional.

Durante toda esta fase se establece un estrecho contacto con el personal de la organización. Es importante mantener una correcta disposición de escucha activa y respeto por las opiniones de las personas que deben utilizar los sistemas. El auditor debe detectar situaciones de poca transferencia de información por parte de los usuarios, que implique la existencia de poco contacto entre los usuarios y el personal de los SI.

Informe de auditoría

El trabajo de desarrollo será recogido en un documento formal denominado informe de auditoría. Cuando se ha terminado la recopilación de datos se procede al análisis de los mismos, con el fin de efectuar la identificación de los puntos débiles y los fuertes. El diagnóstico debe basarse en datos objetivos, presentados en forma de cifras, medidas estadísticas, casos extraídos tal cual de la vida de la organización, sucesos concretos, etc. No deben permitirse los juicios de valor que puedan derivarse de los gustos u opiniones personales del auditor.

Presentación de conclusiones

La presentación de conclusiones es un proceso a realizar en pasos sucesivos, de menor a mayor alcance. Primeramente se efectuarán rondas por áreas, informando de las conclusiones provisionales a las personas afectadas, de forma que puedan dar su opinión y que ésta se vea reflejada en la conclusión final. Si el equipo auditor opina que la causa de una deficiencia está localizada en un punto específico y las personas responsables del área no son de la misma opinión, las dos visiones del problema deben presentarse en la conclusión final, debidamente diferenciadas. Esto da al informe de auditoría una objetividad mucho mayor, sin comprometer para nada su independencia, dado que antes o después habrá que recabar la segunda opinión. Por tanto, se debe exigir a los auditores el contraste de sus conclusiones en el momento de la presentación final.

Plan de acciones correctivas

El responsable del área auditada deberá preparar un plan de acciones correctivas que presentará al auditor en un plazo no superior a 15 días tras la presentación del informe. Este plan será la base para la definición y puesta en marcha de acciones correctivas. En función del plazo de resolución de las desviaciones, se fijará una fecha para verificar la implantación de las acciones emprendidas. El auditor realizará el seguimiento de las acciones correctivas abiertas hasta su resolución final con el objeto de verificar que se han tomado las medidas oportunas para corregir las desviaciones detectadas.

Eliminación de causas de no-conformidades

Eliminar las causas que producen las no-conformidades o deficiencias detectadas en la explotación del SI. De reclamaciones de clientes y/o registros de no-conformidades. Su alcance deberá implicar a todos los procesos y actividades que definan el sistema de calidad de todos los productos o servicios que proporcione la administración como base del servicio. Estas acciones serán aplicadas con carácter correctivo si surgen a raíz de las no-conformidades reales, definiendo la implantación de las medidas necesarias, su seguimiento y registro. O serán aplicadas con carácter preventivo si surgen con base en la política establecida por la administración para la continua mejora de la calidad, basadas en la información que el sistema de aseguramiento de la calidad dispone, definiendo los pasos necesarios para la detección, análisis y eliminación de las causas potenciales de las no-conformidades.

Cuestionarios

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Para esto, suele ser lo habitual comenzar solicitando las respuestas de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidadosos en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

Entrevistas

El auditor comienza a continuación las relaciones personales con el auditado. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente bajo la forma de una conversación correcta.

tags: #auditoria #de #las #comunicaciones #definicion