Checklist de Auditoría de Sistemas: Ejemplo Detallado para Optimizar tu Seguridad TIpost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Checklist de Auditoría de Sistemas: Un Ejemplo Detallado

En este artículo, exploraremos el propósito y la aplicación de las listas de verificación como herramientas de apoyo en el proceso de auditoría de sistemas. En general, una lista de verificación es simplemente una lista donde registramos acciones a llevar a cabo cuando queremos conseguir un propósito determinado.

Introducción a las Listas de Verificación

Podemos encontrarlas bajo diferentes nombres: lista de control, checklist u hoja de verificación. Las Listas de verificación son muy importantes en acciones en las que un olvido puede tener consecuencias nefastas y en situaciones nuevas o recientes, en las que todavía no nos manejamos con soltura.

Un par de ejemplos generales son: la lista que usan los pilotos para hacer que un avión despegue y las listas que se usan en los hospitales en la preparación de quirófanos. El Doctor Atul Gawande, autor del libro "El efecto checklist (The checklist manifesto)", describe cómo la aplicación de esta herramienta al complejo mundo de la cirugía dio lugar a una lista de verificación de noventa segundos que redujo los fallecimientos y las complicaciones en más de un tercio en los hospitales de todo el mundo al convertirse en un estándar, sin prácticamente ningún costo y para casi cualquier tipo de intervención.

En los sistemas de gestión, su uso es aplicable en casi todas las actividades, veamos una lista de verificación para revisar y aprobar un procedimiento documentado:

  • Chequear datos de identificación del documento en la caratula
  • Verificar que no falte ninguna hoja
  • Revisar ortografía
  • Revisar numeración de las hojas e índice
  • Revisar las actividades y el diagrama de flujo

El Rol de las Listas de Verificación en las Auditorías

La lista de verificación es la herramienta de batalla principalmente de las organizaciones de auditoría externa (incluyendo a los organismos de certificación), dicha herramienta es igualmente utilizada por cualquier organización que realiza auditorías internas.

Lea también: Checklist 5S: Cómo optimizar tu auditoría

La norma de auditoría vigente, ISO 19011, hace referencia a «Preparación de los documentos de trabajo» en la cláusula 6.3.4. El siguiente párrafo es un extracto de esta cláusula: «Los miembros del equipo de auditoría deben recolectar y revisar la información pertinente a las tareas asignadas de auditoría y preparar los documentos de trabajo, según sea necesario, para referencia y registro de evidencia de auditoría.

Dichos documentos pueden incluir los siguientes: listas de verificación; planes de muestreo de auditoría; formularios para registrar información, tal como evidencias de apoyo, hallazgos de auditoría y registros de las reuniones. El uso de listas de verificación y formularios no debería limitar el alcance de las actividades de auditoría, que puede cambiar como resultado de la información recopilada durante la auditoría»

NOTA: Orientaciones para la preparación de los documentos de trabajo se da en la norma ISO 19011 Cláusula B.4.

Ventajas del Uso de Listas de Verificación

Si bien no siempre se requieren en las normas de sistemas de gestión, las listas de verificación son sólo una herramienta más disponible en la «caja de herramientas de los auditores». Muchas organizaciones la utilizan para asegurar que la auditoría como mínimo se enfocará en los requisitos determinados por el alcance de la auditoría.

Con respecto a la utilización de listas de verificación:

Lea también: Checklist de auditoría de RRHH: caso de estudio

Si se desarrollan listas de verificación para una auditoría específica y se usan correctamente:

  1. Favorecen la planificación de la auditoría.
  2. Garantizan un enfoque consistente de auditoría.
  3. Actúan como un plan de muestreo y administrador de tiempo.
  4. Sirven como una ayuda para la memoria… y los desmemoriados.
  5. Proporcionan un repositorio para las notas recopiladas durante el proceso de auditoría.

Las listas de verificación de auditoría son desarrolladas para proporcionar asistencia al proceso de auditoría. Los auditores son entrenados en el desarrollo y uso de listas específicas y como parte de su evaluación de desempeño demuestran cómo las usan para obtener el máximo de información mediante el uso técnicas de entrevistas.

Las listas de verificación ayudan a un auditor a obtener mejores resultados durante el proceso de auditoría. Las listas de verificación ayudan a asegurar que una auditoría se lleva a cabo de una manera sistemática y exhaustiva y que se obtiene evidencia adecuada.

Las listas de verificación proporcionan la estructura y continuidad a una auditoría y pueden asegurar que el alcance de la auditoría se está siguiendo. Las listas de verificación proporcionan un medio de comunicación y un lugar para registrar los datos para su uso en referencias futuras.

Una lista de verificación completa proporciona evidencia objetiva de que se realizó la auditoría. Una lista de verificación proporciona un registro que se examinó el SGC.

Lea también: Guía de auditoría interna HACCP con ejemplos

Las listas de verificación se puede utilizar como una base de información para la planificación de futuras auditorías.

Desventajas Potenciales

Por el contrario, cuando las listas de verificación de auditoría no están disponibles o son mal preparadas, pueden presentarse los siguientes problemas:

  • La lista de verificación puede ser vista como intimidante por el auditado.
  • El enfoque de la lista de verificación puede ser insuficiente en su alcance para identificar las áreas problemáticas específicas.
  • Las listas de verificación son una herramienta de ayuda para el auditor, pero restrictiva si se utiliza como único mecanismo de apoyo del auditor.
  • Las listas de verificación no debe ser un sustituto de la planificación de la auditoría.
  • Un auditor sin experiencia puede no ser capaz de comunicar claramente lo que está buscando, si dependen demasiado de una lista de verificación para guiar sus preguntas.
  • listas de verificación mal preparadas pueden retrasar una auditoría debido a la duplicación y la repetición.
  • Las listas de verificación genéricas pueden no reflejar el sistema de gestión de una organización específica, puede que no añada ningún valor y pueden interferir con la auditoría.
  • Las listas de verificación con un enfoque estrecho condicionan las preguntas de evaluación a respuestas tipo SI / NO

Elementos Clave al Hacer una Lista de Verificación

Durante la planificación de las auditorías internas en las organizaciones, es común que se utilice una lista de verificación para llevar a cabo los ejercicios en los diferentes procesos. Estas listas de verificación deberían de ser diseñadas o contar con una serie de elementos para que realmente nos agregue valor al momento de hacer la auditoría, recordemos que una lista de verificación o checklist de auditoría, no es un requisito normativo y también debemos de saber que la auditoría no es una entrevista o un “juicio”, debe de convertirse en un dialogo o una conversación entre dos personas que buscan el cumplimiento de un requisito normativo, legal o regulatorio.

Por lo tanto, estas listas de auditoría deben de ayudarnos a agregar y generar valor al proceso de auditoría y que no sea como un elemento rígido y pensar que al utilizar las listas de verificación van a generar el éxito del ejercicio interno, de tal manera que vamos a hacer algunas recomendaciones o elementos de importancia al momento de desarrollar e implementar estas listas de verificación.

1. Complejidad del proceso

Debemos de considerar la complejidad del proceso que vamos a auditar, el cuadro de auditores debe de tener en cuenta cuando es un proceso o producto, es de nueva creación o un proceso modificado y la interacción que existe entre cada uno de sus propios elementos. Recordemos que cuando ya ha habido procesos que han estado expuestos a ejercicios de auditoría se esperan resultados de cumplimiento, derivado de cierta madurez de ese sistema de gestión o de esa operación de esta manera que el cuadro de auditores debe de entender cual es la condición actual a partir de indicadores de proceso, cantidad de personas involucradas, uso de tecnología de vanguardia, además de otras de las variables que participan en el proceso como interacción con sitio de soporte y relación con clientes y proveedores.

2. Madurez del sistema de gestión

El grado de madurez del sistema de gestión, es importante que el equipo de auditores se reúna y revise resultados de evaluaciones y auditorías previas, resultados de visita de cliente, indicadores de los proveedores o algún elemento que nos haga saber como el proceso ha estado en cumplimiento a través del tiempo. Cuando tenemos un sistema de gestión nuevo o de reciente implementación, se debería de revisar cuál ha sido la interacción de la Alta Dirección, y como el sistema de gestión ha impactado los objetivos de negocio, ya sea para mantener la línea de productos actual o la generación de nuevos clientes y/o aumento en cuota de mercado. Incluyendo el aumento de la satisfacción de clientes actuales y/o potenciales, por medio de indicadores “duros” y no solo sea una percepción de los involucrados.

3. Nivel jerárquico

El cuadro de auditores debe de ser muy sensible a entender el nivel jerárquico del auditado, no para marcar diferencias entre Alta Dirección, Dueños de Proceso o personal operativo, y ofrecer un trato “especial” a posiciones organizacionales altas, más bien para entender que estas posiciones en la empresa, tienen diferentes roles y responsabilidades y niveles de autoridad, y que deberían de brindar resultados diferenciados derivado de su interacción con el sistema de gestión, de tal manera que dependiendo de esta posición organizacional va a ser la exigencia de cumplimiento esperada.

De la Alta Dirección se espera que disponga de recursos necesarios, definición de valores y visión a largo plazo, establezca políticas de negocios, decisiones y acciones sobre indicadores de desempeño, entre otras cosas. De los Dueños de proceso, que establezcan las condiciones operacionales y que respondan sobre el estado actual de los procesos (indicadores 2do nivel); de los miembros de equipo, personal operativo, técnicos de diferentes departamentos, que den cumplimiento a las operaciones planificadas y definidas por los Dueños de los procesos y que contribuyan con el aporte de ideas de mejora y reducción de variación de los procesos.

4. Tiempo

El elemento relevante dentro del desarrollo y ejecución de auditorías es el tiempo asignado por el responsable de la planificación, sabemos que ese tiempo establecido puede depender de un resultado anterior o de un ejercicio previo de una auditoría realizada en un periodo pasado de tal manera que como parte de los análisis de riesgos el cuadro de auditores, deben de determinar el tiempo necesario y apegarse al tiempo establecido en la agenda de auditoría.

En caso fortuito de que no se satisfaga las pistas de auditoría y el auditor tenga que extender el tiempo solo podrá hacerlo si el auditado esta de alguna manera de acuerdo, de esta forma puede pensarse en una mala planeación del ejercicio de auditoría, aquí reviste la importancia de apegarnos a la definición y e implementación de acciones preventivas previas, derivada de Análisis de Riesgos, para evitar que esto impacte el resultado esperado.

5. Determinar objetivos

Debemos de determinar cuáles son los objetivos principales del proceso recordemos que las normas de referencia nos hablan de objetivos de calidad a los niveles pertinentes, indicadores de eficiencia y eficacia de los procesos, aunque en algunas ocasiones la eficiencia no puede ser determinada o no puede ser un elemento que podríamos definir por la naturaleza del propio proceso. Este elemento de cumplimiento los conocemos que como las salidas esperadas de cada proceso de tal manera que el cuadro de auditores debe de solicitar resultado de las auditorías previas, resultado de los indicadores del proceso de manufactura o del proceso administrativo para entender en base a esto como va a impactar al momento de hacer su lista de verificación.

6. Cumplimiento de requisitos

Es importante que se compruebe el cumplimiento de los requisitos, es decir si tenemos requisitos del cliente, requisitos de corporativos, legales, reglamentarios o algún requisito aplicable de una parte interesada, debemos de incluirlo como parte de nuestra muestra en el ejercicios de auditoría, recordemos no estamos auditando solamente requisitos de un sistema de gestión, si no todos los requisitos aplicables a ese proceso y/o actividad, de tal forma que es importante que al momento de desarrollar nuestra lista de verificación consideremos estos elementos que están aquí declarados.

Consideraciones Adicionales para una Auditoría Informática

Para el equipo de auditoría informática, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto el auditor deberá fijarse en:

  • Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
  • Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
  • Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario, detectará, por ejemplo, si algún empleado tiene dos jefes.
  • Número de puestos de trabajo: El equipo auditor comprobará que los nombres de los puestos de trabajo de la organización corresponden a las funciones reales distintas.
  • Número de personas por puesto de trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos:

  • Situación geográfica de los sistemas: Se determinará la ubicación geográfica de los distintos centros de proceso de datos en la empresa.
  • Arquitectura y configuración de hardware y software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado.
  • Inventario de hardware y software: El auditor recabará información escrita, en donde muestran todos los elementos físicos y lógicos de la instalación.
  • Comunicación y redes de comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones.

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada.

  • Metodología del diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones.
  • Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
  • Cantidad y complejidad: El auditor recabará información de tamaño y características de las bases de datos, clasificándolas en relación y jerarquías.

Fases de una Auditoría Moderna

En general, la auditoría moderna es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos. La aplicación de las recomendaciones ISO garantizará la organización del trabajo de auditoría y el control de todas sus fases.

En esta etapa se recaba toda la información relevante referente a la organización a auditar. La información es de todo tipo, pero se deberá hacer hincapié en las áreas relacionadas con los SI.

  • Objetivos estratégicos de la organización y plan de SI.
  • Restricciones legales, sociales, de entorno en las que debe funcionar la "organización".
  • Organigrama de la organización.
  • Volumen de la organización.
  • Resultados de otras auditorías.
  • Área informática.
  • Modelo general.
  • Equipo físico existente.
  • Volumen del área informática.
  • Aplicaciones en proceso de desarrollo.
  • Aplicaciones en proceso de explotación.

La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto. El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado plan de auditoría.

Herramientas para Sistematizar el Proceso de Observación

  • Cuestionarios.
  • Modelos de entrevistas.
  • Técnicas psicológicas de grupos.
  • Modelos matemáticos, ejemplo: CPE (Computer Performance Evaluation).
  • Simulaciones del comportamiento de sistemas a construir.
  • Programas de registro de actividad de dispositivos y redes de comunicaciones.
  • Modelos de comportamiento y de análisis organizacional.

Durante toda esta fase se establece un estrecho contacto con el personal de la organización. El auditor debe detectar situaciones de poca transferencia de información por parte de los usuarios, que implique la existencia de poco contacto entre los usuarios y el personal de los SI.

Cuando se ha terminado la recopilación de datos se procede al análisis de los mismos, con el fin de efectuar la identificación de los puntos débiles y los fuertes. El diagnóstico debe basarse en datos objetivos, presentados en forma de cifras, medidas estadísticas, casos extraídos tal cual de la vida de la organización, sucesos concretos, etc.

La presentación de conclusiones es un proceso a realizar en pasos sucesivos, de menor a mayor alcance. Primeramente se efectuarán rondas por áreas, informando de las conclusiones provisionales a las personas afectadas, de forma que puedan dar su opinión y que ésta se vea reflejada en la conclusión final.

El responsable del área auditada deberá preparar un plan de acciones correctivas que presentará al auditor en un plazo no superior a 15 días tras la presentación del informe. Este plan será la base para la definición y puesta en marcha de acciones correctivas.

El auditor realizará el seguimiento de las acciones correctivas abiertas hasta su resolución final con el objeto de verificar que se han tomado las medidas oportunas para corregir las desviaciones detectadas.

Estas acciones serán aplicadas con carácter correctivo si surgen a raíz de las no-conformidades reales, definiendo la implantación de las medidas necesarias, su seguimiento y registro. O serán aplicadas con carácter preventivo si surgen con base en la política establecida por la administración para la continua mejora de la calidad, basadas en la información que el sistema de aseguramiento de la calidad dispone, definiendo los pasos necesarios para la detección, análisis y eliminación de las causas potenciales de las no-conformidades.

Recabando Información

Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Para esto, suele ser lo habitual comenzar solicitando las respuestas de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo.

tags: #check #list #auditoria #de #sistemas #ejemplo