Descubre la Metodología de Auditoría de Sistemas: Definición Clara y Alcance Esencialpost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Metodología de Auditoría de Sistemas: Definición y Alcance

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora, condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores.

Desde los orígenes de la humanidad siempre ha existido la necesidad de contabilizar y administrar los recursos disponibles. Se tienen evidencias descubiertas por arqueólogos que comprueban, como en la antigua Grecia realizaban listas que reflejaban con tildes, puntos y círculos la disponibilidad y los movimientos de mercancías, finanzas y alimentos. Siglos después la metodología fue mejorando hasta nuestros días, donde se le conoce con el nombre de auditoría, existiendo diferentes modalidades, pero siempre con el mismo fin.

La Auditoría de Información (AI) es una herramienta de la Gestión Informacional (GI), muy útil para evaluar recursos en las instituciones, porque permite conocer con lo que se cuenta para evitar redundancias o inconsistencias en el sistema. Sobre este término se comenzó a hablar en la década de los años setenta. Consiste en la evaluación periódica de los procesos estratégicos, operativos y de apoyo de una organización, al tener en cuenta el entorno, los recursos informativos, la estructura y sus funciones.

La Auditoría de la Información, según Infante (2009), citado por Castañón (2012), promueve y aplica conceptos de auditoría en el área de los sistemas de información, con el objetivo de dar recomendaciones a los directivos para mejorar o lograr el correcto control interno en ambientes de tecnología informática, y obtener mayor eficiencia operacional y administrativa.

Alcance y Objetivos de la Auditoría

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir, cuáles materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben aparecer al comienzo del informe final.

Lea también: Auditoría administrativa: sus elementos esenciales

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos específicos, éstos se añadirán a los objetivos generales y comunes de toda auditoría informática: la operatividad de los sistemas y los controles generales de gestión informática.

Fases Clave de la Metodología de Auditoría

En general, la auditoría moderna es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos. Este esquema es lo suficientemente general como para que pueda ser adoptado por cualquier empresa de servicios de auditoría que trabaje bajo la filosofía del proyecto. Además, tiene la ventaja de que permite al comprador público un seguimiento sencillo de la actividad auditora. Por ello, la especificación de una secuencia de fases de este tipo puede ser considerada como un elemento a tener en cuenta a la hora de la redacción del pliego de prescripciones técnicas. La aplicación de las recomendaciones ISO garantizará la organización del trabajo de auditoría y el control de todas sus fases.

  1. Toma de Contacto y Recopilación de Información: En esta etapa se recaba toda la información relevante referente a la organización a auditar. La información es de todo tipo, pero se deberá hacer hincapié en las áreas relacionadas con los SI.
  2. Planificación: La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto. Es importante esta reflexión para identificar aquellas áreas problemáticas a las que probablemente haya que dedicar más tiempo y recursos. El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado plan de auditoría. Se puede limitar el alcance del proceso auditor por razones como indisponibilidad de recursos, cercanía a otros procesos auditores o imposibilidad de perturbar en un momento crítico una determinada área.
  3. Captación de Información: Ésta es la fase de captación de información. Para evitar en lo posible que la información se vea empañada por las opiniones personales del auditor, éste posee una serie de herramientas para sistematizar el proceso de observación.
  4. Análisis y Diagnóstico: Cuando se ha terminado la recopilación de datos se procede al análisis de los mismos, con el fin de efectuar la identificación de los puntos débiles y los fuertes. El diagnóstico debe basarse en datos objetivos, presentados en forma de cifras, medidas estadísticas, casos extraídos tal cual de la vida de la organización, sucesos concretos, etc. No deben permitirse los juicios de valor que puedan derivarse de los gustos u opiniones personales del auditor.
  5. Presentación de Conclusiones: La presentación de conclusiones es un proceso a realizar en pasos sucesivos, de menor a mayor alcance. Primeramente se efectuarán rondas por áreas, informando de las conclusiones provisionales a las personas afectadas, de forma que puedan dar su opinión y que ésta se vea reflejada en la conclusión final.
  6. Plan de Acciones Correctivas: El responsable del área auditada deberá preparar un plan de acciones correctivas que presentará al auditor en un plazo no superior a 15 días tras la presentación del informe. Este plan será la base para la definición y puesta en marcha de acciones correctivas.
  7. Seguimiento y Verificación: En función del plazo de resolución de las desviaciones, se fijará una fecha para verificar la implantación de las acciones emprendidas. El auditor realizará el seguimiento de las acciones correctivas abiertas hasta su resolución final con el objeto de verificar que se han tomado las medidas oportunas para corregir las desviaciones detectadas.

Herramientas para la Captación de Información

Para evitar que la información se vea afectada por opiniones personales, el auditor utiliza herramientas para sistematizar la observación:

  • Cuestionarios
  • Modelos de entrevistas
  • Técnicas psicológicas de grupos
  • Modelos matemáticos (ejemplo: CPE)
  • Simulaciones del comportamiento de sistemas
  • Programas de registro de actividad de dispositivos y redes
  • Modelos de comportamiento y de análisis organizacional

El Rol del Auditor

Durante toda esta fase se establece un estrecho contacto con el personal de la organización. Es importante mantener una correcta disposición de escucha activa y respeto por las opiniones de las personas que deben utilizar los sistemas. El auditor debe detectar situaciones de poca transferencia de información por parte de los usuarios, que implique la existencia de poco contacto entre los usuarios y el personal de los SI.

Acciones Correctivas y Preventivas

Las acciones correctivas y preventivas buscan:

Lea también: Sobre la Metodología de Auditoría Informática

  • Eliminar las causas que producen las no-conformidades o deficiencias detectadas en la explotación del SI.
  • Responder a reclamaciones de clientes y/o registros de no-conformidades.

Su alcance deberá implicar a todos los procesos y actividades que definan el sistema de calidad de todos los productos o servicios que proporcione la administración como base del servicio. Estas acciones serán aplicadas con carácter correctivo si surgen a raíz de las no-conformidades reales, definiendo la implantación de las medidas necesarias, su seguimiento y registro. O serán aplicadas con carácter preventivo si surgen con base en la política establecida por la administración para la continua mejora de la calidad, basadas en la información que el sistema de aseguramiento de la calidad dispone, definiendo los pasos necesarios para la detección, análisis y eliminación de las causas potenciales de las no-conformidades.

Cuestionarios y Entrevistas en la Auditoría

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Para esto, suele ser lo habitual comenzar solicitando las respuestas de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidadosos en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

El auditor comienza a continuación las relaciones personales con el auditado. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Lea también: Guía completa sobre la auditoría ambiental

tags: #metodologia #de #auditoria #de #sistemas #definicion