Descubre las Normas de Auditoría Informática que Están Revolucionando el Sector Tecnológicopost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Normas de Auditoría Informática Actuales y Emergentes

El éxito de cualquier organización depende de la innovación de sus herramientas administrativas. Hay muchas razones por las que las empresas ponen mucho énfasis en ella. Cristea (2020) afirma que la innovación permite a las organizaciones mantenerse relevantes en el mercado competitivo de los países en franco desarrollo y juega un papel importante en el crecimiento económico.

En este sentido, la auditoría se ha visto en constante cambio, por ello los auditores operan en un entorno que debe responder a estos cambios y hacer las cosas de manera diferente, sin embargo, no se podrá gestionar el cambio de manera individual, sino conjunta. Cristea (2020) y Přemysl y Václav (2019) afirman que el proceso de innovación dentro de la ciencia de la administración de empresas se ha centrado en la generación y movilización de ideas nuevas, promoción y detección que ayudan a potenciar la idea, la experimentación, la comercialización, finalmente, la difusión e implementación.

Es por ello que la innovación también es necesaria para las herramientas de gestión que se aplican dentro de las empresas, por ejemplo, la auditoría. Aunque la innovación puede tener algunas consecuencias indeseables, el cambio es inevitable y, en la mayoría de los casos, la innovación crea un cambio positivo (Piparo, 2019).

Dado que las decisiones estratégicas son el motivo principal para la elaboración de informes financieros adecuados y efectivos, es evidente la necesidad de innovaciones en la auditoría, que la hagan más oportuna y proactiva. Se entiende que la innovación en la auditoría es importante para el avance de la sociedad, ya que resuelve este tipo de problemas sociales y mejora la capacidad de acción de esta. Es responsable de resolver problemas colectivos de manera sostenible y eficiente, generalmente con nueva tecnología.

Estas nuevas tecnologías, productos y servicios satisfacen simultáneamente una necesidad social y conducen a capacidades mejoradas y a un mejor uso de activos y recursos (Mendoza et al., 2022; López, 2021). Se verá reflejada en esta revisión de la literatura esta corriente innovadora que permite una auditoría más integral en cada proceso para la mejora continua de las organizaciones.

Lea también: Guía completa sobre las NIA

De acuerdo con Vélez (2014) y Bubilek (2017) la innovación en materia de auditoría en Ecuador no ha sido abordada de manera apropiada, debido, principalmente, a falta de herramientas y conocimiento por parte de los gerentes o dueños de las compañías, que en su mayoría son pequeñas y microempresas, un sector que tiende a tercerizar los servicios contables de auditoría, ya que le da más importancia a temas operativos que estratégicos. En este contexto cambiante, exigente y arriesgado, el papel de los auditores es fundamental.

Para aclarar y lograr un mejor entendimiento de este tema, este artículo científico de revisión de literatura busca responder a las siguientes preguntas: ¿Cómo ha evolucionado la auditoría para optimizar su desarrollo y satisfacer las necesidades de las organizaciones? Por ello, es importante indagar en cuanto a la información sobre las nuevas tendencias, el alcance y los campos de aplicación de la auditoría, con el objetivo de informar qué medios y herramientas tecnológicas se pueden utilizar para optimizar el proceso de auditoría y la mejora continua de las empresas y cómo han evolucionado las nuevas tendencias respecto a la práctica de la auditoría.

Esta investigación tiene como objetivo realizar una revisión sistémica de la literatura con el fin de obtener información actualizada proveniente de revistas indexadas de alto impacto. Los artículos fueron seleccionados a través del factor H, que permitió hacer un balance entre el número de publicaciones y las citas que recibe un artículo.

También, se delimitaron palabras clave como: auditoría, nuevas tendencias de auditoría, innovación en la auditoría, Audit, new auditing trends, innovation in auditing. Se ocuparon términos booleanos como “AND” y “OR” para el correcto filtrado de la información. Los resultados fueron identificados y discutidos críticamente para ayudar a explicar y revelar los nuevos avances en auditoría y los alcances que han surgido para solventar los problemas actuales de las organizaciones públicas y privadas.

El desglose de los resultados de la investigación tiene cuatro ápices literarios:

Lea también: Definición de Normas de Auditoría Interna

  • Antecedentes de la auditoría aplicada en las organizaciones.
  • Evolución de la auditoría para atender las necesidades de las organizaciones.
  • Nuevas tendencias de la auditoría respecto a su práctica en la última década.
  • Alcances innovadores en el campo de aplicación de la auditoría que sirva para informar qué medios y herramientas tecnológicas se pueden utilizar para optimizar el proceso de auditoría y la mejora continua de las empresas.

En el primer apartado denominado: “Antecedentes de la auditoría aplicada en las organizaciones” se trata aspectos históricos del origen de la auditoría en las organizaciones, problemáticas que abordaba y enfoques de antaño; en el segundo apartado: “Evolución de la auditoría para atender las necesidades de las organizaciones” se mencionan los diversos escenarios por los cuales ha pasado la auditoría para llegar a ser lo que, comúnmente, se conoce en la actualidad; el tercero: “Nuevas tendencias de la auditoría respecto a su práctica en los últimos años” aborda las tendencias actuales que han surgido respecto a su práctica en diversos campos, ya sean públicos y privados; finalmente, el punto “Alcances innovadores en el campo de aplicación de la auditoría” donde se especifica la innovación de la auditoría y el alcance que este tiene en las empresas, nuevas tecnologías para auditar, etc.

La metodología utilizada es cualitativa, y se realiza por medio de una revisión de literatura sistémica, de tipo exploratoria; que involucra la síntesis, análisis y valor agregado a partir de la recopilación de información relevante para el tema de investigación, en artículos científicos de revistas indexadas, presentes en plataformas, motores de búsqueda y bibliotecas digitales. Mediante el estudio de criterios, teorías y opiniones se obtendrán varios aportes para la investigación en torno a la innovación en la auditoría, nuevas tendencias y alcance.

Hernández, et al. (2017) exponen que el método bibliográfico o de revisión de literatura facilita la recopilación de información para el desarrollo del trabajo, a través de fuentes específicas. Adicionalmente, los métodos cualitativos son capaces de desarrollar el ápice central de la investigación de manera dinámica y entendible.

Para la identificación y selección de la literatura se desarrolló un fichaje bibliográfico. La extracción de datos se basa en palabras clave como: auditoría, nuevas tendencias de auditoría, innovación en la auditoría, audit, new auditing trends, innovation in auditing.

Los artículos se clasificaron en torno a las palabras clave determinadas previamente; posteriormente, se recopilaron las investigaciones en tres categorías. La primera, denominada “Artículos identificados” donde se exponen los primeros resultados que aparecieron en las bases de datos y motores de búsqueda. La segunda, llamada “Artículos relacionados con la temática” en la que se apartaron las investigaciones que contenían ideas, criterios, palabras y enunciados relacionados con las preguntas y objetivos del artículo. Finalmente, la tercera categoría “Artículos seleccionados” en la que se consideraron los artículos que aborden de manera significativa el tema de investigación por medio de una lectura previa de resumen, introducción, resultados y conclusiones.

Lea también: Contabilidad boliviana y las NIIF

Los resultados de estudios similares son identificados y discutidos críticamente para ayudar a explicar y revelar los nuevos avances en auditoría y los alcances que han surgido para solventar los problemas actuales de las organizaciones públicas y privadas. Se seleccionaron 54 artículos en las bibliotecas y motores de búsqueda establecidos, se llevó a cabo una síntesis de datos a través de la visualización y comparación de información.

Para ello se tomó como base el nombre del autor, año y título de los artículos, enfatizando el análisis en el alcance de los artículos, la metodología, resultados y conclusiones, la cual permitió asociar los hallazgos. Al tener en cuenta la evolución del concepto de auditoría en el tiempo, es muy importante recordar sus antecedentes, de dónde ha surgido esta ciencia que en la actualidad se utiliza como medio eficaz, para el logro y control de los objetivos y procesos de las organizaciones.

Según Singh et al. (2021) y Popov et al. Singh et al. (2021) comentan que, en su forma más primitiva, una auditoría se considera el acto de hacer coincidir lo que está escrito con evidencia o referencias a hechos pasados. Su objetivo principal es observar la confiabilidad y exactitud de los registros para certificar procesos, documentos y otros procedimientos y su autenticidad y confiabilidad, independientemente de la metodología o investigación.

Para Wahhab, et al. (2021) la auditoría es un proceso que recopila y evalúa objetivamente la evidencia relacionada con el informe de actividades comerciales y otros hechos dentro de una organización. La auditoría, desde su enfoque moderno aplicado a las organizaciones, nació en Inglaterra, o al menos en este país se han encontrado los primeros registros de su aplicación.

Aún no se ha determinado la fecha exacta, pero se han publicado datos y documentos que aseguran que las actividades de varias entidades privadas y los esfuerzos de ciertos funcionarios gubernamentales responsables de las finanzas han sido auditadas a finales del siglo XIII y principios del XIV (Ajao et al., 2016). Gurel (2017) expone que la auditoría existe desde tiempos inmemoriales y se debe, principalmente, a que el propietario o dueño de una empresa ha delegado la administración de su propiedad en otra persona, lo que hace que sea la principal forma de prevenir la corrupción y el incumplimiento de las reglas establecidas por el propietario, Estado o algún ente de control.

Según Wahhab et al. (2021) y Ulloa et al. (2021) la auditoría es el resultado del desarrollo de la Revolución Industrial en el siglo XIX. El primer Instituto de auditores se fundó en Venecia en 1851, y los acontecimientos posteriores, en el mismo siglo, llevaron al desarrollo de esta profesión.

Hasta 1862 la auditoría fue reconocida en Inglaterra como una profesión separada de la contabilidad tradicional. En 1882, la función de auditor se incorporó al Código de Comercio italiano, y en 1896, el Estado de Nueva York nombró a contadores públicos que cumplieran con las leyes estatales sobre educación y capacitación, y la experiencia adecuada para realizar la función de auditoría.

Paralelamente al desarrollo de la contabilidad, la auditoría fue asumiendo sus avances con el propósito de poder efectuar revisiones o comprobaciones a la contabilidad. Por otra parte, el rol del auditor se fue adaptando a las nuevas tecnologías, por ejemplo, la introducción de las máquinas de proceso de datos en las empresas que se produjo en los años cincuenta, principalmente dedicadas a sustituir a los empleados en las tareas repetitivas en el cálculo de nóminas y facturas de clientes.

Auditoría de Sistemas Informáticos

Una auditoría de sistemas puede definirse como cualquier inspección que abarque la revisión y evaluación de sistemas de información, y sus recursos relacionados, con el fin de determinar si se cuenta controles internos que provean una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados, al mismo tiempo que los riesgos serán evitados, detectados y/o corregidos de forma oportuna.

Planificación de la Auditoría de TI

La planificación de la auditoría de TI implica dos pasos principales:

  1. Realizar un entendimiento del negocio y del entorno general bajo revisión, recopilando información.
  2. Realizar o reutilizar los análisis de riesgos existentes en la organización para cerciorarse de que se mantenga el rumbo hacia los objetivos.

Cada vez son más las organizaciones que se están moviendo hacia un enfoque de auditoría basado en riesgos, lo cual ayuda a un(a) auditor(a) de sistemas informáticos a planificar y priorizar la revisión sobre las áreas o temas que representan mayor riesgo para la organización. En un enfoque basado en el riesgo, los auditores y auditoras de sistemas informáticos se basan en los controles internos y operativos, así como en el conocimiento de la empresa o el negocio. Este tipo de enfoque ayuda a identificar los controles clave a ser evaluados y, por ende, determinar las pruebas de cumplimiento y sustantivas a ser ejecutadas.

Al realizar el entendimiento del negocio, el equipo de auditoría de TI debería al menos, identificar los siguientes elementos:

  • Misión, objetivos y principales procesos del negocio.
  • Cambios en el entorno de negocio y la industria.
  • Resultados de las auditorías anteriores.
  • Leyes y regulaciones aplicables.
  • Marco de control interno (políticas, procedimientos, estructuras).
  • Evaluaciones de riesgos inherentes.
  • Tipo de sistemas de información y tecnología que soportan los procesos de negocio.

Objetivos de una Auditoría de Sistemas Informáticos

Muy a menudo, los objetivos de una auditoría de sistemas informáticos se concentran en corroborar que los controles internos existen y funcionen como se espera para minimizar el riesgo. Los objetivos de auditoría de sistemas también incluyen asegurar el cumplimiento de los requisitos regulatorios y de normativa interna, así como la confidencialidad, integridad y disponibilidad de la información.

Estrategias de la Auditoría de Sistemas

Al desarrollar una estrategia de auditoría de sistemas se debe considerar el tipo de pruebas a realizar (pruebas de cumplimiento o sustantivas) y las técnicas de recopilación de evidencia a utilizar durante el proceso de auditoría.

Diferencia entre Pruebas de Cumplimiento y Pruebas Sustantivas

Las pruebas de cumplimiento determinan si los controles están siendo aplicados conforme a las políticas y los procedimientos de la organización. Por otro lado, las pruebas sustantivas consisten en la recopilación de evidencia para evaluar la integridad de las transacciones, datos individuales y otra información.

Las pruebas de cumplimiento se pueden ejemplificar cuando una organización tiene un procedimiento de control que establece que todos los cambios de la aplicación deben pasar por la autorización de un control de cambios. Como auditor (a) de sistemas informáticos, se puede tomar el control de versiones del aplicativo en ejecución y luego verificar que la documentación de control de cambios relacionada cuenta con las autorizaciones correspondientes.

Para pruebas sustantivas, un(a) auditor(a) de sistemas informáticos haría un inventario físico y lo compararía con el inventario registrado y reportado por el área de TI, con el objetivo de validar la integridad que la información registrada, es decir revisa que los datos de los activos registrados estén completos y libres de errores.

Cuando se trata de obtener evidencia que permita auditar y presentar un informe, se considera:

  • Revisar la documentación disponible (políticas, procedimientos, estándares y estructuras).
  • Entrevistar al personal apropiado.
  • Observar los procesos y el desempeño de los empleados, mediante recorridos.
  • Realizar pruebas técnicas a los controles y sus resultados.

En el proceso de recopilación de evidencias, la observación y documentación de lo que hace realmente un individuo frente a lo que se supone que debe hacer puede proporcionar pruebas valiosas al equipo auditor. Además, realizar una inspección física o virtual puede brindar información importante sobre cómo se realiza una función en particular e inclusive observar el grado de concientización del personal en materia de seguridad de la información.

Después de reunir toda la evidencia, el auditor o auditora de sistemas informáticos la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. En este punto es donde el equipo auditor aporta su visión objetiva y experiencia para identificar oportunidades de mejora. Por ejemplo, se puede encontrar una debilidad en un área que se compense con un control muy fuerte en otra área adyacente. Es su responsabilidad como auditor de sistemas informáticos informar ambas situaciones en el informe de auditoría.

A medida que la tecnología se integra cada vez más en la estructura de la gestión y las operaciones comerciales, se hace necesario evaluar el uso de esta y las posibles amenazas relacionadas. También abundan las oportunidades para reducir costos y obtener una mayor eficiencia mediante la auditoría de los procesos y sistemas de TI.

Importancia de las Auditorías Periódicas

Dado que el área de TI juega un papel fundamental para las organizaciones, la realización de auditorías periódicas se ha vuelto necesario como parte de las acciones de seguridad informática. Como ya se revisó, las auditorías de TI evalúan los sistemas de información de una entidad y las medidas de protección con las que se cuentan para crear una estructura sólida de seguridad. Estas auditorías periódicas buscan revisar la variedad de recursos, como el uso de software, servicios web, sistemas operativos, sistemas de seguridad, redes y los aplicativos con los que se cuenten.

La principal motivación de las auditorías de TI es lograr la identificación y la evaluación de los riesgos en una empresa. Por lo general, se busca encontrar los riesgos relacionados con la integridad, la confidencialidad, la disponibilidad de la infraestructura y la seguridad informática. Una vez evaluados los riesgos, el equipo de TI tendrá una visión clara sobre qué curso de acción deben tomar para eliminar, reducir o prepararse ante esos riesgos como parte del entorno de trabajo mediante el uso de controles.

Se está generando un gran volumen de información cada segundo desde los millones de dispositivos que se conectan a internet. Todos estos aspectos se traducen en necesidades y expectativas de muchos interesados que deben de ser cubiertos por la nueva versión.

Novedades en la Norma ISO 27001:2022

La nueva versión de la norma ISO 27001 presenta cambios importantes, aunque no en su estructura fundamental. Se incorporan nuevos conceptos y atributos a cada control.

El cambio de nombre de la norma de “Código de prácticas para los controles de seguridad de la información” a “Código de prácticas para los controles de seguridad de la información, ciberseguridad y protección de la privacidad” indica una ampliación del alcance para incluir la ciberseguridad y la protección de la privacidad.

Este cambio implica:

  • Cláusula 4: Identificación del interno y el entorno de la organización. La nueva norma al abarcar ciberespacio implica analizar el entorno a una mayor profundidad y sus implicaciones. Identificar grupos de interés. Grupos que estarán preocupados ahora por la privacidad y la ciberseguridad. Entonces en forma automática el alcance del Sistema de Gestión cambia.
  • Cláusula 5: En esta cláusula identificamos la política de seguridad de la información que obviamente deberá ampliarse para ser Política de seguridad de la información, ciberseguridad y protección de la privacidad.
  • Cláusula 6: Planeación, la gestión de riesgos debe ampliarse al considerar no sólo los activos de la organización, sino también los activos personales, y los activos del ciberespacio. En esta cláusula se considera la planeación y será impactada por el tema de agilidad en diversos sectores, la gestión de cambios administrados será un tema clave a tomar en cuenta, para evitar que un cambio no gestionado de la forma adecuada pueda impactar al SGSI y a la organización en general. Si bien en la cláusula 7 se tiene el requisito de información documentada, en este lugar debe tomarse en cuenta la gestión de cambios derivada por los controles de seguridad.
  • Cláusula 7: Aparentemente no existen cambios en su contenido, pero al considerar los recursos para cubrir privacidad y ciberseguridad, el cambio se experimentará al implementarse.
  • Cláusula 8: El tratamiento de riesgos y el uso del anexo A y en consecuencia la norma ISO 27002 implica un desafío para entender y aplicar el nuevo esquema de controles u homologar con los controles existentes.
  • Cláusula 9: La evaluación deberá considerar el alcance definido desde la cláusula 4, igualmente el monitoreo de los controles de forma consistente a lo largo del tiempo va a afectar la implementación y cumplimiento de esta cláusula.
  • Cláusula 10: La mejora ya no sólo provendrá desde el interior de la organización, cambios reglamentarios, en el entorno, cambios tecnológicos en el ciberespacio, también son fuentes que deberán de considerarse para la mejora y adaptación del sistema de gestión.
  • Anexo A: Es donde más cambios tiene la norma al incorporar controles de seguridad de la información, ciberseguridad y protección de la privacidad, y será necesario el análisis de la norma ISO 27002:2022 para revisar y hacer la transición de los controles actuales a los de la norma versión 2022. Sobre todo, porque al abarcar el ciberespacio se debe analizar el marco de controles de NIST como un atributo de los controles publicados.

Se determinó que la dinámica de la relación entre el auditor y la empresa va a experimentar una notable evolución gracias a la aplicación de herramientas tecnológicas avanzadas como el big data, que permite analizar grandes volúmenes de información, facilitando en gran medida el análisis total de la información que arrojan los procedimientos en las empresas, con ventajas no solo para los gestores de la empresa y los propios auditores, sino también para los distintos grupos de interés que operan en el mercado.

En resumen, la seguridad ya no es competencia de un pequeño grupo de especialistas, sino que debemos de evolucionar en una nueva cultura y generar conciencia de la seguridad, ciberseguridad y la protección de la privacidad como un todo. La norma ISO 27001, así como el libro de hechizos de la bruja, podremos leerla una, diez, cincuenta veces y llegaremos a la misma conclusión: “No se entiende”. Pero al analizarla bajo la guía y orientación de alguno de las y los “iniciados” nos dará los elementos para no solamente entender sino implementar y usar la tecnología a nuestro favor.

tags: #normas #auditoria #informatica #actuales #emergentes