Planeación de Auditoría de Sistemas: Ejemplos Clave y Análisis Detallado para el Éxitopost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Planeación de Auditoría de Sistemas: Ejemplos y Análisis

El objetivo de este estudio es realizar un análisis de la planeación de la auditoría tomando como base los puntos requeridos en la norma ISO 19011:2011. El objetivo de la presente investigación es analizar los puntos que se refieren a la planeación de la auditoría de un sistema de gestión de calidad y diseñar un instrumento que permita realizar un análisis de la percepción de los trabajadores sobre la variable antes mencionada y, por otra parte, determinar el grado de confiabilidad del instrumento mediante el coeficiente alfa de cronbach y realizar un análisis de correlación entre cada una de las dimensiones, así como entre las dimensiones y la variable objeto de estudio.

La auditoría de la calidad, de acuerdo con la Norma ISO-19011-2011, es un proceso sistemático, independiente y documentado para obtener evidencias de la auditoría a través de registros, declaraciones de hechos o cualquier otra información y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría; por lo que, a través de un examen metódico, se determina si las actividades y resultados relativos a la calidad satisfacen las disposiciones previamente establecidas y que realmente se llevan a cabo, además de comprobar que son adecuadas para alcanzar los objetivos propuestos.

El presente estudio es conveniente para determinar que las auditorías a los sistemas de Gestión de Calidad se lleven a cabo con la diligencia y el cuidado profesional que establece de conformidad con lo establecido en la Norma ISO 19011-2011, misma que regula la realización de las auditorías de gestión de calidad. El cumplimiento a los requisitos que establece la Norma de Calidad ISO-9001 obliga a las organizaciones a mantener una supervisión constante y oportuna durante el desarrollo de sus procesos administrativos, obligándolas a mantener la mejora continua de los mismos; en la actualidad, la organizaciones deben buscar la calidad total cuando se habla de satisfacción de clientes y permanencia en los mercados competitivos.

Metodología de la Investigación

La metodología utilizada para el presente estudio es de carácter cuantitativo pues lo que pretende es describir la percepción de los miembros de un sistema de gestión de calidad sobre la planeación de la auditoría dentro del mismo, de igual manera es un estudio descriptivo y correlacional ya que describe los porcentajes de los resultados obtenidos mediante las encuestas aplicadas y, a su vez, analiza el grado de correlación existente entre las dimensiones identificadas en el estudio; además, es de corte transversal ya que se realizó en un solo momento la aplicación de los cuestionarios mediante una prueba piloto en la que se identificó un coeficiente de confiabilidad de alfa de cronbach de 0.962.

Resultados Obtenidos

Como resultados se obtiene que la mayoría de los entrevistados perciben de manera positiva cada una de las dimensiones estudiadas porque los resultados arrojan que los porcentajes oscilan arriba de 80% como de acuerdo o muy de acuerdo con las respuestas obtenidas; por otra parte, existe correlación significativa alta entre las dimensiones analizadas y una correlación muy alta entre las dimensiones y la variable planeación de la auditoría.

Lea también: Definición de Planificación de Auditoría

Principios de la Auditoría

La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño.

  • Integridad: el fundamento de la profesionalidad.
  • Presentación imparcial: la obligación de informar con veracidad y exactitud. Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las actividades de auditoría.
  • Debido cuidado profesional: la aplicación de diligencia y juicio al auditar. Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas.
  • Confidencialidad: seguridad de la información. Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el curso de sus tareas.
  • Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría. Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses.
  • Enfoque basado en la evidencia:...

Auditoría de Sistemas

Una auditoría de sistemas puede definirse como cualquier inspección que abarque la revisión y evaluación de sistemas de información, y sus recursos relacionados, con el fin de determinar si se cuenta controles internos que provean una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados, al mismo tiempo que los riesgos serán evitados, detectados y/o corregidos de forma oportuna.

Planificación de la Auditoría de TI

La planificación de la auditoría de TI implica dos pasos principales:

  1. Realizar un entendimiento del negocio y del entorno general bajo revisión, recopilando información.
  2. Realizar o reutilizar los análisis de riesgos existentes en la organización para cerciorarse de que se mantenga el rumbo hacia los objetivos.

Cada vez son más las organizaciones que se están moviendo hacia un enfoque de auditoría basado en riesgos, lo cual ayuda a un(a) auditor(a) de sistemas informáticos a planificar y priorizar la revisión sobre las áreas o temas que representan mayor riesgo para la organización.

Elementos a Identificar al Realizar el Entendimiento del Negocio

Al realizar el entendimiento del negocio, el equipo de auditoría de TI debería al menos, identificar los siguientes elementos:

Lea también: Planeación Fiscal Mexicana: ¿Por qué es crucial?

  • Misión, objetivos y principales procesos del negocio.
  • Cambios en el entorno de negocio y la industria.
  • Resultados de las auditorías anteriores.
  • Leyes y regulaciones aplicables.
  • Marco de control interno (políticas, procedimientos, estructuras).
  • Evaluaciones de riesgos inherentes.
  • Tipo de sistemas de información y tecnología que soportan los procesos de negocio.

Objetivos de una Auditoría de Sistemas Informáticos

Muy a menudo, los objetivos de una auditoría de sistemas informáticos se concentran en corroborar que los controles internos existen y funcionen como se espera para minimizar el riesgo. Los objetivos de auditoría de sistemas también incluyen asegurar el cumplimiento de los requisitos regulatorios y de normativa interna, así como la confidencialidad, integridad y disponibilidad de la información.

Estrategias de la Auditoría de Sistemas

Al desarrollar una estrategia de auditoría de sistemas se debe considerar el tipo de pruebas a realizar (pruebas de cumplimiento o sustantivas) y las técnicas de recopilación de evidencia a utilizar durante el proceso de auditoría.

Pruebas de Cumplimiento vs. Pruebas Sustantivas

Las pruebas de cumplimiento determinan si los controles están siendo aplicados conforme a las políticas y los procedimientos de la organización. Por otro lado, las pruebas sustantivas consisten en la recopilación de evidencia para evaluar la integridad de las transacciones, datos individuales y otra información.

Ejemplo de Pruebas de Cumplimiento: Cuando una organización tiene un procedimiento de control que establece que todos los cambios de la aplicación deben pasar por la autorización de un control de cambios. Como auditor (a) de sistemas informáticos, se puede tomar el control de versiones del aplicativo en ejecución y luego verificar que la documentación de control de cambios relacionada cuenta con las autorizaciones correspondientes.

Ejemplo de Pruebas Sustantivas: Un(a) auditor(a) de sistemas informáticos haría un inventario físico y lo compararía con el inventario registrado y reportado por el área de TI, con el objetivo de validar la integridad que la información registrada, es decir revisa que los datos de los activos registrados estén completos y libres de errores.

Lea también: La importancia de la planificación en la auditoría

Obtención de Evidencia

Cuando se trata de obtener evidencia que permita auditar y presentar un informe, se considera:

  • Revisar la documentación disponible (políticas, procedimientos, estándares y estructuras).
  • Entrevistar al personal apropiado.
  • Observar los procesos y el desempeño de los empleados, mediante recorridos.
  • Realizar pruebas técnicas a los controles y sus resultados.

En el proceso de recopilación de evidencias, la observación y documentación de lo que hace realmente un individuo frente a lo que se supone que debe hacer puede proporcionar pruebas valiosas al equipo auditor. Además, realizar una inspección física o virtual puede brindar información importante sobre cómo se realiza una función en particular e inclusive observar el grado de concientización del personal en materia de seguridad de la información.

Después de reunir toda la evidencia, el auditor o auditora de sistemas informáticos la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. En este punto es donde el equipo auditor aporta su visión objetiva y experiencia para identificar oportunidades de mejora. Por ejemplo, se puede encontrar una debilidad en un área que se compense con un control muy fuerte en otra área adyacente. Es su responsabilidad como auditor de sistemas informáticos informar ambas situaciones en el informe de auditoría.

Importancia de las Auditorías Periódicas

Dado que el área de TI juega un papel fundamental para las organizaciones, la realización de auditorías periódicas se ha vuelto necesario como parte de las acciones de seguridad informática. Como ya se revisó, las auditorías de TI evalúan los sistemas de información de una entidad y las medidas de protección con las que se cuentan para crear una estructura sólida de seguridad. Estas auditorías periódicas buscan revisar la variedad de recursos, como el uso de software, servicios web, sistemas operativos, sistemas de seguridad, redes y los aplicativos con los que se cuenten. La principal motivación de las auditorías de TI es lograr la identificación y la evaluación de los riesgos en una empresa.

Por lo general, se busca encontrar los riesgos relacionados con la integridad, la confidencialidad, la disponibilidad de la infraestructura y la seguridad informática. Una vez evaluados los riesgos, el equipo de TI tendrá una visión clara sobre qué curso de acción deben tomar para eliminar, reducir o prepararse ante esos riesgos como parte del entorno de trabajo mediante el uso de controles.

Rol Fundamental de la Auditoría de Sistemas

El rol fundamental de la auditoría de sistemas es garantizar la seguridad de que los sistemas que están funcionando de manera eficiente, eficaz y económicamente dentro de la organización.

  • Examinar la estructura y funcionamiento de la entidad a inspeccionar.
  • Analizar el control interno, políticas y normativas internas de la organización.
  • Comprensión de las tecnologías de la información.
  • Vincular las fases y/o técnicas de auditoria de sistemas para identificar y prevenir posibles hechos delictivos.
  • Reconocimiento de riesgos y evaluación de controles.
  • Analizar el proceso de registro incorrecto de las transacciones y/o procedimientos para ocultarlas.

En la auditoría de sistemas se toma en consideración las normas generalmente aceptadas.

  • Perspectiva de la auditoría de sistemas de las empresas.
  • Conocimiento del control interno de las empresas.
  • Identificación de los estándares, técnicas y herramientas para la implementación de la auditoría de sistemas.
  • Preparación de la auditoría de sistemas.

La evolución tecnológica optimiza y proporciona evidencias que validan de manera eficiente los muestreos que se deben realizar al análisis de las transacciones y recursos al igual que a los riesgos y amenazas que se puedan detectar, mediante la aplicación de un criterio contra una evidencia.

Para que la auditoría de sistemas se desarrolle adecuadamente, es necesario tomar en cuenta los controles claves que estarán determinados en la aplicación de los controles automáticos y los controles definidos a nivel de la aplicación.

tags: #planeacion #auditoria #de #sistemas #ejemplos