Descubre los Puntos Clave para una Auditoría de Sistemas Perfecta: Ejemplos y Estrategias Infaliblespost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Puntos Clave a Evaluar en una Auditoría de Sistemas: Ejemplos y Estrategias

Una auditoría de sistemas se define como una inspección que abarca la revisión y evaluación de sistemas de información y sus recursos relacionados. El objetivo es determinar si existen controles internos que aseguren razonablemente que los objetivos de negocio, operacionales y de control se alcanzarán, mientras que los riesgos se evitan, detectan o corrigen de manera oportuna.

Planificación de la Auditoría de TI

La planificación de la auditoría de TI implica dos pasos principales:

  1. Realizar un entendimiento del negocio y del entorno general bajo revisión, recopilando información.
  2. Realizar o reutilizar los análisis de riesgos existentes en la organización para cerciorarse de que se mantenga el rumbo hacia los objetivos.

Cada vez más organizaciones adoptan un enfoque de auditoría basado en riesgos, lo que ayuda al auditor de sistemas informáticos a planificar y priorizar la revisión de las áreas o temas que representan mayor riesgo para la organización. En este enfoque, los auditores de sistemas informáticos se basan en los controles internos y operativos, así como en el conocimiento de la empresa o el negocio. Este enfoque ayuda a identificar los controles clave a ser evaluados y, por ende, determinar las pruebas de cumplimiento y sustantivas a ser ejecutadas.

Elementos Clave para Entender el Negocio

Al realizar el entendimiento del negocio, el equipo de auditoría de TI debería identificar los siguientes elementos:

  • Misión, objetivos y principales procesos del negocio.
  • Cambios en el entorno de negocio y la industria.
  • Resultados de las auditorías anteriores.
  • Leyes y regulaciones aplicables.
  • Marco de control interno (políticas, procedimientos, estructuras).
  • Evaluaciones de riesgos inherentes.
  • Tipo de sistemas de información y tecnología que soportan los procesos de negocio.

Objetivos de una Auditoría de Sistemas Informáticos

Los objetivos de una auditoría de sistemas informáticos se concentran en corroborar que los controles internos existan y funcionen como se espera para minimizar el riesgo. Además, incluyen asegurar el cumplimiento de los requisitos regulatorios y de normativa interna, así como la confidencialidad, integridad y disponibilidad de la información.

Lea también: Papeletas SAT: Guía Completa

Estrategias de la Auditoría de Sistemas

Al desarrollar una estrategia de auditoría de sistemas, se debe considerar el tipo de pruebas a realizar (pruebas de cumplimiento o sustantivas) y las técnicas de recopilación de evidencia a utilizar durante el proceso de auditoría.

Pruebas de Cumplimiento vs. Pruebas Sustantivas

Las pruebas de cumplimiento determinan si los controles están siendo aplicados conforme a las políticas y los procedimientos de la organización. Por otro lado, las pruebas sustantivas consisten en la recopilación de evidencia para evaluar la integridad de las transacciones, datos individuales y otra información.

Ejemplos de Pruebas

Un ejemplo de prueba de cumplimiento es verificar que todos los cambios de la aplicación pasen por la autorización de un control de cambios. Esto se puede hacer tomando el control de versiones del aplicativo en ejecución y verificando que la documentación de control de cambios relacionada cuente con las autorizaciones correspondientes.

Para pruebas sustantivas, un auditor de sistemas informáticos podría realizar un inventario físico y compararlo con el inventario registrado y reportado por el área de TI, con el objetivo de validar la integridad de la información registrada, es decir, revisar que los datos de los activos registrados estén completos y libres de errores.

Recopilación de Evidencia

Cuando se trata de obtener evidencia que permita auditar y presentar un informe, se considera:

Lea también: Entendiendo la Reforma Fiscal de México

  • Revisar la documentación disponible (políticas, procedimientos, estándares y estructuras).
  • Entrevistar al personal apropiado.
  • Observar los procesos y el desempeño de los empleados, mediante recorridos.
  • Realizar pruebas técnicas a los controles y sus resultados.

En el proceso de recopilación de evidencias, la observación y documentación de lo que hace realmente un individuo frente a lo que se supone que debe hacer puede proporcionar pruebas valiosas al equipo auditor. Además, realizar una inspección física o virtual puede brindar información importante sobre cómo se realiza una función en particular e inclusive observar el grado de concientización del personal en materia de seguridad de la información.

Evaluación de la Evidencia y Reporte

Después de reunir toda la evidencia, el auditor o auditora de sistemas informáticos la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. En este punto es donde el equipo auditor aporta su visión objetiva y experiencia para identificar oportunidades de mejora. Es su responsabilidad como auditor de sistemas informáticos informar ambas situaciones en el informe de auditoría.

Importancia de las Auditorías Periódicas

A medida que la tecnología se integra cada vez más en la estructura de la gestión y las operaciones comerciales, se hace necesario evaluar el uso de esta y las posibles amenazas relacionadas. Dado que el área de TI juega un papel fundamental para las organizaciones, la realización de auditorías periódicas se ha vuelto necesario como parte de las acciones de seguridad informática.

Estas auditorías periódicas buscan revisar la variedad de recursos, como el uso de software, servicios web, sistemas operativos, sistemas de seguridad, redes y los aplicativos con los que se cuenten. La principal motivación de las auditorías de TI es lograr la identificación y la evaluación de los riesgos en una empresa, relacionados con la integridad, la confidencialidad, la disponibilidad de la infraestructura y la seguridad informática.

Una vez evaluados los riesgos, el equipo de TI tendrá una visión clara sobre qué curso de acción deben tomar para eliminar, reducir o prepararse ante esos riesgos como parte del entorno de trabajo mediante el uso de controles.

Lea también: Nota de corte para Contabilidad y Auditoría

Auditoría Informática Interna

Es la que se realiza a lo interno de la empresa. También permite realizar inventarios, revisar los mecanismos de control y gestión. En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados.

La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora. Condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores. Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.

tags: #puntos #a #evaluar #en #una #auditoria