Descubre las Mejores Técnicas de Auditoría de Sistemas: Ejemplos y Estrategias Infaliblespost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

Técnicas de Auditoría de Sistemas: Ejemplos y Estrategias

Una auditoría de sistemas puede definirse como cualquier inspección que abarque la revisión y evaluación de sistemas de información, y sus recursos relacionados, con el fin de determinar si se cuenta con controles internos que provean una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados, al mismo tiempo que los riesgos serán evitados, detectados y/o corregidos de forma oportuna.

Planificación de la Auditoría de TI

La planificación de la auditoría de TI implica dos pasos principales:

  • El primer paso es realizar un entendimiento del negocio y del entorno general bajo revisión, recopilando información.
  • El segundo consiste en realizar o reutilizar los análisis de riesgos existentes en la organización para cerciorarse de que se mantenga el rumbo hacia los objetivos.

Cada vez son más las organizaciones que se están moviendo hacia un enfoque de auditoría basado en riesgos, lo cual ayuda a un(a) auditor(a) de sistemas informáticos a planificar y priorizar la revisión sobre las áreas o temas que representan mayor riesgo para la organización.

En un enfoque basado en el riesgo, los auditores y auditoras de sistemas informáticos se basan en los controles internos y operativos, así como en el conocimiento de la empresa o el negocio. Este tipo de enfoque ayuda a identificar los controles clave a ser evaluados y, por ende, determinar las pruebas de cumplimiento y sustantivas a ser ejecutadas.

Entendimiento del Negocio

Al realizar el entendimiento del negocio, el equipo de auditoría de TI debería al menos, identificar los siguientes elementos:

Lea también: Descubra las Innovaciones Contables

  • Misión, objetivos y principales procesos del negocio.
  • Cambios en el entorno de negocio y la industria.
  • Resultados de las auditorías anteriores.
  • Leyes y regulaciones aplicables.
  • Marco de control interno (políticas, procedimientos, estructuras).
  • Evaluaciones de riesgos inherentes.
  • Tipo de sistemas de información y tecnología que soportan los procesos de negocio.

Objetivos de una Auditoría de Sistemas Informáticos

Muy a menudo, los objetivos de una auditoría de sistemas informáticos se concentran en corroborar que los controles internos existen y funcionen como se espera para minimizar el riesgo. Los objetivos de auditoría de sistemas también incluyen asegurar el cumplimiento de los requisitos regulatorios y de normativa interna, así como la confidencialidad, integridad y disponibilidad de la información.

Estrategias de la Auditoría de Sistemas

Al desarrollar una estrategia de auditoría de sistemas se debe considerar el tipo de pruebas a realizar (pruebas de cumplimiento o sustantivas) y las técnicas de recopilación de evidencia a utilizar durante el proceso de auditoría.

Pruebas de Cumplimiento vs. Pruebas Sustantivas

Las pruebas de cumplimiento determinan si los controles están siendo aplicados conforme a las políticas y los procedimientos de la organización. Por otro lado, las pruebas sustantivas consisten en la recopilación de evidencia para evaluar la integridad de las transacciones, datos individuales y otra información.

Ejemplos de Pruebas

  • Pruebas de cumplimiento: Como auditor (a) de sistemas informáticos, se puede tomar el control de versiones del aplicativo en ejecución y luego verificar que la documentación de control de cambios relacionada cuenta con las autorizaciones correspondientes.
  • Pruebas sustantivas: un(a) auditor(a) de sistemas informáticos haría un inventario físico y lo compararía con el inventario registrado y reportado por el área de TI, con el objetivo de validar la integridad que la información registrada, es decir revisa que los datos de los activos registrados estén completos y libres de errores.

Recopilación de Evidencia

Cuando se trata de obtener evidencia que permita auditar y presentar un informe, se considera:

  • Revisar la documentación disponible (políticas, procedimientos, estándares y estructuras).
  • Entrevistar al personal apropiado.
  • Observar los procesos y el desempeño de los empleados, mediante recorridos.
  • Realizar pruebas técnicas a los controles y sus resultados.

En el proceso de recopilación de evidencias, la observación y documentación de lo que hace realmente un individuo frente a lo que se supone que debe hacer puede proporcionar pruebas valiosas al equipo auditor. Además, realizar una inspección física o virtual puede brindar información importante sobre cómo se realiza una función en particular e inclusive observar el grado de concientización del personal en materia de seguridad de la información.

Lea también: Descubre las técnicas de auditoría informática

Después de reunir toda la evidencia, el auditor o auditora de sistemas informáticos la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. En este punto es donde el equipo auditor aporta su visión objetiva y experiencia para identificar oportunidades de mejora. Por ejemplo, se puede encontrar una debilidad en un área que se compense con un control muy fuerte en otra área adyacente. Es su responsabilidad como auditor de sistemas informáticos informar ambas situaciones en el informe de auditoría.

Importancia de las Auditorías Periódicas

A medida que la tecnología se integra cada vez más en la estructura de la gestión y las operaciones comerciales, se hace necesario evaluar el uso de esta y las posibles amenazas relacionadas. También abundan las oportunidades para reducir costos y obtener una mayor eficiencia mediante la auditoría de los procesos y sistemas de TI.

Dado que el área de TI juega un papel fundamental para las organizaciones, la realización de auditorías periódicas se ha vuelto necesario como parte de las acciones de seguridad informática. Estas auditorías periódicas buscan revisar la variedad de recursos, como el uso de software, servicios web, sistemas operativos, sistemas de seguridad, redes y los aplicativos con los que se cuenten. La principal motivación de las auditorías de TI es lograr la identificación y la evaluación de los riesgos en una empresa. Por lo general, se busca encontrar los riesgos relacionados con la integridad, la confidencialidad, la disponibilidad de la infraestructura y la seguridad informática. Una vez evaluados los riesgos, el equipo de TI tendrá una visión clara sobre qué curso de acción deben tomar para eliminar, reducir o prepararse ante esos riesgos como parte del entorno de trabajo mediante el uso de controles.

Técnicas de Auditoría Asistidas por Computadora (TAACs)

La aplicación de los procedimientos de auditoría ha dado lugar a que el auditor considere las técnicas que hacen uso de la computadora como una herramienta de auditoría. La eficacia y eficiencia de los procedimientos de auditoría pueden mejorarse mediante el uso de las TAAC.

Las Técnicas de Auditoría con ayuda de la computadora (TAACs) pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría.

Lea también: Profundiza en las técnicas de auditoría financiera

El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema.

Tipos de Software de Auditoría:

  • Programas generalizados: Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.
  • Programas para propósitos especiales: Son programas de computadora diseñados para desempeñar tareas de auditoría en circunstancias específicas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor.
  • Programas de utilería: Son usados por la entidad para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteo automático de registros o totales de control.
  • Herramientas de administración del sistema: Son herramientas de productividad sofisticadas que son típicamente parte de los sistemas operativos sofisticados, por ejemplo, software para recuperación de datos o software para comparación de códigos. Como en el caso anterior, estas herramientas no son específicamente diseñadas para usos de auditoría y deben ser utilizadas con cuidado.
  • Módulos de auditoría integrados: Son módulos especiales de recolección de información incluidos en la aplicación y diseñados con fines específicos. Es semejante a una fotografía interna al sistema, es decir, a la memoria, lo que permite obtener resultados intermedios en diferentes momentos de un proceso o conseguir valores temporales de una variable. Se activa mediante ciertas condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los algoritmos aplicados a los datos. Involucra módulos incrustados en una aplicación que monitorea continuamente el sistema de transacciones. Recolecta la información en archivos especiales que puede examinar el auditor.

En resumen, los paquetes de auditoría son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.

  • Rastreo (Tracing): Indica por dónde pasa el programa cada vez que se ejecuta una instrucción.
  • Volcado de memoria (Dump): Imprime o muestra en la pantalla el valor de las variables, en una porción o en todo el programa.
  • Características del programa: Son características del programa tales como tamaño en bytes, localización en memoria, fecha de última modificación, etcétera. Involucra los códigos fuentes y códigos objetos.
  • Informe de Contabilidad del Sistema (SAR): Es un Informe de Contabilidad del Sistema. Utilitario del sistema operativo que provee el medio para acumular y registrar la información necesaria para facturar a los usuarios y evaluar el uso del sistema.

Auditoría Informática: Objetivos y Alcance

Al igual que el uso de todo tipo de herramientas para llevar a cabo la auditoría con el empleo de los avances tecnológicos, se perfila también la necesidad de aplicarse auditorías especiales al área encargada de llevar a cabo el registro de todas las transacciones y actividades en general con el empleo de los equipos de cómputo, me refiero precisamente al área de informática o de procesamiento de datos, bien sea que opere a través de una sola máquina o, peor aún, con el uso de servidores y terminales instaladas en diversas áreas de la organización.

Los principales objetivos que constituyen a la auditoría informática son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos que comporta, la verificación del cumplimiento de la normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, lo cual se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuales áreas fronterizas han sido omitidas. Para esto se necesitan evaluar dos puntos convergentes que determinan el alcance.

  • Control de integridad de registros: Hay aplicaciones que comparten registros.
  • Síntomas de descoordinación y desorganización.

Es un concepto aún más importante que la seguridad, establece las estrategias de continuidad entre fallos mediante planes de contingencia totales y locales (para prevenir cortes de energía u otro tipo de problemas que bloqueen el uso del sistema o el acceso al sitio donde se encuentra físicamente el equipo de cómputo central, por ejemplo, el uso de Back up, para operar en oficinas paralelas).

Normativa y Estándares

La evolución del mundo hacia bloques económicos y de allí hacia empresas multinacionales, dan lugar a que cada vez pierdan importancia las normas específicas de cada país y tome mayor auge la estandarización internacional y las reglas que se fijen en ese contexto. Las nuevas condiciones de los negocios entre países se han conjugado con dos elementos más: a) el empleo de las computadoras para el registro y control de la información contable-financiera-administrativa; y b) la importancia de las auditorías tanto para la verificación y aseguramiento de la información como para el control y mejoramiento de los negocios de manera integral.

Debido también a que los inversionistas internacionales exigen reglas estandarizadas que les faciliten la realización de sus negocios apoyados en el uso de la tecnología y en sistemas de información que les provean reportes financieros de calidad que sirvan para la toma de decisiones.

NORMA 401: Auditoría en un ambiente de sistemas de información por computador (SIC). El objetivo y alcance de una auditoría no cambia en un ambiente SIC, sin embargo, el uso del computador cambia el procesamiento, almacenamiento y salida de información, pudiendo afectar los sistemas de contabilidad y de control interno. Esto hará que se afecten los procedimientos seguidos por el auditor para comprender los sistemas de contabilidad y de control interno, la consideración del riesgo inherente y del riesgo de control y el diseño de las pruebas de control y sustantivas.

El Comité IAASB de la Federación Internacional de Contadores (IFAC) emite lineamientos (IAPS s) sobre prácticas de auditoría generalmente aceptadas y sobre servicios relacionados y sobre la forma y contenido de los dictámenes del auditor. Estos lineamientos tienen la intención de mejorar el grado de uniformidad de las prácticas de auditoría y servicios relacionados en todo el mundo.

Conclusión

En cuanto al hardware, se puede conocer qué tipo de procesador tiene las computadoras, la memoria, service packs, capacidad de almacenamiento, particiones y medios usados. Es la que se realiza a lo interno de la empresa. La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora.

Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.

tags: #tecnicas #de #auditoria #de #sistemas #ejemplos