Auditoría de sistemas de información

La auditoría de sistemas de información es muy compleja y por tanto es necesario contar con ciertas habilidades que te permitan a provechar al máximo este tipo de auditorias y hacer que su uso sea el adecuado y obtener el beneficio de adquirir con la práctica la habilidad necesaria para realizar una correcta auditoría de sistemas de información.

Actualmente la auditoria de los sistemas de información es definida como cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Es indispensable tomar en cuenta que para hacer una adecuada planeación de la auditoria en sistemas de información, hay que seguir una serie de pasos previos que permitirán dimensionar  el  tamaño  y  características  de  área  dentro  del  organismo  a  auditar,  sus sistemas, organización y equipo.

1. Conceptualización

1.1 Auditoría

Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. (Ynfante, 2009).

La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas alas eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

Otras posibles definiciones pueden ser:

Es un examen comprensivo de la estructura de una empresa, en cuanto a los planes y objetivos, métodos y controles, su forma de operación y sus equipos humanos y físicos.

«Una visión formal y sistemática para determinar hasta qué punto una organización está cumpliendo los objetivos establecidos por la gerencia, así como para identificar los que requieren mejorarse”. (Proyectos_fin_de_carrera, 2000)

1.2 Criterio de Auditoría

Criterio de Auditoria: Políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la información recopilada sobre la gestión de calidad. Los requerimientos pueden incluir estándares, normas, requerimientos organizacionales específicos, y requerimientos legislativos o regulados. (Pastor, 2004).

1.3 Auditoría en sistemas

Es la rama que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. (El_rincon_del_vago.com, 2010).

1.4 Auditoría Informática

La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. (Monografías.com, 2010).

1.5 Auditoría de Información

La auditoría de la información es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. El objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. (Ynfante, 2009).

2. Auditoría en sistemas de información

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos   de   procesamiento   de   la   información,   incluidos   los   procedimientos   no automáticos relacionados con ellos y las interfaces correspondientes. (Aguirre, 2007)

2.1 Objetivos

Participación en el desarrollo de nuevos sistemas.

Evaluación de controles

Cumplimiento de la metodología.

  • Evaluación de la seguridad en el área informática.
  • Evaluación de suficiencia en los planes de contingencia.

Respaldos, proveer qué va a pasar si se presentan fallas

  • Opinión de la utilización de los recursos informáticos.
  • Control de modificación a las aplicaciones existentes.
  • Participación en la negociación de contratos con los proveedores.
  • Revisión de la utilización del sistema operativo y los programas
  • Auditoría de la base de datos.
  • Auditoría de la red de teleprocesos.
  • Desarrollo de software de auditoría. (Ynfante, 2009)

2.2 Procedimientos

Se requieren varios pasos para realizar una auditoria de sistemas de información. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. (Monografías.com, 2010)

Para que profundices en el aprendizaje de qué es y para que es útil la auditoría de sistemas de información te recomendamos la siguiente serie de videos: 1. Concepto de auditoría de sistemas de información; 2. El auditor de sistemas de información; 3. Aplicaciones de la auditoría de sistemas de información; 4. Desarrollo de una auditoría de sistemas de información: Fases; 5. Auditoría de sistemas de información. Entrevistas y cuestionarios. (Instructor: Ignacio Gil Pechuán, Universitat Politècnica de València – UPV)

3. Tipos de auditoría

Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera. (Ynfante, 2009).

Entre los principales enfoques de Auditoría tenemos los siguientes:

Auditoría de sistemas de información4. Metodología de la auditoría de sistemas de información

Existen algunas metodologías de Auditorías de Sistemas de información  y todas dependen de lo que se pretenda revisar o analizar:

  • Estudio preliminar
  • Revisión y evaluación de controles y seguridades
  • Examen detallado de áreas criticas
  • Comunicación de resultados

4.1 Estudio preliminar

Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios.

4.2 Revisión y evaluación de controles y seguridades

Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos, Revisión de documentación y archivos, entre otras actividades.

4.3 Examen detallado de áreas críticas

Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

4.4 Comunicación de resultados

Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

  • Motivos de la Auditoría
  • Objetivos
  • Alcance
  • Estructura Orgánico-Funcional del área

Cita esta página

Castañón Ortega Blanca Margarita. (2012, noviembre 14). Auditoría de sistemas de información. Recuperado de https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/
Castañón Ortega Blanca Margarita. "Auditoría de sistemas de información". gestiopolis. 14 noviembre 2012. Web. <https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/>.
Castañón Ortega Blanca Margarita. "Auditoría de sistemas de información". gestiopolis. noviembre 14, 2012. Consultado el . https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/.
Castañón Ortega Blanca Margarita. Auditoría de sistemas de información [en línea]. <https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de elwillo en Flickr