Planificación de la Auditoria de Sistema

PLANIFICACIÓN DE LA

AUDITORÍA DE SISTEMAS

GarantizandolaexcelenciaparatuEmpresa

MAYO

EDITORIAL

Los sistemas informáticos han pasado a ser esenciales en el desarrollo diario de las empresas. Por ello, resulta crucial realizar auditorías informáticas para mantener un control constante sobre estos sistemas. Estas auditorías desempeñan un papel fundamental al evaluar la seguridad de los sistemas informáticos, las comunicaciones y el acceso a Internet de una organización. Contribuyen a mejorar los sistemas existentes y fortalecer la ciberseguridad, salvaguardando así las operaciones comerciales y la integridad de la información.

Una auditoría es un análisis vital para detectar posibles vulnerabilidades de seguridad. Es necesario llevarla a cabo de forma preventiva, ya que esperar a que se produzca una falla puede acarrear consecuencias graves.

01 INTRODUCCIÓN

La auditoría de sistemas se encarga de evaluar las prácticas, controles, técnicas y procedimientos implementados por una empresa para asegurar la confiabilidad, accesibilidad, seguridad y confidencialidad de la información procesada en sus sistemas de información.

Podemos definir una auditoría de sistemas de información como aquel proceso de revisión y evaluación de todos los aspectos de un sistema de procesamiento de información automatizado (o cualquier componente del mismo), incluyendo los programas no automatizados relacionados y las interfaces correspondientes.

La función principal de un auditor de sistemas consiste en proporcionar recomendaciones a la alta dirección con el fin de mejorar y establecer controles internos apropiados en un entorno de tecnología de la información, con el objetivo de lograr una mayor eficiencia en las operaciones y en la gestión administrativa.

La planificación de una auditoría de sistemas tiene como finalidad reunir, clasificar y evaluar pruebas para determinar si los sistemas de información garantizan la protección de los activos de la empresa, preservan la integridad de los datos, alcanzan de manera efectiva los objetivos de la organización y utilizan los recursos de forma eficiente.

VISIÓN

Desde una perspectiva más amplia, la planificación de la auditoría de sistemas tiene como objetivo buscar la máxima eficiencia del sistema de información al proporcionar los controles necesarios para garantizar su confiabilidad y un alto nivel de seguridad.

OBJETIVOS

- Supervisa las operaciones informáticas.

- Examina la eficacia del sistema de información.

- Evalúa la seguridad de la tecnología de la información.

- Verifica el cumplimiento de las regulaciones en este ámbito.

- Revisa la gestión eficiente de los recursos de TI.

- Valida los planes de contingencia y respaldo en caso de fallos..

PLANIFICACIÓN DE LA AUDITORÍA DE SISTEMAS

La realización de una auditoría implica una serie de etapas. Los auditores de sistemas deben analizar el riesgo global y luego implementar un plan de auditoría que contemple objetivos de control y procedimientos de auditoría para alcanzar dichos objetivos.

En el transcurso de la auditoría, el auditor de sistemas tiene la responsabilidad de reunir pruebas, evaluar las fortalezas y debilidades de los controles existentes según las pruebas recopiladas, y elaborar un informe de auditoría que presente de manera objetiva estos problemas a la dirección.

Asimismo, la dirección de auditoría debe garantizar la disponibilidad de recursos adecuados y asignación de recursos para llevar a cabo la auditoría, así como revisar las medidas correctivas tomadas por la dirección. La planificación adecuada es el primer paso para llevar a cabo una auditoría de sistemas efectiva. Los auditores de sistemas deben tener un conocimiento profundo del entorno empresarial en el que se realiza la auditoría, así como de los riesgos comerciales y de control asociados.

04 TIPOS DE AUDITORÍAS DE SISTEMAS

Auditoría a la Gestión Informática

Orientadas a la revisión de las funciones y actividades administrativas realizadas en el dominio de sistemas, como como departamentos de planificación, organización.

Auditoría con la Computadora

Aprovecha la computadora y sus programas para la evaluación de las actividades y operaciones, respecto a las necesidades específicas del auditor

Auditoría al rededor de la Computadora

Estudia cada aspecto que aporte al buen funcionamiento del área sistematizada, tales como sus sistemas, operaciones y funcionamiento.

Auditoría al Sistema de Cómputo

Es una auditoría especializada, evaluando el correcto funcionamiento y uso de los equipos informáticos, tanto de hardware como de software.

Auditoría sin la Computadora

Se realiza sin el uso de computadoras, utilizando únicamente los métodos, técnicas y procedimientos típicos de las evaluaciones conductuales tradicionales.

Auditoría a los Sistemas de Redes

Se efectúa específicamente para el sistema de red de la organización, teniendo en cuenta el tipo de red, la arquitectura, etc. evaluación.

PR HE

Durante una aud siguientes verifica

Pruebas Sustantivas: Estas pruebas se llevan a cabo para evaluar la confiabilidad de los sistemas de información de la organización. Se realizan a través de observaciones, cálculos, muestreos, entrevistas, entre otros métodos. Además, se verifica la precisión, integridad y validez de la información.

Pruebas de Cumplimiento: Estas pruebas se realizan para analizar muestras y verificar su consistencia con lo descubierto durante la auditoría. Proporcionan evidencia de que los controles clave están implementados y se aplican de manera efectiva y consistente.

Las principales herramientas que utilizan los auditores informáticos son:

Observación

Realización de cuetionarios

Entrevistas a auditados y no auditados

Muestreo estadístico

Flujogramas

Listas de chequeo (checklist)

Mapas conceptuales

Inventario

PLAN DE AUDITORÍA

Objetivos

Definirán los objetivos respondiendo las preguntas ¿qué haré? ¿cómo lo haré? y ¿para qué lo haré?

Alcances

Definirán los límites que abarcará la auditoría; es decir, las áreas administrativas y las áreas tecnológicas que se evaluarán.

Metodología

Se colocará la norma que se utilizará para auditar.

Actividades

Se describirán las actividades a desarrollar en la auditoría

Resultados

Se establecerá la entrega de un informe preliminar de la auditoría destacando los principales hallazgos encontrados y se establece la fecha de entrega del informe final de la auditoría.

Firmas

El documento será firmado por el auditor líder y el cliente, para validar las actividades que se desarrollarán el día de la auditoría.

TÉCNICAS DE AUDITORÍA

Las técnicas utilizadas por los auditores se definen como los métodos prácticos de investigación y prueba que emplean para obtener la evidencia necesaria que respalde sus opiniones y conclusiones. La elección adecuada de estas técnicas es crucial, ya que una selección inapropiada puede llevar a que la auditoría no cumpla con los estándares de desempeño generalmente aceptados. Por lo tanto, tanto la tecnología como los procedimientos de auditoría desempeñan un papel fundamental en la labor de los auditores.

Según el Instituto Mexicano de Contadores Públicos (IMCP) en su libro "Normas y Procedimientos de Auditoría", estas técnicas se clasifican en función de las actividades a realizar.

Las técnicas se agrupan de la siguiente manera:

Estudio General

Análisis

Inspección

Confirmación

Investigación

Declaración

Certificación

Observación

Cálculo

DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA REALIZAR LA AUDITORIA

A partir de los resultados de la investigación inicial, procedemos a establecer los recursos humanos y materiales que se utilizarán en la auditoría.

Recursos Humanos

El número de recursos dependen de la capaidad auditable. Las características y perfiles de las personas seleccionadas dependen de las circunstancias de la auditoría. También vale la pena señalar que las auditorías generales a menudo son realizadas por profesionales universitarios y otros con experiencia interdisciplinaria reconocida.

Recursos Materiales 09

Los auditores cuentan con dos tipos de recursos materiales:

-Los recursos de software, como el número y la complejidad de las bases de datos y los archivos utilizados como programas de auditoría, son muy potentes y adaptables.

-Los recursos de hardware requeridos por los auditores son proporcionados por los clientes. Las pruebas deben realizarse en la computadora que se está auditando. Por lo tanto, es necesario ponerse de acuerdo sobre el tiempo de la máquina, el espacio en disco, las impresoras ocupadas, los escáneres, etc.

ELABORACIÓN DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO

Luego de haber asignado los recursos, el auditor y sus asociados deberán definir el plan de trabajo y luego proceden a su programación. Además de otros criterios, el plan se elaborará teniendo en cuenta los siguientes factores:

Si la revisión debe ser general o específica del área.

Si la auditoría es global se calcula total o parcialmente. La cantidad determina el número requerido de auditores, y la especialización necesaria del personal.

Los calendarios no se incluyen en la planificación porque se emplean recursos genéricos y no específicos.

El plan identifica los recursos y esfuerzos globales necesarios.

Se priorizan as materias auditables, siempre de acuerdo con las prioridades del cliente. El plan determina la futura disponibilidad de recursos durante el período de auditoría.

El plan define las tareas a realizar por cada miembro del equipo.

El plan expresa toda la ayuda que el auditor debe recibir del auditado.

11 ORGANIGRAMAS

La estructura organizativa, desarrollada en un organigrama, brinda un marco formal de autoridad y responsabilidad dentro del cual se planifican, ejecutan y controlan las actividades de acuerdo con los objetivos de la organización. Lo importante es que esté diseñado a la medida de sus necesidades, ofreciendo el marco organizacional adecuado para implementar la estrategia propuesta para alcanzar las metas planteadas.

EJEMPLO DE ORGANIGRAMA

La auditoría de sistemas se encarga de examinar el funcionamiento de controles, sistemas, programas informáticos y hardware.

Además de la eficiencia y seguridad de las organizaciones involucradas en el procesamiento de la información para tomar decisiones adecuadas, indicando alternativas para un uso más eficiente y seguro de la información.

Una auditoría informática debe incluir no solo la evaluación de equipos informáticos, sistemas o procedimientos específicos, sino también la evaluación general de los sistemas de información en términos de insumos, procedimientos, controles, documentación, seguridad y recopilación de información. La auditoría informática es fundamental para garantizar el buen funcionamiento de un sistema de información, ya que proporciona los controles necesarios para garantizar que el sistema sea fiable y tenga un buen nivel de seguridad.

REFERECIAS

1) Aponte, L (2018). Planificación Auditoria Informática. slideshare. Recuperado de: https://es.slideshare.net/profeluis2010/planificacin-auditoriainformtica#:~:text=Debe%20incluir%20una%20comprensi%C3%B3n% 20general,el%20que%20opera%20el%20negocio

2) Piattini M. y Peso E. (2002). Auditoría Informática. Un Enfoque Práctico. Segunda Edición Ampliada y Revisada. Madrid, España: Editorial RA-MA

3) Boza, A. C. (s.f.). Gestiopolis. Obtenido de Auditoría de los Sistemas de Información en la Organización: https://www.gestiopolis.com/auditoria-de-sistemas-deinformacion-en-la-organizacion/

4) gstic. (25 de Enero de 2018). Obtenido de Auditoría Informática. Objetivos, alcance y metodología. Técnicas y herramientas. Normas y estándares.: https://gsitic.wordpress.com/2018/01/25/bii11auditoria-informatica-objetivos-alcance-y-metodologia-tecnicas-yherramientas-normas-yestandares/#:~:text=La%20auditoria%20inform%C3%A1tica%20es%2 0el,y%20utiliza%20eficientemente%20los%20recursos.