Tipos y clases de auditoría Auditoría Interna: Se refiere a sistemas que posibilitan un seguimiento actualizado de la administración empresarial y aseguran procesos más seguros y eficaces. Algunas auditorías internas incluyen: o Auditoría Forense: se enfoca en la prevención y registro de fraudes y delitos, mediante la utilización de una serie de pruebas, pruebas e información que posteriormente son utilizadas por las autoridades. o Auditoría Administrativa: se trata de un análisis integral de las políticas, procedimientos, estructura organizacional, métodos de control, metas y objetivos de la organización. o Auditoría (Contable) Financiera: se debe llevar a cabo un examen y verificación minuciosa de los estados financieros, informes y documentos contables de la compañía, además de proporcionar opiniones técnicas y profesionales. o Auditoría de calidad: este tipo de auditoria evalúa la eficacia del sistema de gestión de calidad y su capacidad para satisfacer los requerimientos del cliente. El propósito de este consiste en prevenir crear productos que puedan afectar a los consumidores. Las auditorías de calidad se pueden dividir en diferentes tipos según su enfoque, por ejemplo: sistema de gestión de calidad, proceso, calidad del producto, cumplimiento o externa. o Auditoría de sistemas: se lleva a cabo una revisión técnica, exhaustiva y detallada de las redes y sistemas informáticos utilizados por los usuarios. Esta evalúa el rendimiento del equipo, su correcto funcionamiento y la seguridad de los documentos. Auditoría externa: una auditoria externa consiste en un análisis independiente de informes, estadísticas financieras y otros documentos. Objetivos de la auditoría informática El propósito primordial de esta tarea consiste en la verificación de todos los sistemas de información, su confiabilidad y su aplicación por parte de la unidad. Se trata de investigar directamente que el almacenamiento y manipulación de la información este regulado por las normas y reglamentos establecidos y que no existe una solución sencilla de acceder a esta desde fuera. Revisión de controles de la gestión informática Una vez alcanzada la operatividad de los sistemas, el segundo propósito de la auditoria consiste en verificar la observación de las normas teóricamente existentes en el departamento de informática y su coherencia con las de la totalidad de la empresa. Para ello, deben examinarse de manera continua y de forma equitativa: 1. Las Normas Generales de la Instalación Informática. Se llevará a cabo una revisión inicial sin examinar detalladamente las discrepancias que puedan surgir, sin embargo, se procederá a registrar las áreas que carecen de normativa, y especialmente verificar que la Normativa General informática no está en contraposición con alguna Norma General no Informática de la compañía. 2. Los Procedimientos Generales Informáticos. Se examinará su presencia, al menos en los ámbitos más relevantes. Por ejemplo, la recepción definitiva de las maquinar debería estar firmada por los responsables de la explotación. No sería factible la ejecución de una nueva aplicación en caso de que no se encuentren los procedimientos de Backup y Recuperación necesarios. 3. Los Procedimientos Específicos Informáticos. Asimismo, se evaluará su presencia en las áreas fundamentales. De este modo, la explotación no debería explotar una aplicación sin haber requerido a desarrollar la documentación necesaria. De igual manera, es imperativo verificar que los procedimientos específicos no se ajusten a los procedimientos generales. En todos los casos previamente mencionados, se debe aclarar que no existe ninguna discrepancia con la normativa y los procedimientos generales de la propia empresa, a los que la informática debe estar sometida. Síntomas de necesidad de una auditoría informática Las compañías acuden a las auditorías externas cuando existen síntomas evidentes de debilidad. Estos síntomas pueden agruparse en clases: Síntomas de descoordinación y desorganización: o No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. o Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. o Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante. Síntomas de mala imagen e insatisfacción de los usuarios: o No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. o No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. o No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. Síntomas de debilidades económico-financiero: o Incremento desmesurado de costes. o Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). o Desviaciones Presupuestarias significativas. o Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). Perfil del auditor informático Al auditor informático también se lo conoce como auditor de sistemas o auditor de TI. Entre sus principales funciones dentro de una organización figuran: Realizar un análisis de la situación actual. Realizar estudios que brinden la información necesaria para el análisis a través de herramientas y síntesis de conclusiones. Elaborar un plan de auditorías dentro de la empresa y a los clientes. Evaluar la información con cuidado para evitar que los sistemas y proceso se puedan compartir. Diseñar soluciones y estrategia para mejorar los sistemas o corregir errores. Controlar y comprobar los sistemas informáticos internos. Examinar los riesgos del entorno informático, sistemas operativos, redes y telecomunicaciones. Entrevistar y hacer trabajo de campo dentro de la empresa. Presentar informes con los resultados de cada auditoria que se realiza. Fundamentos de los métodos de auditoría Los fundamentos de los procedimientos de auditoria son los principios, normas y técnicas que orientan el procedimiento de examinar y evaluar la información financiera, operativa y administrativa de una entidad, con el propósito de emitir una opinión profesional e independiente acerca de su razonabilidad, eficacia y cumplimiento. Algunos de los fundamentos de los métodos de auditoría son: Enfoque basado en riesgos: se enfoca en la identificación y evaluación de los riesgos significativos que pueden afectar a la entidad o a sus estados financieros, y diseñar los procedimientos de auditoria apropiados para solventar dichos riesgos. Evidencia suficiente y apropiada: debe ser relevante, confiable, valida y verificable. Control interno: deberá evaluar el diseño e implementación del control interno, asi como su eficacia operativa. Independencia y objetividad: debe evitar cualquier circunstancia que pudiera ocasionar conflictos de interés o amenazas a su independencia. Ética profesional: debe ejecutar una conducta honesta, diligente y respetuosa hacia sus clientes, colegas y público general. Auditoria de aplicaciones La auditoría de aplicaciones se trata de un proceso que se fundamenta en recolectar, agrupar y evaluar pruebas que permiten determinar si una aplicación informática utilizada por una compañía cumple con los protocolos establecidos, mantiene la integridad de los datos, hace un uso eficiente de los recursos, cumple con las normas y leyes establecidas en el ámbito del área. En términos generales, se trata de una evaluación minuciosa de las aplicaciones informáticas con el fin de asegurar su correcto funcionamiento y seguridad. La auditoría de aplicaciones puede ser llevada a cabo por auditores internos o externos. Los auditores internos son sujetos a la administración que llevan a cabo la auditoria, mientras que los auditores externos se encuentran asignados a la organización para llevar a cabo la auditoria. La evaluación de aplicaciones se estructura en diversas etapas, que comprenden la planificación, el análisis de riesgos, la evaluación del control interno, la evaluación del cumplimiento y la presentación del informe. Durante estas etapas, se lleva a cabo una evaluación de diversos aspectos de las aplicaciones informáticas, tales como su diseño, implementación, seguridad y cumplimiento de los requisitos normativos.
