Tema: Clases y tipos de auditorias

Objetivos: comprender las clases y tipos de auditoria informática.

La auditoría informática: consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Permiten detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una organización y determinar
qué información es crítica para el cumplimiento de su misión y objetivos,
identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes.
En si la auditoria informática se divide en 2 clases las cuales son:
AUDITORIA INTERNA:
Es aquella que se hace desde dentro de la empresa; sin contratar a personas
ajena.
Desempeñada por profesionales con un profundo entendimiento de la cultura,
los sistemas y procesos de los negocios, la actividad de auditoría interna
asegura que los controles internos establecidos sean adecuados para mitigar
los riesgos, los procesos de gobierno sean eficaces y eficientes, y las metas y
objetivos de la organización se cumplan.
Auditoría interna es una actividad independiente y objetiva de aseguramiento y
consulta concebida para agregar valor y mejorar las operaciones de una
organización. Ayuda a una organización a cumplir sus objetivos aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestión de riesgos, control y gobierno.
Una actividad de auditoría interna eficaz es un valioso recurso para la dirección
de la organización y su comité directivo o equivalente, así como para el comité
de auditoría, debido a su entendimiento de la organización y su cultura,
operaciones y perfil de riesgos. La objetividad, habilidades y conocimientos de
los auditores internos competentes pueden agregar valor de forma significativa
a los procesos de control interno, gestión de riesgos y gobierno de la
organización. De forma similar, una actividad de auditoría interna eficaz puede
proporcionar aseguramiento a otras partes interesadas, tales como los entes de
regulación, empleados, proveedores financieros y accionistas.
Los auditores internos deben proporcionar recomendaciones para mejorar
aquellas áreas donde se identifiquen oportunidades o deficiencias. La dirección
de la organización es la responsable de los controles internos, mientras que la
actividad de auditoría interna proporciona aseguramiento a la dirección y al
comité de auditoría de que los controles internos son eficaces y funcionan
según fueron establecidos. La actividad de auditoría interna está liderada por el
director ejecutivo de auditoría (DEA), quien establece el alcance de las tareas,
autoridad e independencia de la auditoría interna en un estatuto escrito que es
aprobado por el comité de auditoría.
Basándose en los resultados de la evaluación de riesgos, los auditores internos
evalúan la adecuación y eficacia de cómo los riesgos son identificados y
manejados en las áreas mencionadas anteriormente. También evalúan otros
aspectos, tales como la ética y los valores dentro de la organización, la gestión
del desempeño, la comunicación de la información referida a riesgos y
controles dentro de la organización con el fin de facilitar un buen proceso de
gobierno.

AUDITORIA EXTERNA:
Como su nombre lo dice es aquella en la cual la empresa contrata a personas
de afuera para que haga la auditoria en su empresa. Auditar consiste
principalmente en estudiar los mecanismos de control que están implantados
en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios
que se deberían realizar para la consecución de los mismos. Los mecanismos
de control pueden ser directivos, preventivos, de detección, correctivos o de
recuperación ante una contingencia.
La auditoría externa es un proceso de evaluación sistemático, exhaustivo,
crítico y detallado de un determinado sistema de una empresa. Al ser externo,
el estudio se llevará cabo por personal ajeno a la empresa, con el fin de que
pueda emitir una opinión independiente que, de credibilidad frente a terceros,
ya que, en la mayoría de los casos, el informe se emitirá bajo fe pública. Así,
los fines principales de la auditoría externa son adquirir razonabilidad,
integridad y autenticidad de los estados analizados, con el objeto de conocer,
por la propia empresa, la situación de sus activos y pasivos, así como dar a
saber dicha situación a clientes, proveedores, accionistas y resto de personas o
entidades interesadas. Según el carácter de la función de los auditores
externos esta podrá ser obligatoria o voluntaria. El procedimiento de auditoría
externa será realizado por una persona o entidad especializada ajena a la
entidad, capaz de emitir una opción independiente y de emitir al final del
proceso un informe completo sobre el estado del sistema analizado. Para ello,
la entidad auditada no podrá poner restricciones a su trabajo y facilitar, en todo
momento, toda la documentación o información que precise el auditor.
La auditoría externa es un examen crítico y sistemático, el cual se encuentra
debidamente detallado, que se le realiza a un sistema de información empleado
por cualquier tipo de empresa.
La opinión que el auditor emita con respecto a los sistemas de información de
una empresa tendrá trascendencia entre terceros, ya que esto es garantía para
la validez de la información que es generada por el sistema. Es importante que
tengamos en cuenta que la auditoría externa se hace bajo la figura de fe
pública, lo que indica que los sistemas de información deben tener credibilidad
en cuanto a la información que fue examinada. La auditoría externa puede
realizar un análisis sobre cualquiera de los sistemas utilizados en una empresa,
pero habitualmente, la mayoría de las empresas requieren de un análisis
acerca de su sistema de información financiera en una forma independiente
para que de este modo, la auditoria externa puede otorgarle una validez
garantizada frente a los usuarios del producto en cuestión, por lo que
tradicionalmente el término que recibe la auditoría externa se encuentra
asociado al de auditoría de estados financieros aunque uno no sea equivalente
al otro. Por otro lado, la auditoria externa tiene por objetivo la averiguación de
sobre la integridad y autenticidad de los expedientes, de los documentos, y
toda aquella información producida por los sistemas de información en una
empresa.

La misma suele llevarse a cabo en el momento en que se tiene una intención

de publicar el producto del sistema informático que ha sido examinado con el
fin de apoyar al mismo mediante una opinión independiente a la empresa que
suele darle la autenticidad que le permite a sus usuarios tomar las decisiones
basadas en la confianza que brinda una persona encargada de la auditoría
externa en una entidad empresarial. auditoria-externa-auditoria
La auditoria externa debe ser realizada por una persona que se encuentre
aptamente calificada para llevarla a cabo.

Los objetivos de la auditoría Informática son:

El análisis de la eficiencia de los Sistemas Informáticos
La verificación del cumplimiento de la Normativa en este ámbito
La revisión de la eficaz gestión de los recursos informáticos.

También existen otros tipos de auditoria:

Auditoria operacional: se refiere a la revisión de la operación de una empresa y
juzga la eficiencia de la misma.
Auditoria administrativa: se refiere a la organización y eficiencia de la estructura
del personal con la que cuenta el personal y los procesos administrativos en
que actúa dicho personal.
Auditoria social: se refiere a la revisión del entorno social en que se ubica y
desarrolla una empresa, con el fin de valorar aspectos externos e internos que
interfieren en la productividad de la misma.
Sus beneficios son:
1. Mejora la imagen pública.
2. Confianza en los usuarios sobre la seguridad y control de los servicios
de TI.
3. Optimiza las relaciones internas y del clima de trabajo.
4. Disminuye los costos de la mala calidad (reprocesos, rechazos,
reclamos, entre otros).
5. Genera un balance de los riesgos en TI.
6. Realiza un control de la inversión en un entorno de TI, a menudo
impredecible.

La auditoría informática sirve para mejorar ciertas características en la empresa

como:
1. Desempeño
2. Fiabilidad
3. Eficacia
4. Rentabilidad
5. Seguridad
6. Privacidad
Generalmente se puede desarrollar en alguna o combinación de las siguientes
áreas:
1. Gobierno corporativo
2. Administración del Ciclo de vida de los sistemas
3. Servicios de Entrega y Soporte
4. Protección y Seguridad
5. Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el
ejercicio de la auditoría informática ha promovido la creación y desarrollo de
mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information

Systems Auditor es una de las más reconocidas y avaladas por los estándares
internacionales ya que el proceso de selección consta de un examen inicial
bastante extenso y la necesidad de mantenerse actualizado acumulando horas
(puntos) para no perder la certificación.
Tipos de Auditoría Informática:
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: la contratación de bienes y servicios, documentación de
los programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de
las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y
análisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de
integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando
disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situación
física de esta. También está referida a las protecciones externas (arcos de
seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de
los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Importancia de la Auditoria Informática ahora

La auditoría permite a través de una revisión independiente, la evaluación de

actividades, funciones específicas, resultados u operaciones de una
organización, con el fin de evaluar su correcta realización. Hacer énfasis en la
revisión independiente, debido a que el auditor debe mantener independencia
mental, profesional y laboral para evitar cualquier tipo de influencia en los
resultados de la misma.

La técnica de la auditoría, siendo por tanto aceptables equipos

multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería
Técnica en Informática y licenciados en derecho especializados en el mundo de
la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informática:
En la realización de una auditoría informática el auditor puede realizar las
siguientes pruebas:
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo.
Se suelen obtener mediante observación, cálculos, muestreos, entrevistas,
técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la
exactitud, integridad y validez de la información.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado
mediante el análisis de la muestra. Proporciona evidencias de que los controles
claves existen y que son aplicables efectiva y uniformemente.

Áreas a auditar en informática

Las áreas a auditar en donde se puede realizar la auditoria informática, puede
ser:
1. A toda la entidad
2. A un departamento
3. A un área
4. A una función
Se pueden aplicar los siguientes tipos de auditoria:
1. Auditoria al ciclo de vida del desarrollo de un sistema
2. Auditoria a un sistema en operación
3. Auditoria a controles generales (gestión)
4. Auditoria a la administración de la función informática
5. Auditoria a microcomputadoras aisladas
6. Auditoria a redes
Las principales herramientas de las que dispone un auditor informático son:
1. Observación
2. Realización de cuestionarios
3. Entrevistas a auditados y no auditados
4. Muestreo estadístico
5. Flujogramas
6. Listas de chequeo