Administración del proceso de Auditoría Informática

Marianela Huerta Gamboa

Auditoría de Sistemas

Instituto IACC

04 de noviembre de 2019
 Desarrollo

Junto con saludar, le entrego información respecto al tipo de Auditoría que se llevará a cabo en el

Instituto. Se llama Auditoría Informática.

La Auditoría Informática es el proceso de revisión y evaluación de los controles y medidas de

seguridad que se aplican a los recursos: Tecnológicos, Personal, Software y Procedimientos, los

cuales se utilizan en los Sistemas de Información manejados en la institución. En este sentido, se

deben revisar y evaluar si se han desarrollado e implementado controles apropiados y adecuados

en los sistemas de información.

La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es cierto que

la Auditoría es un proceso que permite detectar fallas, es menester de la auditoría, el presentar

algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repetición de las

mismas en un futuro. Básicamente, el objetivo principal de la auditoría informática es garantizar

la operatividad de los procesos informáticos. En otras palabras, ofrecer la continuidad de los

procesos de generación, distribución, uso y respaldo de información dentro de las organizaciones.

La Importancia de la Auditoría Informática radica en el hecho de garantizar la operatividad de los

procesos informáticos. Del mismo modo, la Auditoría es compatible con la calidad, ya que,

mediante la auditoría, se buscan implantar mejoras en busca del perfeccionamiento de los procesos,

incorporando nuevas técnicas y tecnologías.

Las etapas que seguiremos en esta Auditoría serán:

Planificación Trabajo de campo Descubrimiento de Hallazgos

Y y

Documentación validación

Informe Comunicación de Desarrollo de soluciones

Final resultados

En la Etapa de Planificación tenemos que planificar adecuadamente, para asegurar su calidad. Esta

se basará en las actividades que desarrolla el Instituto Profesional que será auditado y las

disposiciones legales que la afectan. Se incluirán los objetivos, alcances de la muestra,

procedimientos detallados, oportunidad de su aplicación y el personal responsable de su ejecución.

Además de organizar un archivo permanente con la documentación que tenga información de

interés y de uso continuo. En este caso el examen que se realizara corresponde a la verificación de

la exactitud de la información que entregan los sistemas.

Entonces, en esta primera etapa, se tienen 4 áreas de trabajo:

1) Investigación: En esta fase es necesario revisar la documentación técnica y legal, información

del campo de trabajo y toda clase de documentos relacionados con los factores predeterminados,

así como el primer contacto con la realidad. Se lleva a cabo la formulación de los objetivos,

estrategias, acciones a seguir o tiempos de ejecución, permite perfilar algunos problemas que

podrían surgir y brindar otra perspectiva.

2) Determinación del alcance: Definir el marco de actuación de la organización

3) Determinación de la estrategia de auditoría: la estrategia que mejor alcance el propósito de la

auditoría del sistema que se está auditando como por ejemplo qué tan bien un sistema se ajusta a
la política corporativa, una opción es que se use una línea base como estrategia. Si se está tratando

de determinar qué tan eficaz es el firewall1 corporativo.

4) Creación de una lista de chequeos y procedimientos de auditoría: crear las listas de chequeo que

se ajusten mejor al alcance y objetivos de la auditoría y, consecuentemente, determinar y generar

cuál será el procedimiento en base a la estrategia a utilizar.

En el Trabajo de Campo y Documentación, el propósito fundamental de esta etapa es recopilar las

pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, esta depende

grandemente del grado de profundidad con que se haya realizado la etapa anterior, en esta se

elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente

la opinión del auditor actuante, también cabe mencionar que el trabajo del auditor en el trabajo de

campo debe ser imparcial y tener un comportamiento profesional.

En la etapa de Descubrimientos de Hallazgos y validación, una vez que se realizaron las

actividades diseñadas en el programa de trabajo de auditoría, que se utilizaron los instrumentos de

recopilación de información y/o se utilizaron los instrumentos determinados para la auditoría,

entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de

desviaciones, en los cuales se anotan las situaciones encontradas, en este caso los hallazgos

encontrados que corresponden a hechos o circunstancias importantes que inciden en la gestión y

merecen ser comunicados en el informe. Cabe mencionar que para que un hallazgo sea válido, es

importante que tenga una base, una evidencia sustentadora, sino que también debe comprobarse,

puesto que cuando no se conocen las causas o razones y no hay documentación que sirva de

respaldo, no se va a considerar el descubrimiento de un hallazgo.

En la etapa de Desarrollo de Soluciones, se entregan las herramientas para que la empresa pueda

resolver las deficiencias encontradas siempre y cuando la empresa lo solicita.

La etapa de Comunicación de resultados, corresponde al informe que debe contener información

muy importante sobre el desarrollo de la auditoría, los resultados obtenidos y las recomendaciones

y sugerencias del auditor.

Es importante mencionar que el alcance de la auditoría va a depender del entorno en que se realiza

y los límites en que se realizará la auditoría informática, es decir “hasta donde se llega”, estas

limitaciones por ejemplo “que deja de auditarse”, principalmente en materias que pueden

suponerse incluidas.

En la etapa de Planeación por ejemplo se pueden auditar y realizar una revisión técnica,

especializada y exhaustiva a los sistemas computacionales, software e información utilizados en

el Instituto, sean individuales, compartidos y/o de redes, así como a sus instalaciones,

telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se

realizaría de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas

de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.

En el trabajo de campo y documentación se revisara el uso adecuado de los sistemas para el

correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna

de sus resultados en la institución incluyendo la evaluación en el cumplimiento de las funciones,

actividades y operaciones de funcionarios, empleados y usuarios involucrados como los servicios

que proporcionan los sistemas computacionales, a través de entrevistas, revisión de documentación

usada para los ingresos de estudiantes nuevos, las cancelaciones de estos como se ingresan al

sistema. También se revisará la seguridad lógica que se refiere a la seguridad de uso del software,

a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso

de los usuarios a la información.

En la etapa de Seguimiento, se debiese revisar si los hallazgos encontrados en la realización de

auditoría informática, fueron corregidos si no fueron bien evaluados por ejemplo en la seguridad

física de la protección del Hardware y de los soportes de datos, así como a la de los edificios e

instalaciones que los albergan. No Contemplaba las situaciones de incendios, sabotajes, robos,

catástrofes naturales, etc.

Santiago 03 de noviembre de 2019

Señor Gerente

Presente

Producto final a entregar

Las empresas tienen necesidades cada día más complejas y eso muchas veces implica poner a

personas que realmente saben algo a hacer cosas para las que no están capacitadas. Es ahí donde

empiezan a producirse problemas informáticos en la empresa. Problemas que se han ido

acumulando con el tiempo y de los que ni siquiera son conscientes.

En la auditoría informática se investigan todos y cada uno de los aspectos importantes relacionados

con los dispositivos informáticos de la empresa para que funcionen óptimamente: velocidad,

seguridad, escalabilidad, prevención, mantenimiento. Lo realmente importante es que haya una

política general de informática para conseguir los objetivos.

Esta auditoría informática nos permitirá detectar riesgos para la seguridad en su página web,

manejo incorrecto de los ordenadores de la institución, ausencia de medidas de seguridad

preventivas en el cuidado del software, falta de una política de contingencia ante problemas

informáticos como virus, etc. y escasa velocidad y falta de optimización en las redes informáticas.
De acuerdo a los resultados obtenidos de esta Auditoría, se entregarán las soluciones para mantener

un sistema informático optimo y sin riesgos en su seguridad y privacidad de la información.

El realizar una Auditoría Informática dentro de una Institución, mejora la imagen pública, optimiza

las relaciones internas y del clima de trabajo, genera un balance de los riesgos en TI, genera

confianza en los usuarios sobre la seguridad y control de los servicios de TI, disminuye los costos

de la mala calidad como, reclamos, entre otros.

Atte.

Marianela Huerta
 Bibliografía

- IACC (2019). Administración del proceso de auditoría informática. Auditoría de Sistemas.

Semana 6.