Auditoría de Sistemas: Conceptos y contenidos

La auditoría de los Sistemas de Información debe entenderse como una herramienta más que ayudará a las organizaciones a supervisar su sistema de control, a gestionar sus riesgos; su objetivo es contribuir a establecer un clima de confianza en el uso de las tecnologías de la información y de las comunicaciones y a reforzar la gestión de su seguridad y calidad.

El rol básico de la Auditoría de Sistemas de Información en una organización es la supervisión de los controles implementados y determinar la eficiencia de los mismos.

El auditor aplica directamente técnicas de auditoría específicas a la verificación del cumplimiento de objetivos de los servicios informáticos, con objeto de determinar la eficacia y eficiencia de su funcionamiento. Se usan medio informatizados para los procedimientos de auditoría (CAAT, Computer-Assisted Audit Techniques).

Los controles pueden clasificarse según diferentes criterios:

A) Por el momento en que se realizan

- preventivos (a priori)
- reactivos (a posteriori)
- concurrente o concomitante (establecido durante la realización del proceso que se observa y mide)

B) Por su frecuencia: continuo, periódico o esporádico.

C) Por su naturaleza:

- generales (organizativos y operativos, de desarrollo y mantenimiento de aplicaciones, de hardware, de software, de acceso, de procedimiento)
- de aplicación (controles de entrada, de proceso, de salida)

D) Otras:

- de desarrollo (comprueba si el resultado obtenido cumple las especificaciones inciales)
- de proceso (asegura que la explotación se realiza con las versiones adecuadas de los programas y los datos)
- de continuación (determina que se evita la pérdida o corrupción de información, efectuando las salvaguardas y recuperaciones necesarias)

—-

- detectivos (intentos de acceso, análisis de logs)
- correctivos (facilitar la vuelta a la normalidad)

Asimismo, es necesario implementar controles automáticos incorporados en los propios procesos de los sistemas de información. Éstos actuarán como alarma.

Un proceso de auditoría consiste en la realización de un examen metódico de la situación de una organización en cooperación con los interesados con el fin de verificar la concordancia de la realidad con lo preestablecido y la adecuación de los resultados obtenidos cpor la organización a los objetivos perseguidos por la misma.

Los objetivos de control y auditoría están directamente relacionados: los audiotres supervisan el sistema de control interno de la organización, detectando las debilidades que presenten los controles establecidos y recomendando actuaciones necesarias para reforzarlos; durante el desarrollo de la auditoría los auditores suelen reproducir los controles ordinarios establecidos por la organización para determinar su efectividad además de realizar actividades de control adicionales.

A continuación vamos a hacer una relación de las clases de auditoría existentes en función de las clasificaciones más utilizadas:
· Según el sujeto que la realiza: interna (realizada por el personal de la propia entidad) o externa (la realizan profesionales ajenos a la entidad)
· Según su amplitud: total (afecta a toda la organización), parcial (se refiere sólo a determinados departamentos o actividades)
· Según su contenido y fines:

  1. Auditorías de regularidad (orientadas a verificar el cumplimiento de la normativa aplicable)
  2. Auditorías financieras o contables (emiten un juicio sobre el estado financiero de la entidad)
  3. Auditorías operativas o de gestión (evalúan la eficacia en la consecución de objetvios y la eficiencia en los recursos empleados para alcanzarlos).
  4. Auditorías forenses (especializadas en descubrir fraudes y delitos, en obtener evidencias válidads para su uso por las autoridades competentes, policiales o judiciales.
  5. Auditorías de los sistemas de información: realizan el examen y verificación del correcto funcionamiento y control del sistema informático de la organización.
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License