Una auditoría de sistemas puede definirse como cualquier inspección que abarque la revisión y evaluación de sistemas de información, y sus recursos relacionados, con el fin de determinar si se cuenta controles internos que provean una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados, al mismo tiempo que los riesgos serán evitados, detectados y/o corregidos de forma oportuna.
La planificación de la auditoría de TI implica dos pasos principales
El primer paso de la auditoría de TI es realizar un entendimiento del negocio y del entorno general bajo revisión, recopilando información; el segundo consiste en realizar o reutilizar los análisis de riesgos existentes en la organización para cerciorarse de que se mantenga el rumbo hacia los objetivos.
Cada vez son más las organizaciones que se están moviendo hacia un enfoque de auditoría basado en riesgos, lo cual ayuda a un(a) auditor(a) de sistemas informáticos a planificar y priorizar la revisión sobre las áreas o temas que representan mayor riesgo para la organización. En un enfoque basado en el riesgo, los auditores y auditoras de sistemas informáticos se basan en los controles internos y operativos, así como en el conocimiento de la empresa o el negocio. Este tipo de enfoque ayuda a identificar los controles clave a ser evaluados y, por ende, determinar las pruebas de cumplimiento y sustantivas a ser ejecutadas.
Al realizar el entendimiento del negocio, el equipo de auditoría de TI debería al menos, identificar los siguientes elementos:
- Misión, objetivos y principales procesos del negocio.
- Cambios en el entorno de negocio y la industria.
- Resultados de las auditorías anteriores.
- Leyes y regulaciones aplicables.
- Marco de control interno (políticas, procedimientos, estructuras).
- Evaluaciones de riesgos inherentes.
- Tipo de sistemas de información y tecnología que soportan los procesos de negocio.
Objetivos de una auditoría de sistemas informáticos
Muy a menudo, los objetivos de una auditoría de sistemas informáticos se concentran en corroborar que los controles internos existen y funcionen como se espera para minimizar el riesgo.
Los objetivos de auditoría de sistemas también incluyen asegurar el cumplimiento de los requisitos regulatorios y de normativa interna, así como la confidencialidad, integridad y disponibilidad de la información.
Estrategias de la auditoría de sistemas
Al desarrollar una estrategia de auditoría de sistemas se debe considerar el tipo de pruebas a realizar (pruebas de cumplimiento o sustantivas) y las técnicas de recopilación de evidencia a utilizar durante el proceso de auditoría.
¿Cuál es la diferencia entre pruebas de cumplimiento y pruebas sustantivas?
Las pruebas de cumplimiento determinan si los controles están siendo aplicados conforme a las políticas y los procedimientos de la organización. Por otro lado, las pruebas sustantivas consisten en la recopilación de evidencia para evaluar la integridad de las transacciones, datos individuales y otra información. te puede servir esta información para conocer más detalles da clic aquí.
Las pruebas de cumplimiento se pueden ejemplificar cuando una organización tiene un procedimiento de control que establece que todos los cambios de la aplicación deben pasar por la autorización de un control de cambios. Como auditor (a) de sistemas informáticos, se puede tomar el control de versiones del aplicativo en ejecución y luego verificar que la documentación de control de cambios relacionada cuenta con las autorizaciones correspondientes.
Para pruebas sustantivas, un(a) auditor(a) de sistemas informáticos haría un inventario físico y lo compararía con el inventario registrado y reportado por el área de TI, con el objetivo de validar la integridad que la información registrada, es decir revisa que los datos de los activos registrados estén completos y libres de errores. Cuando se trata de obtener evidencia que permita auditar y presentar un informe, se considera:
- Revisar la documentación disponible (políticas, procedimientos, estándares y estructuras).
- Entrevistar al personal apropiado.
- Observar los procesos y el desempeño de los empleados, mediante recorridos.
- Realizar pruebas técnicas a los controles y sus resultados
En el proceso de recopilación de evidencias, la observación y documentación de lo que hace realmente un individuo frente a lo que se supone que debe hacer puede proporcionar pruebas valiosas al equipo auditor. Además, realizar una inspección física o virtual puede brindar información importante sobre cómo se realiza una función en particular e inclusive observar el grado de concientización del personal en materia de seguridad de la información.
Después de reunir toda la evidencia, el auditor o auditora de sistemas informáticos la revisará para determinar si las operaciones auditadas están bien controladas y son efectivas. En este punto es donde el equipo auditor aporta su visión objetiva y experiencia para identificar oportunidades de mejora. Por ejemplo, se puede encontrar una debilidad en un área que se compense con un control muy fuerte en otra área adyacente. Es su responsabilidad como auditor de sistemas informáticos informar ambas situaciones en el informe de auditoría.
A medida que la tecnología se integra cada vez más en la estructura de la gestión y las operaciones comerciales, se hace necesario evaluar el uso de esta y las posibles amenazas relacionadas. También abundan las oportunidades para reducir costos y obtener una mayor eficiencia mediante la auditoría de los procesos y sistemas de TI.
¿Por qué es importante considerar auditorías periódicas?
Dado que el área de TI juega un papel fundamental para las organizaciones, la realización de auditorías periódicas se ha vuelto necesario como parte de las acciones de seguridad informática.
Como ya se revisó, las auditorías de TI evalúan los sistemas de información de una entidad y las medidas de protección con las que se cuentan para crear una estructura sólida de seguridad. Estas auditorías periódicas buscan revisar la variedad de recursos, como el uso de software, servicios web, sistemas operativos, sistemas de seguridad, redes y los aplicativos con los que se cuenten.
La principal motivación de las auditorías de TI es lograr la identificación y la evaluación de los riesgos en una empresa. Por lo general, se busca encontrar los riesgos relacionados con la integridad, la confidencialidad, la disponibilidad de la infraestructura y la seguridad informática.
Una vez evaluados los riesgos, el equipo de TI tendrá una visión clara sobre qué curso de acción deben tomar para eliminar, reducir o prepararse ante esos riesgos como parte del entorno de trabajo mediante el uso de controles. Gracias a la auditoría de sistemas y la aplicación de controles internos, una organización puede decidir cómo distribuir sus recursos de una forma más eficiente y saber cuáles de sus procesos son más rentables.