Auditoría en Tecnologías de la

Información

Introducción a la Auditoría

La Auditoría de Tecnología deInformación es el proceso derecolectar y evaluar la evidenciapara determinar si los Sistemasde Información y los recursosrelacionados (base de datos,redes, aplicaciones, personal,infraestructura, presupuesto,etc) protegen adecuadamentelos activos, mantienen los datos yla integridad del Sistema deInformación, proveen informaciónrelevante y confiable. Además deasegurar que las Tecnología deInformación coadyuven a losobjetivos organizacionales y quelos eventos no deseados serándetectados oportunamente paraser evitados.

Definición de AuditoriaLa auditoría puede definirse como el examen comprensivo yconstructivo de la estructura organizativa de una empresa de unainstitución o departamento gubernamental; o de cualquier otraentidad y de sus métodos de control, medios de operación y empleoque dé a sus recursos humanos y materiales.

Concepto de auditoria en tecnologías de la información.:

Es la revisión técnica, especializada y exhaustiva que se realiza alos sistemas computacionales, software e información utilizados enuna empresa, sean individuales, compartidos o de redes, así comoa sus instalaciones, telecomunicaciones, mobiliario, equiposperiféricos, y demás componentes. El propósito fundamental esevaluar el uso adecuado de los sistemas para el correcto ingreso delos datos, el procesamiento adecuado y la emisión oportuna de susresultados en la organización.

TIPOS DE AUDITORIA Existen varias formas de clasificar las auditorias: del Sistemade Calidad, del Proceso, del Producto, que a su vez puedenser Internas o Externas y también pueden ser de adecuación ode cumplimiento.

Auditoría en Informática

Auditoría en Informática es la revisión y evaluación de loscontroles, sistemas, procedimientos de informática, de losequipos de cómputo, su utilización, eficiencia y seguridad, dela organización que participan en el procesamiento de lainformación, a fin de que por medio del señalamiento decursos alternativos se logre una utilización más eficiente y segurade la información que servirá para la adecuada toma de decisiones.

Auditorias del Sistema de Calidad

Las auditorias del Sistema de Calidad de una empresa sonuna actividad que se realiza para comprobar, mediante elexamen y la evaluación de evidencias objetivas, que elSistema de Calidad es adecuada y ha sido desarrollada,documentada y efectivamente implantada de acuerdo con losrequisitos especificados.

Auditoria de Calidad del proceso

La auditoria de Calidad del proceso consiste en el examensistemático e independiente de los elementos de un procesopara determinar si las actividades y los resultados relativos a laCalidad satisfacen a las disposiciones previamenteestablecidas y si estas disposiciones se llevan a caboefectivamente y son aptas para alcanzar los objetivos.

Auditoria de Calidad del ProductoLa auditoria de Calidad del producto consiste en la estimacióncuantitativa del cumplimiento de las características requeridas en elproducto.

Auditorias InternasEs importante para la empresa comprobar la efectividad de suSistema de Calidad, siendo la propia empresa quien investiga suspropios sistemas, procedimientos y actividades para cerciorarse queson adecuados y que se cumplen.Proporcionan información de si sus políticas están siendocumplidas, de si los sistemas son tan eficientes y efectivos comodeberían ser y si se precisa algún cambio. Pueden establecer unalínea de comunicación por toda la compañía y convertirla en ungran elemento motivador.

Auditoria externaEs la auditoria desarrollada por una empresa sobre sus propiossuministradores o subcontratistas, o que realiza un cliente sobreella.

Auditorias por Tercera Parte

Es la auditoria externa efectuada por un organismo independientede las partes, que verifica la efectividad del Sistema de Calidad y elcumplimiento de las normas internacionales de Calidad (ISO).

Tiene varias ventajas, ya que al estar hecha por alguienindependiente y con credibilidad, es probable quelos clientes decidan no efectuar otras auditorias, con elconsiguiente ahorro económico y de tiempo para ambas partes(cliente y suministrador).

Auditoria de Adecuación

Es también conocida como auditoria del Sistema o auditoria dedirección. Es una labor de despacho, que determina si el Sistemade Calidad documentado mediante el Manual de Calidad, susprocedimientos asociados, instrucciones de trabajo y registros,cumplen adecuadamente con los requisitos de una Norma, y siproporciona evidencias objetivas de que el sistema ha sidodiseñado para ello.

Auditoria de Cumplimiento

Es la auditoria por la cual se trata de determinar el nivel deimplantación del Sistema de Calidad.

El AuditorEs aquella persona que lleva a cabo unaauditoria, capacitadocon conocimientos necesarios para evaluarla eficacia de una empresa.

La actualización continua de susconocimientos permitirá al auditor adquirir lamadurez de juicio necesaria para el ejerciciode su función en forma prudente y justa

El auditor debe reunir, para elbuen desempeño de su profesióncaracterísticas como: sólida cultura general,conocimiento técnico, actualizaciónpermanente, capacidad para trabajar enequipomultidisciplinario, creatividad, independencia, mentalidad y visión integradora,objetividad, responsabilidad, entre otras.

Además de esto, este profesional debe teneruna formación integral y progresiva.

Requisitos para ser un auditor en

sistemas de información

• Completar con éxito el examen CISA

• Adquirir la experiencia en la Auditoría de lossistemas de información, control y/oseguridad Cumplir con la adhesión al Códigode Ética Profesional

• Cumplir con la adhesión al programa deformación profesional continua

• Cumplimiento de las Normas de Auditoría deSistemas de Información

Objetivos de la Auditoría en

sistemas de información

• El control de la función informática

• El análisis de la eficiencia de los Sistemas

Informáticos

• La verificación del cumplimiento de la

Normativa en este ámbito

• La revisión de la eficaz gestión de los

recursos informáticos

Herramientas para efectuar una

auditoría de sistemas

• Observación

• Realización de

cuestionarios

• Entrevistas a auditados

y no auditados

• Muestreo estadístico

• Flujo gramas

• Listas de chequeo

FORMACION DE UN AUDITORCONOCIMIENTOS

Es conveniente que posea una preparación acorde con los requerimientos que la auditoría exige, eso le permitirá interactuar de manera natural durante el desarrollo de la misma.

FORMACIÓN ACADÉMICA

Estudios a nivel técnico, Licenciatura o posgrado, siempre y cuando el auditor haya recibido una capacitación que le permita intervenir en las actividades propias de una auditoría.

FORMACIÓN COMPLEMENTARIAInstrucción en la materia obtenida a lo largo de su vida profesional, a través de conferencias, talleres, seminarios, estudios de idiomas, foros o cursos, etc.

FORMACIÓN EMPÍRICAConocimiento resultante de la implementación de auditorias en diferentes instituciones, con o sin contar con un grado académico.

EXPERIENCIA

Una de las características fundamentales que se deben considerar en

el auditor, es su experiencia personal, ya que de ello depende en gran

medida el cuidado y actividad profesional que empleará y la

profundización que emitirá sus observaciones.

HABILIDADES Y DESTREZAS

En forma complementaria a su formación profesional, teórica, práctica, o

ambas, se requiere otro tipo de cualidades determinantes en su trabajo.

Pueden variar de acuerdo con el modo de ser y el deber ser de cada caso;

sin embargo, es conveniente que quien se dé a la tarea de cumplir con el

papel de auditor, sea poseedor de las siguientes características:

← Actitud positiva← Estabilidad emocional← Objetividad← Sentido institucional← Saber escuchar← Creatividad← Respeto a las ideas de los demás← Mente analítica← Conciencia de los valores propios y de su entorno← Capacidad de negociación← Imaginación← Claridad de expresión verbal y escrita← Capacidad de observación← Iniciativa← Discreción← Paciente y amable bajo cualquier circunstancia← Siendo puntual← Siendo consciente de las relaciones interprofesionales y de los problemas potenciales que puede ocasionar← Dando buenos juicios, un sentido de la proporción y estando preparado para hacer algunas concesiones.← Facilidad para trabajar en equipo← Comportamiento ético

ETAPAS DE LA AUDITORIA

PREPARACIÓN DE LA AUDITORIA

• Propósito y alcance de la auditoria

• Revisión y evaluación de la

documentación(Revisar los registros de

auditorias anteriores cuando sea aplicable).

• Preparar el Plan de Auditoría.

• Asignar tareas al equipo auditor.

• Establecer la lista de chequeo con base en

los procedimientos que van a ser auditados.

Plan de Auditoria Debería incluir lo siguiente:

a) Los objetivos de la auditoría

b) Los criterios de auditoría y los documentos de referencia;

c) El alcance de la auditoría, incluyendo la identificación de las unidades de la organización y unidades funcionales y los procesos que van a auditarse;

d) Las fechas y lugares donde se van a realizar las actividades de la auditoría in situ.

e) La hora y la duración estimadas de las actividades de la auditoría in situ, incluyendo las reuniones con la dirección del auditado y las reuniones del equipo auditor;

f) Las funciones y responsabilidades de los miembros del equipo auditor y de los acompañantes;

g) La asignación de los recursos necesarios a las áreas críticas de la auditoría.

LISTA DE VERIFICACIÓNES

Es una ayuda valiosa para auditar, sirvecomo guía, y es la principal herramienta delauditor para realizar con éxito la auditoria. Seutiliza como:

• un documento de trabajo, y

• un registro.

El propósito de las listas es el de tener unaherramienta que facilite el asegurar que secumplan los objetivos y el alcance de laauditoria y que se concluya cada parte de lamisma.

LISTA DE VERIFICACION

Al elaborar la lista, se debe considerar:

• Los requisitos de la norma.

• Los procedimientos pertinentes.

• Los procesos que se llevan a cabo.

• Los documentos y registros que se utilizan.

• El Ciclo PHVA.

• Los Principios del SGC.

Tener en cuenta los aspectos relevantes, debilidades de carácter general del SGC y las observaciones por procesos.

REVISIÓN

• Una revisión y conclusión de las listas de verificación

• Un estudio de las notas y/o comparación de las mismas con los miembros del equipo.

• El listado de no cumplimientos.

PREGUNTAS Y REVISIÓN DE LA LISTA

DE VERIFICACION

• Revisión y conclusión de las listas de

verificación

• Un estudio de las notas y/o comparación

de las mismas con los miembros del

equipo.

• El listado de no cumplimientos.

Planeación de una Auditoria

• La Norma ISO 9001 establece que la auditoriainterna debe ser realizada de acuerdo con unprocedimiento documentado.

• De este modo, es mejor diseñar el sistema deauditorias internas con base en aquellasprácticas que se han demostrado son eficacespara realizar auditorias externas.

PLANEACION

Al planificar una auditoria de cualquier tipo, se deben determinar los siguientes aspectos:

• Frecuencia/tiempo

• Responsabilidad

• Criterios

• Alcance

• Duración

PLANEACIÓN DE LAS AUDITORIAS INTERNAS

Para determinar los aspectos antes mencionados se deben tener en cuenta:

• Ejecuciones anteriores

• Estado crítico o complejidad

• Cambios al SGC

• Auditores competentes

• Otros recursos disponibles

PROGRAMA DE AUDITORÍA

• Un programa de auditoría puede incluir una o másauditorías, dependiendo del tamaño, la naturaleza y lacomplejidad de la organización que va a ser auditada.Estas auditorías pueden tener diversos objetivos ypueden incluir auditorías combinadas o conjuntas.

• Un programa de auditoría también incluye todas lasactividades necesarias para planificar y organizar eltipo y número de auditorías, y para proporcionar losrecursos para llevarlas a cabo de forma eficaz yeficiente dentro de los plazos establecidos.

• Una organización puede establecer más de unprograma de auditoría.

PROCESO PARA LA GESTIÓN DE UN PROGRAMA DE AUDITORÍA

• AUTORIDAD PARA EL PROGRAMA

• ESTABLECIMIENTO DEL PROGRAMA

Objetivos, Alcance, Criterios, Duración, etc.

• IMPLEMENTACIÓN:

Actividades de Auditoría

Competencia y evaluación de los auditores

• SEGUIMIENTO Y MEDICIÓN

• MEJORA DEL PROGRAMA DE AUDITORÍA

• En la mayoría de las organizaciones, es mejor realizarauditorias internas sobre procesos en losdepartamentos, a intervalos fijados a lo largo del año.

• El programa de auditorias debe planificarse y darse aconocer con anticipación, no se recomiendanauditorias sorpresivas.

• La frecuencia para realizar las auditorias debe serdecidida basándose en el estado de desarrollo eimplementación del sistema de calidad. Si lasauditorias descubren muchas deficiencias, entonces lafrecuencia de las auditorias se deberá incrementar.

• Una vez el sistema de calidad se muestra efectivo, lasauditorias internas pueden ser espaciadas a intervalosanuales.

Auditoría in Situ

Auditoria in situ Basada en la verificación “in situ”es decir, en el lugar donde se desarrolla laactividad docente. En el momento en que se estádesarrollando, o a posteriori . Realizada porauditores debidamente formados y cualificados.

• Presencial : requiere la presencia de auditores enel lugar de realización de la actividad.

• Selectiva: incluye solo una parte de lasactividades acreditadas

Auditoría in Situ

• La auditoría in situ comienza con una reunión de apertura en la queestá presente la dirección de la organización y es presidida por elauditor jefe. En esta reunión se procederá al cierre de las NoConformidades de la revisión de la documentación, si existiesen,después de estudiar los cambios realizados a la documentaciónindicada en las acciones correctoras propuestas. Se confirmará elprograma de auditoría y el equipo auditor admitirá, siempre que seaposible, las modificaciones propuestas por el cliente relativas a laindisponibilidad de personal o de las instalaciones.

• Durante la auditoría, los auditores observarán y consultarán alpersonal de la organización para confirmar el nivel de comprensióny cumplimiento de los procedimientos. Se examinarán lasevidencias objetivas de los documentos y registros para comprobarel cumplimiento, tanto de las políticas y procedimientos como de lanorma aplicable del Sistema de Gestión Ética y SocialmenteResponsable.

• La conformidad o no conformidad con losprocedimientos del cliente y con la normaaplicable será registrada por los auditores asícomo las observaciones que se pudieran detectar(errores insignificantes, aislados o potenciales).

• Las no conformidades encontradas secomunicarán al representante de la organizaciónen el momento, para evitar posteriores imprevistosen caso de abrirse Solicitudes de AccionesCorrectoras. La organización dispondrá, una vezfinalizada la auditoría, de un plazo de tiempodeterminado para solucionar las no conformidadesdetectadas.

DEFINICIONES GENERALES PLAN DE AUDITORIA INFORME FINAL