La auditoría informática se rige por estándares y mejores prácticas que regulan la forma en que esta actividad se lleva a cabo en el ámbito de los sistemas de información.

Normas Aplicables

Entre las principales normas aplicables destacan:

COBIT

Es un marco de referencia integral para la gobernanza y gestión empresarial de las tecnologías de la información. Proporciona un modelo con 5 principios y 7 enfoques facilitadores para ayudar a las empresas a maximizar el valor que obtienen de TI y minimizar los riesgos asociados.

Define un conjunto de procesos de TI agrupados en 4 dominios: Alinear, planificar y organizar; Construir, adquirir e implementar; Entregar, dar servicio y dar soporte; Monitorear, evaluar y valorar. Para cada proceso establece objetivos de control y métricas asociadas.

ISO 27001

Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) en el contexto de la organización. Incluye requisitos para la evaluación y tratamiento de riesgos de seguridad de la información adaptados a las necesidades de cada organización.

Se enfoca en la confidencialidad, integridad y disponibilidad de los activos informáticos a través de un enfoque de riesgos. Es aplicable tanto a información no digital como digital y promueve un enfoque proactivo para gestionar la seguridad.

Estándares del IIA

El Instituto de Auditores Internos (IIA) es una asociación profesional internacional que serve como voz global de la profesión de auditoría interna y emite las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (las Normas).

Entre las Normas existen lineamientos específicos sobre el desempeño de auditorías de sistemas de información, como planificación, supervisión, gestión de riesgos, entre otros. Complementan marcos como COBIT e ISO.

Procedimientos

En cuanto a procedimientos, la auditoría informática aplica una metodología sistemática:

• Planificación: Definición de alcance, recursos requeridos, cronograma de trabajo y análisis de riesgos.
• Revisión de controles: Evaluación y documentación de controles existentes en los sistemas de información.
• Pruebas y análisis: Ejecución de pruebas para obtener evidencia sobre el estado de los sistemas y validar controles.
• Informe: Documentación de hallazgos, debilidades detectadas y sugerencias o planes de remediación. La auditoría informática se rige por estándares y mejores prácticas que regulan la forma en que esta actividad se lleva a cabo en el ámbito de los sistemas de información.

Referencias:

Weber, R. (1999). Information systems control and audit. Prentice Hall PTR.

ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA.

 Por el sujeto que la efectúa

La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia:

• Auditoria Interna: Está a cargo de empleados de la propia empresa, encuadrados en un departamento directamente dependiente de la dirección general.
• Auditoria Externa: Está a cargo de auditores profesionales, ajenos a la empresa y totalmente independientes.

Por su  contenido y fines

• Auditoría de gestión: Afecta a la situación global de la empresa.
• Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la adecuada, según las necesidades y problemas de la misma.
• Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o función dentro de una organización, está cumpliendo los objetivos establecidos por la gerencia; así como identificar las condiciones que necesiten mejora.
• Auditoría financiera: Examen y verificación de los estados financieros de la empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.
• Auditoría contable: Analiza la adecuación de los criterios empleados para recogerlos hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.
• Auditoría informática: Examen y verificación del correcto funcionamiento y control del sistema informático de la empresa.

Por su amplitud

• Auditoría total: Afecta a todos los elementos de la empresa.
• Auditoría parcial: Se concentra en determinados elementos de la empresa.

Por su frecuencia

• Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.
• Auditoría ocasional: Se realiza de forma esporádica.

Beneficios de la auditoria

Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan información correcta y auténtica sobre la situación y actividades de la misma.

La auditoría informática se nutre de conocimientos, técnicas y especialistas provenientes de todas estas ramas, para obtener una visión integral sobre la situación de los sistemas de información de una organización. Es un campo interdisciplinario que desempeña un rol relevante en la era digital.

Referencia: 

Gallagher, P. (2011). Audit types: An overview of financial, operational, compliance, IT, forensic and ISO audits. In P. Gallagher, Internal Auditing: Assurance & Consulting Services, 2nd Edition (pp. 46-63). The Institute of Internal Auditors.

 Definición:

 La auditoría informática es el proceso de recopilar, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los objetivos de la organización de manera eficiente y utiliza efectivamente los recursos informáticos (Weber, 1999).

Clasificación:

Existen diversos tipos de auditorías informáticas según su propósito:

• Auditoría de sistemas: evalúa la eficiencia y seguridad de los sistemas de información de una organización. Analiza aspectos como la gestión de cambios, copias de seguridad o controles de acceso.
• Auditoría de aplicaciones: revisa el funcionamiento de aplicaciones críticas del negocio para identificar fallos, mejorar la usabilidad o el rendimiento.
• Auditoría de bases de datos: verifica la integridad, confidencialidad y disponibilidad de los datos almacenados.
• Auditoría de redes: examina la infraestructura de red y sus sistemas de protección como cortafuegos o sistemas de detección de intrusos.
• Auditoría web: evalúa la seguridad y correcto funcionamiento de aplicaciones web y servicios online.
• Auditoría forense informática: inspecciona sistemas y dispositivos en busca de evidencias después de un incidente de seguridad o un delito informático.

Las auditorías informáticas son una pieza clave para gestionar los riesgos tecnológicos a los que se enfrentan las organizaciones modernas y garantizar el buen uso de los sistemas de información. Mediante una evaluación metódica por parte de auditores cualificados, se pueden detectar debilidades y aplicar controles para mejorar la situación de seguridad global.

Referencia:

Weber, R. (1999). Information systems control and audit. Prentice Hall PTR.