En términos universales. Una auditoria representa los estados financieros de una organización con el propósito de generar una opinión profesional para observar su situación financiera, resultados operacionales, variaciones en el capital contable y sus cambios de la empresa.
La Auditoria representa un examen financiero de una entidad, para emitir la opinión sobre las cifras que se observen.
Hoy en día existen diferentes estilos de auditoria, gestionando registros, sistemas, operaciones o procedimientos con fines específicos.
En este #vLog analizaremos los siguientes elementos:
Conceptos de auditoria en informática.
Clasificación de auditorias.
Importancia de la auditoria en informática.
Antecedentes de la auditoria en informática.
Áreas a auditar en informática.
CONCEPTOS DE AUDITORÍA EN INFORMÁTICA.
El principal concepto de la Auditoria en Informática es revisar los recursos informáticos con que cuenta una organización para realizar un informe o dictamen sobre la situación en que se desarrollan y utilizan los recursos.
Podemos encontrar los siguientes objetivos de una Auditoria Informática.
El análisis de la eficiencia de los Sistemas Informáticos.
La verificación del cumplimiento de la Normativa en este ámbito.
La revisión de la eficaz gestión de los recursos informáticos.
CLASIFICACIÓN DE LA AUDITORIA.
Las auditorias informáticas pueden ser de forma interna o externa.
Tocando el tema de la Auditoria Interna. Es desarrollada de forma personal que podrían o no depender del área revisando aspectos principalmente administrativos mediante revisiones programadas en aspectos operativos y de registro de la empresa. Esto genera un informe para su revisión.
La Auditoria Externa, conocida también como auditoria independiente, es desarrollada por auditores externos que son contratados por la organización generando un juicio completamente imparcial. El objetivo es la emisión de un dictamen.
Podemos encontrar otros tipos de auditorias:
Auditoria operacional. Es la revisión de las operaciones de una empresa y se juzga la eficiencia de la operación misma.
Auditoria administrativa. Organización y eficiencia de la estructura personal con la que cuenta la empresa, además de los procesos administrativos en que actúa dicho personal.
Auditoria social. Revisión del entorno social en que se ubica y desarrolla una empresa, con la finalidad de valorar los aspectos externos e internos que infieren en la productividad de la misma.
Los beneficios que podemos encontrar en una Auditoria Informática principalmente son las siguientes:
Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
La auditoria informática sirve para mejorar ciertas características en la empresa y generalmente se puede desarrollar en combinación con distintas áreas.
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
IMPORTANCIA DE LA AUDITORIA DE INFORMÁTICA.
Todas las empresas se preocupan en la optimización de recursos con los que cuenta. En relación a las Tecnologías de Información, tales como, hardware, software, investigación de tecnologías, redes, bases de datos, ingeniería de software, telecomunicaciones, etc. se convierte en una herramienta estratégica que representa rentabilidad y ventajas competitivas frente a sus similares en el mercado. En el ámbito de los Sistemas de Información y tecnología, un gran porcentaje de las empresas tiene problemas en el manejo y control, tanto de los datos como de los elemento que almacena, procesa y distribuye.
El objetivo principal de la auditoria en informática es verificar los recursos informáticos, de energía, dinero, equipo, personal, programas de cómputo y materiales son adecuadamente coordinados y vigilados por la gerencia o a quienes sean designados.
ANTECEDENTES DE LA AUDITORIA EN INFORMÁTICA.
"Si bien la auditoria se ha llevado a cabo desde que el hombre hizo su aparición, fue llevado de manera empírica, sirvió de gran ayuda para los pueblos conquistadores, dando fe de los tributos obtenidos. En México, los oidores de la corona española, se convirtieron en auditores que vigilaban el pago de quinto real a los reyes españoles".
Con relación a la auditoria informática los antecedentes más cercanos son de Estados Unidos. En los años cuarenta comenzaron a observarse los primeros resultados en la rama de la computación, mediante sistemas de apoyo militar, pero todo esto se basaba únicamente en custodiar de manera física por personal calificado.
Con el paso de tiempo la informática y tecnología han creado nuevas necesidades en todos los sectores de la sociedad volviendo indispensable la mejora de los procesos industriales principalmente.
ÁREAS QUE SE AUDITAN EN INFORMÁTICA.
Las auditorias en informática pueden realizarse en las siguientes áreas:
A toda la entidad.
A un departamento.
A un área.
A una tarea.
A una subtarea.
Las auditorías que se pueden aplicar son:
Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Federal de Protección de Datos Personales.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
Auditoría de las comunicaciones: Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.