¿Qué es auditar?Consiste en estudiar los mecanismos de control que están implantados en una empresa, determinando si los mismos son adecuados y cumplen con los objetivos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoria informática son:
- El control de la función informática
- El análisis de la eficiencia de los sistemas informáticos
- El cumplimento de la normatividad en este ámbito
- La revisión de la eficaz gestión de los recursos informáticos
La auditoria informática sirve para mejorar:
- Desempeño
- Fiabilidad
- Eficacia
- Rentabilidad
- Seguridad
- Privacidad
Generalmente se desarrolla en las siguientes áreas o en combinación de algunas de ellas:
- Dirección corporativa
- Administración del ciclo de vida de los sistemas
- Servicios de entrega y soporte
- Protección y seguridad
- Planes de continuidad y recuperación de desastres
Actualmente la certificación de ISACA para ser CISA (Certified Information Systems Auditor) es una reconocidas y avaladas por los estándares internacionales.
Tipos de auditoria de sistemas
- Auditoria de la gestión: la contratación de bienes y servicios, documentación de programas.
- Auditoria legal del reglamento de protección de datos: cumplimiento legal de las medidas de seguridad exigidas por la ley.
- Auditoria de los datos: clasificación de los datos, estudios de las aplicaciones y análisis de los flujogramas.
- Auditoria de bases de datos: controles de acceso, de actualización, de integridad y calidad de los datos.
- Auditoria de la seguridad: referidos a los datos e información verificando disponibilidad, integridad, confidencialidad y autenticación.
- Auditoria de seguridad física: feriado a la ubicación de la organización, evitando ubicaciones de riesgo y protecciones del entorno.
- Auditoria de seguridad lógica: comprende los métodos de autenticación de sistemas de información.
- Auditoria de las comunicaciones: se refiere a los procesos de autenticación de los sistemas de comunicación.
- Auditoria de seguridad en producción: frente a errores, accidentes y fraudes.
Principales pruebas y herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:- Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
- Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.
- Observación
- Realización de cuestionarios
- Entrevistas a auditados y no auditados
- Muestreo estadístico
- Flujogramas
- Listas de chequeo
- Mapas conceptuales