El término auditoría puede ser definido como la aplicación de herramientas y métodos de forma sistemática para verificar cierta información financiera. En informática se usa el proceso de auditoría de sistemas de información.

Qué es la auditoría de Sistemas de información (SI)

La auditoría SI, surge de la necesidad de evaluar los sistemas automáticos de procesamiento de información. 

Consiste en obtener información sobre los equipos, la seguridad de los SI desde sus entradas, procedimientos, archivos y el funcionamiento correcto de los controles y las interfaces con el fin de garantizar que la información procesada y almacenada es confiable.

Actualmente las auditorías de sistemas de información se asocian con pruebas de control y seguridad de la información.

¿Quién puede ser un buen auditor de tecnologías de información (TI)?

Aunque no existe un requisito básico es importante que un buen auditor, además de gustarle la informática, debe conocer muy bien los sistemas informáticos y comprender que es un trabajo muy técnico, ya que en ocasiones tendrá que auditar sistemas de información críticos.

Es posible también que trabaje con los diferentes tipos de auditoría. Sin embargo, la mayor parte de su trabajo consistirá en evaluar el control de los sistemas, revisar bases de datos, la seguridad de la información y analizar los datos.

¿Cómo obtener una certificación como auditor de sistemas?

La Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés) ofrece una certificación de auditoría de sistemas informáticos. Una vez finalizada debe presentar la prueba CISA. La auditoría TI es uno de los trabajos del futuro.

Conceptos Básicos

El alcance de una auditoría SI

En general una auditoría de sistemas de información incluye los cálculos del computador y todo el ciclo de vida de la tecnología que está bajo investigación. Quien esté interesado en llevar a cabo una auditoría puede ser el dueño de unos activos, una agente regulador, los administradores del sistema o cualquiera otro que esté interesado en la operación del entorno del sistema.

Los objetivos de la auditoría también pueden ser distintos. Por ejemplo, puede buscar evaluar la integridad operativa o confirmar que los datos privados de clientes de un banco no estén expuestos a personas no autorizadas. En realidad, el alcance va a depender del objetivo que persiga la auditoría.

Lo importante es que el alcance de la auditoría debe estar definido desde el inicio, así como también, las personas, los recursos, los procesos y la tecnología necesaria para cumplir el objetivo propuesto. Si alguno de estos falla, es muy probable que se generen errores en el proceso, en consecuencia se pierden recursos y tiempo.

Cuando el alcance se define, las organizaciones hacen un enlace entre el auditor y el representante de seguridad de la información. Éste último es el encargado de detallar la información que necesita el auditor sobre los sistemas, los manuales de los sistemas, los diagramas de arquitectura, las políticas y otros documentos que suelen solicitar los auditores antes de la evaluación.

Prácticas de gestión y entorno de control

La recopilación previa de los datos y documentos le permite al auditor verificar que el alcance establecido es correcto. Asimismo establece las prácticas de gestión o los objetivos de control como base de las pruebas en su auditoría.

Las prácticas de gestión sirven como indicadores para determinar que el alcance fue logrado con éxito. A cada práctica de gestión se le asocia un conjunto de actividades, éstas son la evidencia de que se cumple con el objetivo de control propuesto. El auditor debe probar las actividades para saber si arrojan evidencia confiable. Las prácticas de gestión junto con los planes de prueba se conocen como programa de auditoría.

Para llevar a cabo el programa de auditoría, el auditor debe contactar al representante de seguridad de la empresa para solicitar que programe la reunión de apertura. Lo ideal es que el representante reciba al auditor y le facilite la comunicación con el personal TI de la empresa en caso de que se requieran sus servicios durante las pruebas de auditoría.

Trabajo de campo, hallazgos y controles compensatorios

En una auditoria el proceso en el que se identifican a las personas, los procesos y la tecnología dentro de un entorno de sistemas se conoce como trabajo de campo. La comunicación entre el auditor y el experto del área en evaluación debe ser expedita.

El término control compensatorio se usa cuando la práctica de gestión se cumple aunque la actividad de control que se esperaba no existe, ya que la actividad recién encontrada compensa la falta de la esperada. Esto suele usarse cuando los representantes de seguridad no informan adecuadamente al auditor, ya sea por desconocimiento o inexperiencia.

Si el auditor no encuentra la evidencia de una de las prácticas de gestión, se trata de un hallazgo. En auditoría un hallazgo tiene las siguientes partes:

• Condición: es la descripción objetiva de la evidencia
• Criterios: se menciona el estándar que da indicios de por qué la condición afecta la capacidad de gestión para lograr la práctica de gestión
• Causa: lo que originó la debilidad dentro de la práctica
• Efecto: indica el riesgo que la condición presenta a la organización auditada con respecto a lo comercial
• Recomendación (opcional)

El auditor tendrá una lista de hallazgos mientras realice el trabajo de campo. Por ello es fundamental el contacto permanente del representante de la empresa con el auditor, para preguntarle por los hallazgos. La función del contacto es buscar evidencias que proporcionen seguridad de que el objetivo de control se está cumpliendo y así se elimine el o los hallazgos.

El informe de evaluación

Cualquier auditoría siempre culmina con un informe de evaluación. En él se plasman las observaciones y la opinión del auditor. La estructura es la siguiente: en primer lugar se presenta el objetivo, después se describe brevemente la metodología, luego una declaración del auditor y finalmente presenta recomendaciones para reducir el impacto de los hallazgos.