AUDITORIA DE SITEMAS

Qué es una auditoría?

Una auditoría es un proceso de verificación y/o validación del
cumplimiento de una actividad según lo planeado y las directrices
estipuladas
Según la ISO (Organización Internacional de Normalización) es un
proceso sistemático independiente y documentado que permite
obtener evidencia de auditoría y realizar una evaluación objetiva
para determinar en qué medida son alcanzados los criterios de
auditoría (conjunto de políticas, procedimientos o requisitos a
revisar).
La finalidad de una auditoría es diagnosticar; identificar qué
actividades se desarrollan según lo esperado, cuales no y aquellas
que son susceptibles de mejora. Realizar una auditoría empresarial
es el equivalente a realizar un examen médico a una persona, donde
a partir de una evidencia o "examen" se pueden detectar fallas,
promover mejoras y reunir información objetiva del estado de la
organización para tomar decisiones.
El concepto de auditoria es más amplio; no solo detecta errores;
es un examen crítico que se realiza con objeto de evaluar la
eficiencia y eficacia de una sección o de un organismo y
determinar cursos alternativos de acción para mejorar la
organización, y lograr los objetivos propuestos.
Características de las auditorías
El ejercicio de auditar siempre se debe identificar por ser:
Objetiva, esto significa que debe estar basada en hechos reales,
sustentables y con evidencia, actuando en su desarrollo con una
actitud mental independiente e imparcial.
Sistemática, ya que se desarrolla bajo una serie de pasos y
etapas, que se deben ejecutar en un orden lógico para lograr el
objetivo final.
Profesional y la transparente porque será un proceso desarrollado
por un auditor, una persona, el cual debe tener la capacidad de
informar lo que se halle en la auditoría sin ningún juicio de
valor e independencia.
LA IMPORTANCIA DE LA AUDITORÍA
Este proceso en las empresas juega un papel muy importante y no
debemos olvidar que los objetivos de las auditorias siempre deben
estar alineadas con los objetivos de la alta dirección. A
continuación te enumeramos 4 razones del porqué son importantes
las auditorías:
 Te ayudarán a tener una excelente calidad en los procesos
que manejes ya sean internos o externos.
 Es muy importante para los directivos de las empresas tener
información verídica, fiable, para que puedan analizar los
pasos a seguir, ya que la información que nos arroja una
auditoría es la base para tomar decisiones que nos permitan
tener mayor éxito y crecimiento.
 Una auditoría hace responsable a los equipos de las empresas
en ordenar y mejorar sus procesos y controles internos,
generando eficiencias operativas y mejores prácticas en la
ejecución de sus operaciones.
 Permiten también estudiar si se están cumpliendo o no las
normativas legales.
TIPOS DE AUDITORÍA
Auditoria Interna
La auditoria interna se realiza por un profesional o, al menos,
por alguien que trabaja siempre al lado de la junta o presidencia.
Su principal función es verificar si los procesos contables y de
control interno son efectivos, para que se tenga coherencia entre
los procedimientos internos y las políticas definidas por la
empresa.
Auditoria Contable
La auditoría contable se preocupa con el patrimonio de la empresa.
Se trata de un análisis cuidadoso para evaluar si el patrimonio
de la organización se gestiona de acuerdo con las pautas
establecidas por la empresa y si siguen en conformidad con los
principios de la contabilidad. Su objetivo es reducir los índices
de mala conducta corporativa.
Auditoria Operacional
Aquí el objetivo es evaluar el funcionamiento de la empresa en el
día a día, proporcionando un diagnóstico operacional y proponiendo
soluciones que promueven más eficiencia y ahorro. El principal
objeto de evaluación es la relación entre los procesos internos
de la empresa y el uso de recursos.
Auditoria de Sistemas
Actualmente, gran parte del crecimiento, prosperidad y éxito de
grandes empresas se debe a la adopción de softwares de gestión.
Atenta a la nueva realidad, la auditoria no puede dejar de evaluar
la eficiencia y el rendimiento de las soluciones tecnológicas
adoptadas por la empresa.
Poner soluciones de contabilidad comercial y fiscal, por ejemplo,
disminuye la posibilidad de inconsistencias fiscales.
Auditoria de Calidad
La auditoría de calidad evalúa si los productos o servicios
prestados por la empresa siguen las pautas establecidas por la
propia compañía. Además, comprueban si cumplen con normas
externas, como las editadas por las autoridades públicas
responsables por la vigilancia sanitaria o, todavía, normas de
estandarización internacional, como es con la ISO 9.000.
Auditoría Ambiental
Este tipo de auditoria se preocupa con el impacto de las
actividades de la empresa en el medio ambiente. Elegir proveedores
que contaminan menos o que no hacen prueba de laboratorio en
animales son ejemplos de soluciones en auditoria ambiental.
Auditoria Externa
La auditoría externa generalmente se basa en auditorias
independientes, sin relación laboral con la empresa auditada. Así
como en la auditoria interna, su función también es evaluar los
sistemas internos de la empresa. Por eso, el auditor externo debe
trabajar junto al interno.
Los tipos de auditoria usados por la auditoria externa no son
diferentes de los de la auditoria interna. Así, la auditoria
externa también se basa en las auditorias contable, fiscal,
operacional, ambiental, etc. Lo que cambia sus enfoques.
La auditoría externa también funciona como una consultoría y,
así, su enfoque es evaluar la confiabilidad de los registros
contables.
Sólo por medio de las auditorias uno podrá saber si existe
distancia entre teoría y práctica. Además, entiende lo que debe
hacerse para que se empleen de forma eficiente los recursos,
alcanzando las metas.
LA AUDITORIA DE SISTEMAS
La auditoría de sistemas o auditoría informática es un proceso de
revisión de los sistemas de información (SI) y tecnologías de la
información (TI) que ayuda a las empresas a identificar hallazgos,
mitigar riesgos e implementar controles adecuados que permitan
proteger su información crítica y valiosa.
Beneficios de la Auditoría de Sistemas
Para poder enfrentar los desafíos del mundo actual, es necesario
reducir o mitigar los riesgos tecnológicos de manera tal que, no
pongan en peligro la información crítica y valiosa de la
organización.
A partir de allí, nace la importancia de la auditoría de sistemas
o auditoría informática, ya que nos ayuda a cumplir con dicho
propósito.
Entorno de control
La auditoría permite realizar un análisis del entorno de control
de TI, e identificar los riesgos más relevantes.
Los controles de TI pueden tener deficiencias en su diseño o no
existir y, en consecuencia, podrían afectar la confidencialidad,
integridad y disponibilidad de la información crítica de la
organización.
Servicios u operaciones de TI
Llevar a cabo una auditoría de sistemas proporciona a las empresas
diversos beneficios. Por ejemplo, les permite contar con una
infraestructura estable de TI.
Actualmente, existe la tendencia de brindar servicios de TI, tanto
internos como externos, 24x7x365 (24 horas al día, los 7 días de
la semana y los 365 días del año).
En consecuencia, la infraestructura que soporta dichos servicios
debe brindar la disponibilidad requerida.
La empresa debe contar con controles robustos tales como copias
de seguridad, planes de recuperación de desastres, gestión de
incidentes, entre otros.
Controles de acceso
La auditoría ayuda a las organizaciones a identificar fallas o
deficiencias en los controles de acceso (lógicos o físicos), en
sus sistemas; de tal forma que se puedan minimizar los riesgos de
Acceso no autorizado, en cuanto a visualización, robo o
manipulación de información crítica perteneciente a la empresa.
Gestión de cambios
Cuando las empresas requieren realizar actualizaciones en sus
aplicaciones, sistemas operativos, bases de datos, entre otros;
la auditoría puede ayudar a identificar problemas relacionados a
la gestión de cambios.
Por desconocimiento, muchas empresas no realizan un control
adecuado y no mantienen un entorno seguro que permita llevar a
cabo actualizaciones o cambios en sus sistemas con un riesgo
mínimo.
Cumplimiento regulatorio
La importancia de la auditoría de sistemas queda demostrada
también dado que nos ayuda a cumplir con las regulaciones
gubernamentales como por ejemplo, la Ley de Protección de Datos
Personales (no existe Ley en Bolivia, solo normas “Artículo 18°.-
(Derecho a la intimidad)”).
En el caso de las empresas del sector financiero, existen
regulaciones emitidas por la Superintendencia de Banca y Seguros
(SBS), como la Circular N° G-140-2009, para la gestión de la
seguridad de la información.

EL PROCESO DE AUDITORÍA DE SISTEMAS

El enfoque actual de auditoría está basado en riesgos. De manera
general, abarca tres etapas: planificación, ejecución,
comunicación de resultados, y control.
Planificación
Lo primero consiste en elaborar un plan de auditoría, en donde se
defina la naturaleza, el alcance, los objetivos, el período de
revisión, la estrategia y los recursos necesarios para llevarla
a cabo.
Es importante que el auditor tenga un entendimiento claro del
negocio así como los conocimientos y experiencia previa acerca de
los sistemas que formarán parte del alcance de revisión.
Además, en esta etapa se identifican los riesgos más críticos y
los controles relacionados a dichos riesgos, que deben ser
evaluados.
Ejecución
Es lo que se conoce también como trabajo de campo. El auditor
realiza las actividades según lo planificado, en base a una
metodología y mediante la aplicación de programas de trabajo (work
programs) basado en buenas prácticas.
En esta etapa es importante la elaboración adecuada de papeles de
trabajo que sustenten los hallazgos u observaciones. Para ello,
las evidencias deben obtenerse de manera adecuada.
Asimismo, es importante tener en cuenta que una situación se
vuelve relevante y es candidata para convertirse en un hallazgo,
en la medida que dicha situación (lo que ocurre) se aleje de su
línea base o estándar (el cómo debería ser).

Es decir, necesitamos identficar la brecha (gap) entre lo real y

lo ideal.
Comunicación de resultados
Luego de realizar el trabajo de campo, el auditor elabora un
borrador del informe y lo discute previamente con la gerencia o
responsable de TI.
Dicho informe debe contener principalmente los hallazgos, los
riesgos asociados, y las recomendaciones para subsanar los
hallazgos.
Aquí es fundamental que el auditor revise junto al auditado, cada
uno de los hallazgos encontrados, y que ambas partes estén de
acuerdo.
Adicionalmente, como resultado de esta revisión, deben añadirse
al informe los comentarios del auditado con respecto a cómo,
cuándo y quién será responsable del levantamiento de las
observaciones o ejecución de las recomendaciones.
Posteriormente, el auditor emite el informe final y comunica los
resultados a la gerencia de la empresa o quien solicitó la
auditoría.
Control
Dado que el proceso de auditoría es cíclico, luego de la emisión
y comunicación de los resultados a través del informe final, la
empresa debe realizar un seguimiento para el cumplimiento de las
recomendaciones emitidas en dicho informe.
Finalmente, esta etapa daría paso a un nuevo proceso de auditoría
en donde se revisará, entre otras cosas, el nivel de cumplimiento
de las recomendaciones sugeridas. Y, de esta manera, se repite el
ciclo y se inicia un proceso de mejora continua.
La necesidad de una auditoría de sistemas
La necesidad de realizar una auditoría de sistemas o auditoría
informática está directamente relacionada con la complejidad de
la organización, la cual se puede medir principalmente en base a
su tamaño y a la cantidad de información que maneja.
A continuación, mencionamos algunas situaciones que justifican la
realización de una auditoría de sistemas.
Crecimiento de la organización
La empresa evoluciona en el tiempo y se encuentra en constante
crecimiento con respecto a:
 Volumen de facturación
 Cantidad de empleados
 Procesos nuevos y de mayor complejidad
 Nuevas áreas de negocio
Sistemas obsoletos
La empresa requiere actualizar parte de sus sistemas o
aplicaciones de gestión. Cuenta con sistemas obsoletos e
ineficientes que generan retraso y retrabajo.
Falta de controles
La empresa no cuenta con los controles ni con la visibilidad
adecuada que le permita proteger su información clave y valiosa.
Asimismo, tiene problemas con la disponibilidad oportuna de dicha
información.
Conclusión
La auditoría de sistemas o auditoría informática es importante
para las empresas en la medida que éstas consideren a la
información como uno de sus activos más importantes.
Si la empresa cuenta con información crítica y valiosa, es
necesario protegerla adecuadamente y por consiguiente, minimizar
los riesgos tecnológicos asociados a dicha información.