0 calificaciones0% encontró este documento útil (0 votos)
8 vistas7 páginas
El documento habla sobre auditorías de sistemas. Explica que una auditoría es un proceso de verificación para determinar si se cumplen los criterios establecidos. Describe los diferentes tipos de auditoría como internas, contables, de sistemas y de calidad. Finalmente, resume el proceso de auditoría de sistemas, el cual incluye las etapas de planificación, ejecución y comunicación de resultados.
El documento habla sobre auditorías de sistemas. Explica que una auditoría es un proceso de verificación para determinar si se cumplen los criterios establecidos. Describe los diferentes tipos de auditoría como internas, contables, de sistemas y de calidad. Finalmente, resume el proceso de auditoría de sistemas, el cual incluye las etapas de planificación, ejecución y comunicación de resultados.
El documento habla sobre auditorías de sistemas. Explica que una auditoría es un proceso de verificación para determinar si se cumplen los criterios establecidos. Describe los diferentes tipos de auditoría como internas, contables, de sistemas y de calidad. Finalmente, resume el proceso de auditoría de sistemas, el cual incluye las etapas de planificación, ejecución y comunicación de resultados.
Una auditoría es un proceso de verificación y/o validación del cumplimiento de una actividad según lo planeado y las directrices estipuladas Según la ISO (Organización Internacional de Normalización) es un proceso sistemático independiente y documentado que permite obtener evidencia de auditoría y realizar una evaluación objetiva para determinar en qué medida son alcanzados los criterios de auditoría (conjunto de políticas, procedimientos o requisitos a revisar). La finalidad de una auditoría es diagnosticar; identificar qué actividades se desarrollan según lo esperado, cuales no y aquellas que son susceptibles de mejora. Realizar una auditoría empresarial es el equivalente a realizar un examen médico a una persona, donde a partir de una evidencia o "examen" se pueden detectar fallas, promover mejoras y reunir información objetiva del estado de la organización para tomar decisiones. El concepto de auditoria es más amplio; no solo detecta errores; es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo y determinar cursos alternativos de acción para mejorar la organización, y lograr los objetivos propuestos. Características de las auditorías El ejercicio de auditar siempre se debe identificar por ser: Objetiva, esto significa que debe estar basada en hechos reales, sustentables y con evidencia, actuando en su desarrollo con una actitud mental independiente e imparcial. Sistemática, ya que se desarrolla bajo una serie de pasos y etapas, que se deben ejecutar en un orden lógico para lograr el objetivo final. Profesional y la transparente porque será un proceso desarrollado por un auditor, una persona, el cual debe tener la capacidad de informar lo que se halle en la auditoría sin ningún juicio de valor e independencia. LA IMPORTANCIA DE LA AUDITORÍA Este proceso en las empresas juega un papel muy importante y no debemos olvidar que los objetivos de las auditorias siempre deben estar alineadas con los objetivos de la alta dirección. A continuación te enumeramos 4 razones del porqué son importantes las auditorías: Te ayudarán a tener una excelente calidad en los procesos que manejes ya sean internos o externos. Es muy importante para los directivos de las empresas tener información verídica, fiable, para que puedan analizar los pasos a seguir, ya que la información que nos arroja una auditoría es la base para tomar decisiones que nos permitan tener mayor éxito y crecimiento. Una auditoría hace responsable a los equipos de las empresas en ordenar y mejorar sus procesos y controles internos, generando eficiencias operativas y mejores prácticas en la ejecución de sus operaciones. Permiten también estudiar si se están cumpliendo o no las normativas legales. TIPOS DE AUDITORÍA Auditoria Interna La auditoria interna se realiza por un profesional o, al menos, por alguien que trabaja siempre al lado de la junta o presidencia. Su principal función es verificar si los procesos contables y de control interno son efectivos, para que se tenga coherencia entre los procedimientos internos y las políticas definidas por la empresa. Auditoria Contable La auditoría contable se preocupa con el patrimonio de la empresa. Se trata de un análisis cuidadoso para evaluar si el patrimonio de la organización se gestiona de acuerdo con las pautas establecidas por la empresa y si siguen en conformidad con los principios de la contabilidad. Su objetivo es reducir los índices de mala conducta corporativa. Auditoria Operacional Aquí el objetivo es evaluar el funcionamiento de la empresa en el día a día, proporcionando un diagnóstico operacional y proponiendo soluciones que promueven más eficiencia y ahorro. El principal objeto de evaluación es la relación entre los procesos internos de la empresa y el uso de recursos. Auditoria de Sistemas Actualmente, gran parte del crecimiento, prosperidad y éxito de grandes empresas se debe a la adopción de softwares de gestión. Atenta a la nueva realidad, la auditoria no puede dejar de evaluar la eficiencia y el rendimiento de las soluciones tecnológicas adoptadas por la empresa. Poner soluciones de contabilidad comercial y fiscal, por ejemplo, disminuye la posibilidad de inconsistencias fiscales. Auditoria de Calidad La auditoría de calidad evalúa si los productos o servicios prestados por la empresa siguen las pautas establecidas por la propia compañía. Además, comprueban si cumplen con normas externas, como las editadas por las autoridades públicas responsables por la vigilancia sanitaria o, todavía, normas de estandarización internacional, como es con la ISO 9.000. Auditoría Ambiental Este tipo de auditoria se preocupa con el impacto de las actividades de la empresa en el medio ambiente. Elegir proveedores que contaminan menos o que no hacen prueba de laboratorio en animales son ejemplos de soluciones en auditoria ambiental. Auditoria Externa La auditoría externa generalmente se basa en auditorias independientes, sin relación laboral con la empresa auditada. Así como en la auditoria interna, su función también es evaluar los sistemas internos de la empresa. Por eso, el auditor externo debe trabajar junto al interno. Los tipos de auditoria usados por la auditoria externa no son diferentes de los de la auditoria interna. Así, la auditoria externa también se basa en las auditorias contable, fiscal, operacional, ambiental, etc. Lo que cambia sus enfoques. La auditoría externa también funciona como una consultoría y, así, su enfoque es evaluar la confiabilidad de los registros contables. Sólo por medio de las auditorias uno podrá saber si existe distancia entre teoría y práctica. Además, entiende lo que debe hacerse para que se empleen de forma eficiente los recursos, alcanzando las metas. LA AUDITORIA DE SISTEMAS La auditoría de sistemas o auditoría informática es un proceso de revisión de los sistemas de información (SI) y tecnologías de la información (TI) que ayuda a las empresas a identificar hallazgos, mitigar riesgos e implementar controles adecuados que permitan proteger su información crítica y valiosa. Beneficios de la Auditoría de Sistemas Para poder enfrentar los desafíos del mundo actual, es necesario reducir o mitigar los riesgos tecnológicos de manera tal que, no pongan en peligro la información crítica y valiosa de la organización. A partir de allí, nace la importancia de la auditoría de sistemas o auditoría informática, ya que nos ayuda a cumplir con dicho propósito. Entorno de control La auditoría permite realizar un análisis del entorno de control de TI, e identificar los riesgos más relevantes. Los controles de TI pueden tener deficiencias en su diseño o no existir y, en consecuencia, podrían afectar la confidencialidad, integridad y disponibilidad de la información crítica de la organización. Servicios u operaciones de TI Llevar a cabo una auditoría de sistemas proporciona a las empresas diversos beneficios. Por ejemplo, les permite contar con una infraestructura estable de TI. Actualmente, existe la tendencia de brindar servicios de TI, tanto internos como externos, 24x7x365 (24 horas al día, los 7 días de la semana y los 365 días del año). En consecuencia, la infraestructura que soporta dichos servicios debe brindar la disponibilidad requerida. La empresa debe contar con controles robustos tales como copias de seguridad, planes de recuperación de desastres, gestión de incidentes, entre otros. Controles de acceso La auditoría ayuda a las organizaciones a identificar fallas o deficiencias en los controles de acceso (lógicos o físicos), en sus sistemas; de tal forma que se puedan minimizar los riesgos de Acceso no autorizado, en cuanto a visualización, robo o manipulación de información crítica perteneciente a la empresa. Gestión de cambios Cuando las empresas requieren realizar actualizaciones en sus aplicaciones, sistemas operativos, bases de datos, entre otros; la auditoría puede ayudar a identificar problemas relacionados a la gestión de cambios. Por desconocimiento, muchas empresas no realizan un control adecuado y no mantienen un entorno seguro que permita llevar a cabo actualizaciones o cambios en sus sistemas con un riesgo mínimo. Cumplimiento regulatorio La importancia de la auditoría de sistemas queda demostrada también dado que nos ayuda a cumplir con las regulaciones gubernamentales como por ejemplo, la Ley de Protección de Datos Personales (no existe Ley en Bolivia, solo normas “Artículo 18°.- (Derecho a la intimidad)”). En el caso de las empresas del sector financiero, existen regulaciones emitidas por la Superintendencia de Banca y Seguros (SBS), como la Circular N° G-140-2009, para la gestión de la seguridad de la información.
EL PROCESO DE AUDITORÍA DE SISTEMAS
El enfoque actual de auditoría está basado en riesgos. De manera general, abarca tres etapas: planificación, ejecución, comunicación de resultados, y control. Planificación Lo primero consiste en elaborar un plan de auditoría, en donde se defina la naturaleza, el alcance, los objetivos, el período de revisión, la estrategia y los recursos necesarios para llevarla a cabo. Es importante que el auditor tenga un entendimiento claro del negocio así como los conocimientos y experiencia previa acerca de los sistemas que formarán parte del alcance de revisión. Además, en esta etapa se identifican los riesgos más críticos y los controles relacionados a dichos riesgos, que deben ser evaluados. Ejecución Es lo que se conoce también como trabajo de campo. El auditor realiza las actividades según lo planificado, en base a una metodología y mediante la aplicación de programas de trabajo (work programs) basado en buenas prácticas. En esta etapa es importante la elaboración adecuada de papeles de trabajo que sustenten los hallazgos u observaciones. Para ello, las evidencias deben obtenerse de manera adecuada. Asimismo, es importante tener en cuenta que una situación se vuelve relevante y es candidata para convertirse en un hallazgo, en la medida que dicha situación (lo que ocurre) se aleje de su línea base o estándar (el cómo debería ser).
Es decir, necesitamos identficar la brecha (gap) entre lo real y
lo ideal. Comunicación de resultados Luego de realizar el trabajo de campo, el auditor elabora un borrador del informe y lo discute previamente con la gerencia o responsable de TI. Dicho informe debe contener principalmente los hallazgos, los riesgos asociados, y las recomendaciones para subsanar los hallazgos. Aquí es fundamental que el auditor revise junto al auditado, cada uno de los hallazgos encontrados, y que ambas partes estén de acuerdo. Adicionalmente, como resultado de esta revisión, deben añadirse al informe los comentarios del auditado con respecto a cómo, cuándo y quién será responsable del levantamiento de las observaciones o ejecución de las recomendaciones. Posteriormente, el auditor emite el informe final y comunica los resultados a la gerencia de la empresa o quien solicitó la auditoría. Control Dado que el proceso de auditoría es cíclico, luego de la emisión y comunicación de los resultados a través del informe final, la empresa debe realizar un seguimiento para el cumplimiento de las recomendaciones emitidas en dicho informe. Finalmente, esta etapa daría paso a un nuevo proceso de auditoría en donde se revisará, entre otras cosas, el nivel de cumplimiento de las recomendaciones sugeridas. Y, de esta manera, se repite el ciclo y se inicia un proceso de mejora continua. La necesidad de una auditoría de sistemas La necesidad de realizar una auditoría de sistemas o auditoría informática está directamente relacionada con la complejidad de la organización, la cual se puede medir principalmente en base a su tamaño y a la cantidad de información que maneja. A continuación, mencionamos algunas situaciones que justifican la realización de una auditoría de sistemas. Crecimiento de la organización La empresa evoluciona en el tiempo y se encuentra en constante crecimiento con respecto a: Volumen de facturación Cantidad de empleados Procesos nuevos y de mayor complejidad Nuevas áreas de negocio Sistemas obsoletos La empresa requiere actualizar parte de sus sistemas o aplicaciones de gestión. Cuenta con sistemas obsoletos e ineficientes que generan retraso y retrabajo. Falta de controles La empresa no cuenta con los controles ni con la visibilidad adecuada que le permita proteger su información clave y valiosa. Asimismo, tiene problemas con la disponibilidad oportuna de dicha información. Conclusión La auditoría de sistemas o auditoría informática es importante para las empresas en la medida que éstas consideren a la información como uno de sus activos más importantes. Si la empresa cuenta con información crítica y valiosa, es necesario protegerla adecuadamente y por consiguiente, minimizar los riesgos tecnológicos asociados a dicha información.