2. ¿QUÉ ES UNA AUDITORÍA INFORMÁTICA?
La auditoría informática es una modalidad de auditoria que
concierne a la evaluación en profundidad de los recursos
informáticos y tecnológicos de una organización.
3. CARACTERÍSTICAS
• Al ser una modalidad de auditoría concerniente a un ámbito tan específico, cuenta con una serie de
características propias respecto a otros tipos de mediciones o análisis:
• Los profesionales auditores no solamente deben tener capacitación para la realización de trabajos de
auditoría, sino que también formación específica relacionada con un contexto tecnológico o informático.
Una correcta auditoría de este tipo debe servir para mostrar una imagen fiel sobre la adaptación al
entorno digital y tecnológica de una compañía
• La evaluación no solamente requiere de estudio de los activos informáticos físicos de una compañía, sino
que debe ir más allá abarcando la práctica y el uso de las plantillas. Los trabajadores deben estar
cualificados y preparados para el máximo aprovechamiento de estas herramientas
• Debe existir un constante seguimiento a las actualizaciones informáticas del mercado y su aplicación
empresarial
• Es importante destacar que con la proliferación de nuevas metodologías y aplicaciones tecnológicas en la
empresa, los informes de auditoría de tipo informático son cada vez más frecuentemente requeridos.
4. OBJETIVOS DE LA AUDITORÍA INFORMÁTICA
1. Realizar y establecer una política de mantenimiento informático preventivo. Esto está
dirigido al aprovechamiento de los equipos.
2. Mejorar los recursos disponibles para así conseguir un mejor funcionamiento.
3. Realizar un plan en la situación de contingencias informáticas para que todo se realice
adecuadamente.
4. Analizar la posible situación futura de acuerdo a la estrategia y política de empresa.
5. Llevar a cabo una composición de la red informática de la empresa. Comprobar si esta
es lo suficientemente óptima.
6. Se establece una política de seguridad online. Esta afecta al sitio web, correos
electrónicos, redes sociales, servidores, etcétera.
7. Hacer llegar a la plantilla toda la información necesaria para manejar los dispositivos
informáticos adecuadamente.
5. ALCANCE DE UNA AUDITORÍA INFORMÁTICA
Esta define con precisión el entorno y los límites en que va a desarrollarse la auditoría
informática, se complemente con los objetivos de ésta, por ello, debe expresarse en el informe
final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias han sido omitidas y del tipo de auditoría que se realizará.
Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación
no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y,
por lo tanto, la aplicación no funcionaría como debería.
6. EVOLUCIÓN DE LA AUDITORÍA INFORMÁTICA
• Debido al potencial crecimiento tecnológico experimentado en las últimas décadas y la rápida
expansión de la red en prácticamente la totalidad de los negocios, la vigilancia de los sistemas
informáticos empleados resulta inevitable.
• Gracias a la globalización existe cada vez una mayor adaptación por parte de empresas a estándares de
software comunes. Esto ocurre por ejemplo en el ámbito de la ofimática.
7. AUDITORÍA INTERNA Y EXTERNA
Existen diferentes modalidades para llevar a cabo el ejercicio de la auditoría; la interna y externa, por
ejemplo, hacen parte de lo que se puede considerar como el alcance, es decir, la amplitud y limitaciones
que tendrá el trabajo de auditoría; cada una de las enunciadas tiene sus propias especificidades.
¿Qué es una auditoría interna?
La auditoría interna, por lo general, es realizada por un empleado de la misma empresa. Como tal, lo que
el auditor interno emita como resultado de su análisis será útil para las autoridades del negocio. Ésta se
solicita a pedido y responde a los intereses particulares de cada empresa, en otras palabras su realización
no es obligatoria, pero sí necesaria. Tras emitir el informe, el auditor podrá proporcionar, a quien solicitó
la evaluación, una serie de recomendaciones para mejorar los procesos internos.
¿Qué es la auditoría externa?
Ésta la realiza un auditor externo, es decir alguien que no trabaja en la empresa auditada. Al no trabajar
en la empresa se espera de él una visión más objetiva de la situación financiera real de la compañía. Los
informes de una auditoría externa, a veces, se proporcionan con el interés de brindar esta información a
un ente fuera de la empresa. Por eso las auditorías externas suelen ser útiles para, por ejemplo, solicitar
un préstamo para la empresa, también lo son para cuando se quiere captar nuevos inversores, etc.
8. SÍNTOMAS DE NECESIDAD DE AUTORÍA
Las empresas acuden a las auditorias externas o internas cuando existen síntomas bien perceptibles de debilidad.
Estos síntomas pueden agruparse en clases:
- Síntomas de mala imagen e insatisfacción de los
usuarios.
- Síntomas de debilidades económico - financiero.
- Síntomas de Inseguridad.
- No coinciden los objetivos de la informática de la
compañía.
- Los estándares de productividad se desvían
sensiblemente de los promedios conseguidos
habitualmente.
- No se cumplen en todos los casos los plazos de entrega
de resultados periódicos.
- Pequeñas desviaciones pueden causar importantes
desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones críticas y sensibles.
9. SEGURIDAD DE LOS SISTEMAS Y VULNERABILIDAD
Para aplicar controles adecuados de seguridad, es preciso comprender primero quien o
que es lo que amenaza dicho entorno, así mismo, conocer los riesgos asociados por si
llegan a materializarse. Una vulnerabilidad es una debilidad del sistema informático que
puede ser utilizada para causar daño, entre las más comunes se encuentran:
Errores de programación en el software.
Configuración inadecuada de los sistemas informáticos.
Limitación de tecnologías de seguridad.
Descuido de los fabricantes de software y hardware.
Debilidad en el diseño.
Desconocimiento por parte de los usuarios y responsables en el área de informática.
10. RIESGOS EN AUDITORÍAS
Riesgo de control: Es aquel que existe y que se propicia por falta de control de
actividades de la empresa y puede generar deficiencias del sistema de control
interno.
Riesgo de detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el sistema de control interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las características
del control interno.