Trabajo 2.2 Auditoría y Evaluación Brenda Berenice Hernández Velázquez Fátima Abigail Porras Noriega Elizabeth Santoyo Flores IRIC 901
Trabajo 2.2 Auditoría y Evaluación Investiga y sintetiza una respuesta para cada una de las siguientes cuestiones: a) Qué objetivos busca la auditoría informática. La auditoría informática consiste en la evaluación y cumplimiento de las normas y estándares implementados en la empresa y la verificación de que los procesos se encuentren funcionando de manera correcta, con la finalidad de que la información y el uso de hardware y software esté operando adecuadamente. Los objetivos que busca principalmente son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos, la verificación del cumplimiento de la normativa y la revisión de la eficaz gestión de los recursos informáticos. b) Qué beneficios tiene la realización de una auditoría de manera periódica. Algunos de los beneficios que tiene una auditoría informática periódica incluye: El poder revisar constantemente la eficacia de los procesos y saber si estos son realizados acorde a las normativas de la empresa; la detección de errores al realizar pruebas de producción, mediante las cuales se puede identificar oportunamente si la forma de realizar las actividades es la correcta; y finalmente el tener una inspección más cuidadosa de la cadena de suministro, además de proporcionar los controles necesarios para que los sistemas sean confiables y seguros. c) Qué deficiencias en el manejo de TI, puede encontrar una auditoría. Algunas de las deficiencias en el manejo de TI que se pudieran encontrar al realizar una auditoría incluyen que se pueden encontrar con sistemas operativos desactualizados, que los datos que se almacenan en la base de datos se encuentren expuestos por una mala administración de ésta, o encontrarse con ineficiencias en la topología de red que hacen que no haya una buena comunicación entre dispositivos, entre algunas otras. d) Qué habilidades debe tener un auditor para poder generar un dictamen adecuado. Las habilidades que debe tener un auditor incluyen: capacidad de observación, acoplamiento a diferentes entornos o contextos, mostrar seguridad en lo que hace, imparcialidad durante el proceso de auditoría, ser firme en cuanto a su toma de decisiones, formular de forma clara y con razonamiento lógico las conclusiones sobre la auditoría realizada y debe disponer de los conocimientos necesarios referentes al área donde se aplicará la auditoría. e) Qué se debería evaluar en una inspección física. En la inspección física deberían evaluarse tanto los equipos TI como la organización y modos de gestión del establecimiento para verificar que la organización haya adoptado las medidas necesarias para garantizar un alto nivel de protección para las personas y los activos de TI. Principalmente se debe evaluar la veracidad de datos e información suministrada, la toma de medidas para prevenir accidentes, controles de acceso, estándares aplicables, planes de emergencia y capacitación, las estaciones de trabajo, la infraestructura de red, servidores y que esto se encuentre actualizado y se le de mantenimiento. f) Qué se debería evaluar con relación al software y por qué. Con relación al software, de manera general se debería evaluar que las licencias sean vigentes y se les de un uso adecuado, que el código fuente sea accesible, el registro y autorización de los cambios, las pruebas de implementación, los sistemas de reportes de errores, la actualización de soporte de los licenciamientos, la disponibilidad de los manuales de usuario, etc. Esto debe realizarse porque así se asegura que las aplicaciones se encuentren vigentes para que sigan recibiendo soporte, actualizaciones y mejoras de seguridad, lo cual representaría rentabilidad y ventaja competitiva en el mercado. g) Con relación a una auditoría informática, qué se puede evaluar del recurso humano. Con relación al recurso humano, se deben evaluar las políticas y prácticas del personal de la empresa y también su funcionamiento actual, además de sugerencias para mejorar. Se deben evaluar principalmente las capacidades de los usuarios respecto a su experiencia utilizando los sistemas de información, su conciencia al usar los recursos (por ejemplo si saben cómo identificar un phishing), cómo está funcionando el personal, localizar las prácticas o condiciones que pudieran ser perjudiciales para la empresa o no se justifiquen, o prácticas y condiciones que debieran incrementarse, etc.
Sintetiza una conclusión para cada una de las siguientes cuestiones: a) Cómo la auditoría ayuda a asegurar la rentabilidad y ventaja competitiva de una organización. Una auditoría ayuda a que una organización pueda brindar servicios eficientes, eficaces y económicos, ésta pone énfasis en los procesos principales de la organización, pero con un enfoque diferente, en relación con la competencia y con el servicio que ofrece, percibido por los clientes de algún modo como un servicio único. Por ello, la auditoría ayuda a asegurar la rentabilidad y ventaja competitiva de una organización, ya que es una fuente confiable para que los clientes sepan que las operaciones que se realizan en la organización cumplen con estándares y métodos que aseguran la calidad del servicio ofrecido con controles necesarios que permiten que los sistemas sean confiables y seguros, además de que permite saber que el personal se encuentra capacitado y con el conocimiento necesario para realizar sus determinadas tareas. b) Cómo podemos relacionar la aplicación de una auditoría informática, con los temas previamente analizados: madurez de los procesos y mejora continua. Se relaciona de manera que los tres coinciden en un paso importante, la “revisión continua de los procesos”, la cual tiene como enfoque principal el controlar y mejorar los procesos, con la finalidad de cumplir con los objetivos principales del proyecto, además, busca detectar errores y riesgos en las etapas del proyecto y pretende aminorar la presencia de estos, finalmente realiza una evaluación y optimización del desempeño de la empresa, lo cual permite tener más control respecto a los recursos del proyecto, para tener una correcta gestión de cambios y mantener la competitividad. De esta forma, tanto la aplicación de una auditoría informática, como la madurez de los procesos y la mejora continua, buscan aumentar o mejorar tanto la calidad del proyecto como la eficiencia y efectividad de los procesos, de manera que se comprenden los procesos existentes y se cambian (si es necesario) para incrementar ya sea la calidad del producto, reducir los costos o reducir el tiempo de desarrollo. c) Qué relación e importancia tiene el marco regulatorio con la auditoría informática. Como ya se sabe, el marco regulatorio referente a TI es el compendio de leyes, estándares, normas y reglamentos aplicables a los hechos y actos derivados de la informática, tales como la protección jurídica de la información personal, la protección jurídica del software, el flujo de datos, los convenios, contratos o licencias informáticos, los delitos informáticos, entre otros. Al conocer esto, se puede deducir que la relación que existe entre el marco regulatorio y la auditoría informática es precisamente el evaluar la función de tecnología de la información y su aportación al cumplimiento de los objetivos organizacionales con base en la normatividad aplicable, métodos y herramientas con la finalidad de garantizar la integridad de la información y la continuidad de la organización. Otra relación es que la función de ambos implica la verificación de lo que es contra lo que debe ser y la auditoria informática se basa precisamente en un esquema normativo (leyes, normas, reglamentos, políticas, estándares, etc.) y en caso de detectarse una desviación en la auditoría, el marco regulatorio es de suma importancia para situaciones correctivas, ya que éste respaldará en gran medida los resultados obtenidos en los procesos de la auditoría. Enlista y describe las etapas que conformarían una metodología para una auditoría informática. Las auditorías informáticas que se realizan en las organizaciones deben utilizar una metodología de apoyo, sin embargo, no existe una metodología única o una que sea reconocida de manera generalizada, su uso depende de la experiencia del auditor y del conocimiento de esta. Varios autores proponen metodologías de auditoría informática, y si bien, existen similitudes, se requiere complementarlas con buenas prácticas y estándares mundialmente aceptados. De esta forma, nuestra metodología se conformaría por las siguientes etapas: 1. Exploración. 1.1. Identificar el origen de la auditoría. Se conoce por qué surge la necesidad o inquietud de realizar una auditoría. 1.2. Realizar una vista preliminar del área que será evaluada. Se tiene un contacto inicial con el personal, para que verifique el área que será evaluada, se observe la distribución de los sistemas y el número de equipos, y en sí que se conozca la problemática a la cual se enfrentará. 2. Planeación. 2.1. Establecer los objetivos de la auditoría. Se conoce el objetivo que se pretende alcanzar con el desarrollo de la auditoría en el cual se plantean los aspectos que se pretenden evaluar. 2.2. Determinar los puntos que serán evaluados en la auditoría. Los puntos se presentan a nivel de sugerencia y el responsable de la auditoría deberá determinar su aplicación real de acuerdo con las necesidades de la evaluación.
2.3. Elaborar planes, programas y presupuestos para realizar la auditoría. Se elaboran los documentos que contemplen los planes formales para el desarrollo de la auditoria, los programas en donde se delimitan las etapas, eventos, actividades y los tiempos de ejecución para cumplir los objetivos. 2.4. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría. Se determinan los documentos y medios con los cuales se llevará a cabo la revisión a la empresa, logrado a través de la selección o diseño de los métodos, procedimientos, herramientas e instrumentos necesarios. 2.5. Asignar los recursos y sistemas para la auditoría. Se asignan los recursos que serán utilizados para realizar la auditoría de acuerdo con los aspectos ya establecidos con anterioridad. 3. Ejecución. 3.1. Realizar las acciones programadas para la auditoría. Cada auditor realiza las actividades que le corresponden conforme a la cronología que le fue asignada. 3.2. Aplicar los instrumentos y herramientas para la auditoria. Se hace uso de los instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la recopilación y análisis de información, la observación, las pruebas y simulación de los sistemas. 4. Documentación. 4.1. Identificar y elaborar los documentos de desviaciones encontradas. Se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, se registran las situaciones encontradas, las causas que las originaron y posibles soluciones, así como responsables de solucionarlas y posibles fechas para hacerlo. 4.2. Elaborar el dictamen preliminar y presentarlo en discusión. Se elabora un documento que contenga todas las desviaciones detectadas, o bien con cada una por separado de acuerdo con las necesidades de la empresa. 4.3. Integrar el expediente de papeles de trabajo de la auditoría. El auditor tiene la obligación de conservar en el llamado expediente de papeles de la auditoría cada uno de los instrumentos aplicados en la evaluación con el propósito de sustentar las observaciones reportadas. 5. Dictamen de la auditoría. 5.1. Analizar la información y elaborar un informe de situaciones detectadas. Se analizan los papeles de trabajo y la elaboración del borrador de las situaciones detectadas. 5.2. Elaborar el dictamen final. Se analiza la información y se elabora un documento de desviaciones detectadas y se presenta a los encargados del departamento auditado. 5.3. Presentar el informe de auditoría. Se presenta el informe al más alto directivo de la empresa para informar los resultados de la auditoria. 5.4. Informe detallado de recomendaciones. 6. Seguimiento 6.1. Informes de seguimiento de las recomendaciones. 6.2. Evaluación de los controles implantados.
Fuentes bibliográficas • RIVAS, G. (2021). ¿Por qué medir el nivel de madurez de los procesos en tu empresa? https://www.gb-advisors.com/es/medirnivel-de-madurez-procesos-empresa/ • ALMER. (s. f.). ¿Por qué es importante realizar auditorías periódicas? http://www.almer.com.mx/articulo/49-por-que-esimportante-realizar-auditorias-periodicas • Universidad Autónoma del Estado de Hidalgo. (s.f.). https://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatica/auditoria_informatica.pdf • EEE. (2016). Competencias y habilidades esenciales de un auditor de calidad. https://www.escuelaeuropeaexcelencia.com/2016/08/habilidades-esenciales-de-un-auditor-de-calidad/ • Auditoría a los procesos en las empresas. (s.f.). https://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2003/primer/auditoria.htm • Thornton, G. (s.f.). IT Audit Manual. https://www.undp.org/content/dam/albania/docs/STAR/IT%20AUDIT%20MANUAL.pdf • GSITIC. (2018). BII11. Auditoría Informática. Objetivos, alcance y metodología. Técnicas y herramientas. Normas y estándares. https://gsitic.wordpress.com/2018/01/25/bii11-auditoria-informatica-objetivos-alcance-y-metodologia-tecnicas-yherramientas-normas-y-estandares/