2 Metodología basada en la evaluación de riesgos: en este caso, el auditor no hace un chequeo simple, sino que hace evaluaciones de los riesgos potenciales existentes, bien por la ausencia de controles bien por la deficiencia del sistema. Aquí, el auditor deberá verificar y cuantificar los riesgos para conocer el grado de confiabilidad del sistema, atendiendo a la exactitud y a la integridad de su información.
10.1. Normativas relacionadas con la auditoría de sistemas comúnmente aceptadas
Las normas o normativas de auditoría son los requisitos mínimos de calidad que deben cumplir tanto el auditor en el trabajo que realiza como la información obtenida a raíz de dicho trabajo.
De este modo, la mayoría de organismos encargados de elaborar normativas sobre auditoría las clasifican en tres apartados:
1 Normas personales: estas normas hacen referencia a las características, conocimientos, experiencia y ética que los auditores deben poseer para poder desarrollar correctamente las tareas de auditoría. El auditor debe ser una persona independiente del área a auditar y debe estar debidamente formado para desarrollar sus tareas con rigor y seriedad. Nota: Dentro de las normas personales, se encuentran el código deontológico y el código ético de los auditores mencionados al inicio del capítulo.
2 Normas técnicas de ejecución el trabajo: todas aquellas normas referentes a la planificación, métodos y procedimientos necesarios para que la auditoría termine con éxito. También se incluye la designación de papeles y responsabilidades dentro del equipo auditor.
3 Normas de información o de elaboración de informes: normas que debe cumplir el auditor para que el análisis de resultado, y su reflejo en el informe de auditoría final, se elabore de un modo correcto. Los informes de auditoría deberán ajustarse a los Principios y Normas de Auditoría Informática Generalmente Aceptados (NAIGA), principios elaborados por la Electronic Data Processing Auditors Foundation (EDPAF).
Nota
El informe de auditoría es el instrumento que utilizan los auditores para comunicar a los responsables las debilidades detectadas, el alcance de estas, las conclusiones y las recomendaciones obtenidas por la realización de la auditoría.
Actividades
7. Busque información adicional sobre los Principios y Normas de Auditoría Informática Generalmente Aceptados y enumere los que considere más relevantes.
11. Resumen
La auditoría informática consiste en el análisis exhaustivo de los sistemas de información de una organización con la finalidad de detectar, identificar y describir las distintas vulnerabilidades que puedan presentarse.
Para que la auditoría se lleve a cabo satisfactoriamente, es de vital importancia la figura del auditor, que debe actuar conforme a un código deontológico y un código ético para que las actividades se desarrollen con objetividad e independencia. No es necesario que el auditor sea una sola persona, todo lo contrario, se recomienda que exista un equipo auditor en el que cada uno de los miembros esté especializado en áreas distintas de la auditoría para que ejecuten sus tareas de un modo complementario y así aumentar la calidad del informe elaborado.
Una vez elegido el equipo auditor, se podrá empezar a planificar la auditoría teniendo en cuenta la necesidad de obtener pruebas sustantivas y pruebas de cumplimiento a través del análisis de los hallazgos (debilidades del sistema auditado detectadas) obtenidas gracias a los conocimientos y la experiencia del auditor y a las herramientas de auditoría utilizadas, que añadirán precisión y exactitud a los resultados obtenidos.
Los hallazgos, para ser considerados como tales, deberán cumplir con una serie de requisitos básicos y se categorizarán como observaciones, no conformidades u oportunidades de mejora según su gravedad y alcance, dando prioridad a aquellos hallazgos que afecten al sistema en general y cuyos daños puedan ser graves.
Todos estos procedimientos y tareas deberán cumplir una serie de criterios comunes y deberán realizarse mediante unas normativas y metodologías comúnmente aceptadas relacionadas con la auditoría de sistemas de información, que den fiabilidad y respaldo profesional a las técnicas y herramientas utilizadas y garanticen el éxito de la auditoría.
Ejercicios de repaso y autoevaluación
1. Indique cuál de las siguientes normas no está dentro de las Normas de Auditoría de Sistemas de Información definidas por la ISACA.
1 El auditor deberá cumplir con los preceptos del Código de Ética Profesional de la ISACA.
2 El auditor de los sistemas de información deberá ser dependiente del auditado, tanto en actitud como en apariencia.
3 El auditor debe tener los suficientes conocimientos técnicos y destrezas para desempeñar correctamente las funciones de auditoría encomendadas.
4 Las tareas de auditoría deben llevarse a cabo con sumo cuidado profesional y cumpliendo las normativas de auditoría aplicables.
2. Indique a qué principio del código deontológico de la auditoría corresponden los siguientes conceptos.
1 El auditor informático debe estar plenamente capacitado para el ejercicio de su profesión y, para ello, debe actualizar sus conocimientos de forma periódica mediante actividades de formación continua.
2 Las recomendaciones del auditor siempre deben estar basadas en sus conocimientos y experiencias, manteniendo al auditado siempre informado de la evolución de las tecnologías de la información y de las actuaciones que se deben llevar a cabo.
3 En momentos de alto volumen de trabajo, el auditor deberá evitar que el exceso de trabajo dificulte su capacidad de concentración y precisión en sus tareas.
3. ¿Cuáles de los siguientes forman parte de los principios del código deontológico de la auditoría?
1 Principio de calidad.
2 Principio de eficacia.
3 Principio de perjuicio del auditado.
4 Principio de legalidad.
4. Rellene la siguiente tabla indicando la finalidad de las distintas clases de auditoría.
| Clase | Finalidad |
| Financiera | |
| De gestión | |
| De cumplimiento | |
| Informática |
5. Relacione los siguientes conceptos con los tipos de auditoría informática descritos a continuación.
1 Auditoría que se encarga de analizar resultados informáticos de todo tipo.
2 Auditoría encargada de analizar las actividades relacionadas con el entorno de sistemas informáticos.
3 Auditoría que analiza todos los procesos referentes a la seguridad informática, tanto física como lógica.
4 Auditoría