Una auditoría informática es un examen de los controles de gestión existentes en una infraestructura de tecnología de la información, de tal manera que se evalúa si los sistemas de información están salvaguardando los activos, manteniendo la integridad de los datos y operando efectivamente para alcanzar los objetivos de la organización. Los propósitos de una auditoría informática son evaluar el diseño y eficacia del sistema TIC, lo que incluye protocolos de eficiencia y seguridad, procesos de desarrollo y mecanismos de control y supervisión, entre otros.
Qué es una auditoría informática
La auditoría informática (en inglés “Information Technology Audit” o “Information Systems Audit”), es un proceso que busca evaluar la efectividad de un sistema TIC (Tecnologías de la información y la comunicación), para salvaguardar la integridad de los datos de una empresa y hacer un correcto uso de los recursos e infraestructura, manteniendo un cumplimiento de las leyes reguladoras.
Las auditorías informáticas permiten detectar el uso que se da a los recursos informáticos y a la información de la organización, además de detectar qué factores son críticos y pueden afectar al correcto funcionamiento de los sistemas de información.
Aunque una auditoría informática puede realizarse conjuntamente con una auditoría de estados financieros, auditoría interna u otro compromiso de certificación, una auditoría informática es diferente de una auditoría de estados financieros, ya que el propósito de una auditoría financiera es evaluar si una organización está cumpliendo con las prácticas contables estándar, mientras que el propósito de una auditoría informática es evaluar el diseño y la eficacia del control interno del sistema informático.
Una auditoría informática es un examen de los sistemas de información, las entradas, salidas y procesamiento de los datos. Esto incluye, pero no se limita a, protocolos de eficiencia y seguridad, procesos de desarrollo y supervisión del sistema. De esta manera, la auditoría espera evaluar el riesgo de uno de los activos más valiosos de la empresa (su información) y establecer métodos para minimizar dichos riesgos.
La auditoría informática considera todos los peligros y controles potenciales en los sistemas de información. Se centra en cuestiones como operaciones, datos, integridad, aplicaciones de software, seguridad, privacidad, presupuestos y gastos, control de costes y productividad. Estos controles pueden ser de tres tipos: Controles preventivos, Controles de detección y Controles reactivos/correctivos.
La implementación de controles es necesaria pero no suficiente para proporcionar una seguridad adecuada de la información. Las personas responsables de la información deben valorar si los controles están instalados según lo previsto, si son efectivos o si se ha producido alguna brecha en la seguridad y, de ser así, qué acciones se pueden tomar para prevenir futuros incumplimientos. Estas consultas deben ser respondidas por observadores independientes e imparciales.
Respecto a los tipos de auditoría informática, hay dos tipos de auditores y auditorías: interna y externa. La auditoría interna es realizada por auditores internos corporativos, se hace de forma interna en la organización, sin recurrir a terceros, y frecuentemente suele formar parte de una auditoría interna contable. A menudo un auditor externo revisa los resultados de la auditoría interna de los sistemas de información. La auditoría externa de los sistemas de información es realizada por una empresa certificada de auditoría y con frecuencia forma parte de una auditoría externa completa. Para las auditorías externas, comúnmente se recurre a empresas que cuentan con expertos en ingenierías relacionadas con la informática y en derecho, personal cualificado que esté en condiciones de determinar si los sistemas empleados por la empresa son los adecuados para alcanzar los objetivos deseados y si cumplen con lo que exigen las normas legales.
En cuanto a los beneficios que se obtienen al realizar una auditoría informática, algunos son los siguientes: mejora la imagen de la empresa ante el público, se transmite confianza a los clientes y personal de la empresa, permite establecer estrategias que optimicen el uso de los recursos de la empresa, mejora el clima interno de la organización, permite detectar y evaluar posibles riesgos en TI, mejora la seguridad de los sistemas de información.
La función principal de una auditoría informática es evaluar si los sistemas son adecuados para proteger la información de una organización. La auditoría informática tiene como objetivo evaluar lo siguiente:
- Disponibilidad: Evaluar si los sistemas informáticos de la organización estarán disponibles para el negocio en todo momento cuando sea necesario, para distribuir adecuadamente la información a las partes autorizadas.
- Seguridad y confidencialidad: Evaluar la capacidad de la organización para proteger sus activos de información y asegurar que la información contenida en los sistemas será divulgada solamente a los usuarios autorizados.
- Integridad: Evaluar si la información proporcionada por el sistema será siempre exacta, confiable y oportuna.
Dependiendo de la organización auditada, existen cuestiones emergentes que requieren nuevos tipos adicionales de auditorías para asegurarse de que los departamentos de informática están realizando ciertas funciones y controles apropiadamente para ser considerados conformes, tales como la auditoría de presencia web (en inglés “Web Presence Audit”) o la auditoría de los sistemas de comunicación de la empresa (en inglés “Enterprise Communications Audit”).