Auditoría de Sistemas de la Información

Inicialmente las auditorías se realizaban en grandes organizaciones para controlar el dinero que entraba y salía de las compañías, y así intentar evitar fraudes financieros. El auge de las auditorías comenzó con las auditorías financieras en los bancos y cajas para analizar y vigilar las transacciones, cuentas anuales, balances, etc. Sin embargo el creciente uso de las tecnologías de la información ha provocado que no solo haya que auditar los estados financieros sino también los sistemas de la organización, por el mero hecho de que la información está alojada en sistemas informáticos que deben ser auditados para comprobar si cumplen los estándares y las leyes existentes.

Existen dos tipos de auditores, internos y externos. Los auditores internos auditan la organización para la que trabajan por lo que el proceso de auditoría es rápido ya que éste conoce la compañía auditada, sin embargo el auditor interno no puede mantener la independencia, ya que puede haber participado en la elaboración y creación del sistema de información, y por tanto los resultados de la auditoría pueden estar condicionados por su posición en la empresa auditada. Los auditores externos son aquellos que no tienen ningún tipo de contrato laboral con la compañía auditada por lo que se mantiene la independencia en los resultados de la auditoría. Además otro punto a tener en cuenta es que el cliente de la auditoría, es decir el que paga la auditoría, puede ser el propio auditado o un tercero.

Es importante que el auditor conozca las leyes y regulaciones que debe cumplir la organización auditada, así que éste está constantemente en contacto con abogados. Además ante la obtención de alguna evidencia que pueda poner al responsable de la organización en un aprieto, es importante consultar a un abogado para conocer si existe alguna multa o pena.

Una auditoría está compuesta por varias fases. La primera fase es la de planificación, probablemente la más importante, donde hay que priorizar las tareas y tener claro a qué personas es necesario entrevistar durante la auditoría, para ello hay que conocer la estructura de la organización y ser conscientes que las entrevistas con directores deben ser cortas y directas, ya que los directivos disponen de muy poco tiempo para este tipo de trabajos. Tras la obtención y prueba de evidencias hay que redactar el informe final que debe ser claro y no estar abierto a interpretaciones, es decir, cada evidencia encontrada que no cumpla el estándar o ley a auditar debe ser referenciada al apartado o control exacto donde se indica el por qué de la evidencia o no conformidad.

Debido a la importancia que tiene el informe final de la auditoría, ya que éste puede desencadenar acciones desagradable para algún departamento o persona, como puede ser el despido, es importante que el auditor proteja la documentación de la auditoría y mantenga la confidencialidad de la información obtenida.

Así que si quieres demostrar que cumples algún estándar, deja que algún auditor externo audite tu organización y te diga lo bien o mal que lo estás haciendo.