El proceso de Auditoría

En la entrada de Auditorías de Sistemas de la Información comentaba brevemente las fases por la que está compuesta una auditoría, en esta nueva entrada voy a profundizar en cada una de las etapas por la que pasa la auditoría:

Definición y aprobación de la auditoría

La junta directiva autoriza la auditoría, se definen las responsabilidades, los objetivos y el alcance de la auditoría.

Preplanificación de la auditoría

Una vez firmado el contrato de auditoría se analiza si el objetivo es el cumplimiento de un determinado estándar o la supervisión de algún control concreto. Además, se especifica el tipo de auditoría, se comprueba si hay restricciones en el alcance y se obtienen todos los requerimientos de manera detallada.

Análisis de riesgos de la auditoría

Una vez identificado los objetivos de la auditoría se valoran los riesgos con el propósito de asegurarnos que es posible obtener suficientes evidencias durante la auditoría, para ello hay que detectar los riesgos y tener en cuenta riesgos tecnológicos, operacionales, etc. Por ejemplo hay que tener alternativas si el auditado no nos puede atender porque se haya producido una interrupción no planificada en su servicio.

¿Es posible realizar la auditoría?

Si tras realizar el análisis de riesgos no se ve la posibilidad de obtener evidencias significativas, la auditoría sería inútil por lo que hay que ponerlo en conocimiento del comité de auditoría. Si por el contrario la auditoría es factible, continuaremos con la ejecución de la auditoría.

Ejecución de la auditoría

En esta fase debemos estar seguros de contar con el personal apropiado para realizar la auditoría, probablemente se necesiten auditores expertos en una determinada materia, al igual que técnicos expertos en una tecnología concreta. También hay que asegurar la calidad de la auditoría, definir el método de comunicación con el auditado, obtener los datos adecuados y revisar los controles existentes.

Obtención de evidencias

Obtener evidencias fiables es importante para aprobar o desaprobar un control interno. La ausencia de evidencias es la ausencia de pruebas. Para conseguir evidencias podemos obtener muestras de mayor o menor tamaño y analizarlas manualmente o mediante alguna herramienta de auditoría informática. Una vez obtenidas las evidencias hay que clasificarlas y siempre cumplir la cadena de custodia de las evidencias para que tengan validez durante todo el proceso de auditoría.

Realizar pruebas con las evidencias

Una vez encontradas evidencias fiables es importante que los resultados de las pruebas realizadas con las evidencias sean siempre los mismos, y que las pruebas puedan ser repetidas por otro auditor obteniendo los mismos resultados. De esta manera la detección de actos ilegales e irregulares como el fraude, robos, crimen organizado o violación de las leyes puede ser probado una y otra vez con las evidencias obtenidas.

Escribir informe

Consiste en redactar el informe de auditoría donde aparecerá el alcance, los objetivos, los métodos utilizados y las evidencias obtenidas. El informe debe ser fácil de leer con gráficas simples, tablas, colores, etc. Podrá ir acompañado de una opinión. Además es importante que el auditor firme el informe alegando que las datos y evidencias obtenidas son verdades y correctas. El informe debe ser aprobado y compartido sólo con el personal auditado.

Realizar seguimientos

Tras la entrega del informe puede haber reuniones de seguimiento para comprobar si la organización auditada a subsanado los problemas encontrados, o por el contrario pueden aparecer nuevas evidencias agravando aún más la situación de la organización.

Ya conocemos los pasos a seguir en una auditoría, ahora tan solo queda adaptarlo a nuestro campo de acción, los sistemas de información.