Sie sind auf Seite 1von 4

Auditoría de Aplicaciones.

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de


aplicaciones o sistemas de información en una entidad, con el propósito de determinar
si su diseño y aplicación son correctos y comprobar el sistema de procesamiento de
información como parte de la evaluación de control interno; con el fin de identificar
aspectos susceptibles para mejorar o eliminarse. Las aplicaciones o sistemas de
información son uno de los productos finales que genera la infraestructura de la
Tecnología Informática en las organizaciones y por ende son el aspecto de mayor
visibilidad desde la perspectiva de negocio.

La importancia de una auditoría de aplicaciones según lo expuesto anteriormente


radica en el control, eficiencia y eficacia de los sistemas informáticos.

Problemática de la auditoría de una aplicación Informática

Una aplicación informática o sistema de información habitualmente persigue como


finalidad:

 Registrar fielmente la información considerada de interés en torno a las


operaciones llevadas a cabo por una determinada organización: magnitudes
físicas o económicas, fechas, descripciones, atributos o características,
identificación de las personas físicas u/o jurídicas que intervienen o guardan
relación con cada operación, nombres, direcciones, etc.
 Permitir la realización de cuantos procesos de cálculo y edición sean
necesarios a partir de la información registrada.
 Facilitar, a quienes lo precisen, respuesta a consultas de todo tipo sobre la
información almacenada, diseñadas en contenido y forma para dar cobertura a
las necesidades más comunes constatadas.
 Generar informes que sirvan de ayuda para cualquier finalidad de interés en la
organización presentando la información adecuada.

Tipos de controles

En el terreno de una aplicación informática, el control interno se materializa


fundamentalmente en controles de dos tipos:

 Controles manuales: a realizar normalmente por parte de personal del área


usuaria: actuaciones previstas para asegurar que, en su caso se preparan,
autorizan y procesan todas las operaciones.
 Controles automáticos: Incorporados a los programas de la aplicación que
sirvan de ayuda para tratar de asegurar que la información se registre y
mantenga completa y exacta, los procesos de todo tipo sobre la misma sean
correctos y su utilización por parte de los usuarios respete los ámbitos de
confidencialidad establecidos.

Controles que, según su finalidad, se suelen clasificar en:

 Controles preventivos: Tratan de ayudar a evitar la producción de errores a


base de exigir el ajuste de los datos cualquier criterio que ayude a asegurar la
corrección formal y verosimilitud de los datos (la exactitud solo la garantiza el
usuario).
 Controles detectivos: Tratan de descubrir a posteriores errores que no haya
sido posible evitar.
 Controles correctivos: Tratan de asegurar que se subsanen todos los errores
identificados mediantes controles detectivos.

Auditoría del Mantenimiento.

Una Auditoria es un instrumento de seguimiento que colabora en la toma de


decisiones, gestión y control del mantenimiento.

Por qué llevar a cabo una auditoría?

Las auditorías son procesos llevados a cabo de manera voluntaria, que surgen de
motivaciones tales como conocer el estado de la maquinaria, medir la efectividad del
mantenimiento y reducir los costos de mantenimiento,

En forma general, se puede decir que las auditorías permiten conocer la situación del
mantenimiento en la empresa, establecer y priorizar las necesidades y sus medidas
correctivas.

Beneficios de realizar una Auditoria

 Progresiva disminución de los costos.


 Minimiza problemas actuales y futuros prevención.
 Identifica ahorros potenciales.
 Racionaliza los recursos disponibles.
 Conoce el estado de los equipos.
 Evalúa la gestión de mantenimiento.

Auditoría de la Calidad.

Las auditorías de calidad tienen un gran protagonismo motivado por el impulso que la
certificación ha adquirido en los últimos años. Ello ha conducido a que desde la
Organización Internacional de Normalización (ISO) se desarrollen normas sobre la
metodología de las auditorías de la calidad como la norma ISO 19011- Directrices para
la auditoría de los sistemas de gestión de la calidad y/o ambiental., además de la
exigencia de realizar auditorías internas del sistema de gestión de la calidad,
establecida en ISO 9001-Sistemas de gestión de la calidad.

La norma de vocabulario ISO 9000, define la auditoría de la calidad como "proceso


sistemático, independiente y documentado para obtener evidencias de la auditoría
(registros, declaraciones de hechos o cualquier otra información) y evaluarlas de
manera objetiva con el fin de determinar la extensión en que se cumplen los criterios
de auditoría (conjunto de políticas, procedimientos o requisitos utilizados como
referencia)". Se trata de un examen metódico que se realiza para determinar si las
actividades y resultados relativos a la calidad satisfacen las disposiciones previamente
establecidas y que realmente se llevan a cabo, además de comprobar que son
adecuadas para alcanzar los objetivos propuestos.
Una de las clasificaciones más comunes que suele hacerse de las auditorías, es la
que diferencia entre interna y externa:

 Auditoría interna o de primera parte: se realiza por miembros de la propia


organización o por otras personas que actúan de parte de ésta, para fines
internos. Proporcionan información para la dirección y para las acciones
correctivas, preventivas o de mejora.
 Auditoría externa o de segunda parte: se realiza por los clientes de la
organización o por otras personas que actúan de parte de éste, cuando existe
un contrato. Proporcionan confianza al cliente en la organización
suministradora.
 Auditoría externa o de tercera parte: se realiza por organizaciones
competentes de certificación para obtener la certificación del sistema de
gestión de calidad. Proporcionan confianza a los clientes potenciales de la
organización.

Auditoría de la Seguridad.

Una auditoría de seguridad informática es una evaluación de los sistemas informáticos


cuyo fin es detectar errores y fallas y que mediante un informe detallado entregamos al
responsable en el que describimos:

 Equipos instalados, servidores, programas, sistemas operativos…


 Procedimientos instalados
 Análisis de Seguridad en los equipos y en la red
 Análisis de la eficiencia de los Sistemas y Programas informáticos
 Gestión de los sistemas instalados
 Verificación del cumplimiento de la Normativa vigente LOPD
 Vulnerabilidades que pudieran presentarse en una revisión de las estaciones
de trabajo, redes de comunicaciones, servidores.

Una vez obtenidos los resultados y verificados, se emite otro informe, indicándole el
establecimiento de las medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad
de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditorías
de seguridad permiten conocer en el momento de su realización cuál es la situación
exacta de sus activos de información en cuanto a protección, control y medidas de
seguridad.

Una Auditoria de Seguridad conlleva:

 Amenazas y elementos de Seguridad de entrada y salida de datos


 Aspectos Gerenciales
 Análisis de Riesgos
 Identificación de amenazas
 Seguridad en Internet
 Control de Sistemas y Programas instalados
 Protocolo de riesgos, seguridad, seguros, programas instalados
 Protocolo ante perdidas, fraude y ciberataques
 Planes de Contingencia y Recuperación de Desastres
 Seguridad Física
 Seguridad de Datos y Programas
 Plan de Seguridad
 Políticas de Seguridad
 Medidas de Seguridad (Directivas, Preventivas y Correctivas)
 Cadena de Custodia
 LOPD

Auditoria de la Función de Informática.

La función de auditoría informática ha pasado de ser una función meramente de ayuda


al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo
en el futuro, más acorde con la importancia que para las organizaciones tienen los
sistemas informáticos y de información que son su objeto de estudio y análisis. El
auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a
ser analista, auditor y asesor en:

 Seguridad
 Control interno operativo
 Eficiencia y eficacia
 Tecnología informática
 Continuidad de operaciones
 Gestión de riesgos

No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones


e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.

La función de auditoría en informática en un nivel organizacional que le asegure la


independencia y soporte requerido de la alta dirección, a fin de contar con una entidad
confiable y eficiente. La falta de una posición organizacional adecuada a las
características específicas que la rodean, puede convertirla en foco de frustración e
incertidumbre con el paso del tiempo. El control y la seguridad no pueden establecerse
ni supervisarse desde los niveles inferiores de una empresa; su posición debe ser
estratégica o por perfiles especiales del negocio, táctico. Nunca se ejercerán desde un
nivel operativo; la alternativa es que los haga personal profesional externo.