La auditoría informática se rige por estándares y mejores prácticas que regulan la forma en que esta actividad se lleva a cabo en el ámbito de los sistemas de información.

Normas Aplicables

Entre las principales normas aplicables destacan:

COBIT

Es un marco de referencia integral para la gobernanza y gestión empresarial de las tecnologías de la información. Proporciona un modelo con 5 principios y 7 enfoques facilitadores para ayudar a las empresas a maximizar el valor que obtienen de TI y minimizar los riesgos asociados.

Define un conjunto de procesos de TI agrupados en 4 dominios: Alinear, planificar y organizar; Construir, adquirir e implementar; Entregar, dar servicio y dar soporte; Monitorear, evaluar y valorar. Para cada proceso establece objetivos de control y métricas asociadas.

ISO 27001

Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI) en el contexto de la organización. Incluye requisitos para la evaluación y tratamiento de riesgos de seguridad de la información adaptados a las necesidades de cada organización.

Se enfoca en la confidencialidad, integridad y disponibilidad de los activos informáticos a través de un enfoque de riesgos. Es aplicable tanto a información no digital como digital y promueve un enfoque proactivo para gestionar la seguridad.

Estándares del IIA

El Instituto de Auditores Internos (IIA) es una asociación profesional internacional que serve como voz global de la profesión de auditoría interna y emite las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (las Normas).

Entre las Normas existen lineamientos específicos sobre el desempeño de auditorías de sistemas de información, como planificación, supervisión, gestión de riesgos, entre otros. Complementan marcos como COBIT e ISO.

Procedimientos

En cuanto a procedimientos, la auditoría informática aplica una metodología sistemática:

• Planificación: Definición de alcance, recursos requeridos, cronograma de trabajo y análisis de riesgos.
• Revisión de controles: Evaluación y documentación de controles existentes en los sistemas de información.
• Pruebas y análisis: Ejecución de pruebas para obtener evidencia sobre el estado de los sistemas y validar controles.
• Informe: Documentación de hallazgos, debilidades detectadas y sugerencias o planes de remediación. La auditoría informática se rige por estándares y mejores prácticas que regulan la forma en que esta actividad se lleva a cabo en el ámbito de los sistemas de información.

Referencias:

• Weber, R. (1999). Information systems control and audit. Prentice Hall PTR.
• ISACA. (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA.