Consulting Cloud

Auditoría de Sistemas de TI

El proceso de la auditoría

El proceso de auditoria es una de las etapas más importantes en la implantación y mantenimiento de los sistemas de gestión, porque se determina el nivel de implementación y que el mantenimiento se esté desarrollando adecuadamente. Razón por la que debe existir preparación de todos los puntos y etapas que permitan desarrollarla correctamente.

Etapas

  • Se debe tener en cuenta el grado de interacción entre auditor y auditado (la auditoria puede llevarse a cabo con interacción o sin interacción).
  • Conocer sobre la ubicación(es) en donde se desarrollará la auditoria (en las instalaciones y/o remota).
  • Gestionar el tiempo, teniendo en cuenta los objetivos establecidos para tener éxito en la misma.
  • Preparar todo lo referente a los documentos de trabajo que se van a necesitar, lo que se va a auditar, tener en cuenta las preguntas que se van a desarrollar.
  • Seleccionar adecuadamente las fuentes de información (alcance y complejidad).
  • Realizar visitas a las instalaciones del auditado.

Reunión inicial

  • Contar con el personal de la empresa, y responsables de los procesos que se van a auditar.
  • Informar al auditado sobre los alcances de los procesos, objetivos y planes.
  • Generar confianza y presentar al equipo auditor, establecer horarios y las actividades que se van a realizar según el plan, al finalizar la reunión realizar una visita a las instalaciones para tener acercamiento a procesos, personas, etc.

Ejecución de la auditoría

  • Se inicia la recopilación y verificación de la información por medio de muestreo y debe ser verificada para ser aceptada como evidencia de la auditoria, si esta conduce a un hallazgo debe ser registrada.
  • La evidencia después de ser evaluada determina el hallazgo, estos pueden indicar conformidad o no conformidad con los criterios de la auditoria, si existen puntos sin resolver deben ser registrados.
  • El equipo auditor debe reunirse con frecuencia necesaria para revisar los hallazgos durante la auditoria.
  • Al determinar los hallazgos de auditoria se debe considerar: seguimiento de registros, conclusiones de otras auditorias, requisitos del cliente de la auditoria, hallazgos y oportunidades de mejora, tamaño de muestra.
  • Al registra las conformidades se debe tener en cuenta: criterios de auditoría, evidencia para soportar la conformidad.
  • Al registrar las NO conformidades se debe tener en cuenta: descripción o referencia de criterios de auditoría, declaración de no conformidad, evidencia de auditoría, hallazgos de auditoria relacionados.
  • Finalmente, se prepara las conclusiones de la auditoria por medio de revisión de los hallazgos e información recolectada, llegar a un acuerdo en las conclusiones y preparar recomendaciones.

Reunión de cierre

Esta reunión es coordinada por el auditor para presentar los hallazgos y conclusiones de la auditoria, se debe encontrar el personal de la organización, y los responsables de los procesos auditados, en esta parte se debe prevenir al auditado con anterioridad de los hallazgos encontrados para no tomarlo por sorpresa.

Se debe determinar el tiempo para que el auditado presente un plan de acción de acuerdo a los hallazgos encontrados, esta reunión puede ser formal o informal, de igual forma si dentro de los objetivos de auditoria se encuentra especificado se deben presentar las recomendaciones de mejora.

El auditor reportará los resultados de acuerdo con los procedimientos del programa de auditora, este reporte debe ser claro y conciso y hacer referencia a:

Este reporte debe ser entregado en un tiempo acordado, debe ser fechado, revisado y aprobado, de acuerdo a los procedimientos del programa de auditoría y distribuido a los receptores designados.

Por último, para llegar a la finalización de la auditoria, el cual se determina porque todas las actividades planeadas se han llevado a cabo, los documentos deberán conservarse o destruirse de común acuerdo entre las partes (confidencialidad). Luego de esto, se determinará el seguimiento a la auditoría dependiendo de los objetivos, conclusiones, las acciones correctivas, preventivas o de mejora.