Ester Chicano Tejada - Auditoría de seguridad informática. IFCT0109

1 Los hallazgos de auditoría deben tener cierta importancia que les dé la suficiente relevancia para que merezcan ser comunicados a la organización en el informe de auditoría.

2 Los hallazgos deben estar basados en hechos y evidencias concretos que figuren en los papeles de trabajo y que les permitan ser identificados con facilidad.

3 Los hallazgos deben haber sido detectados con criterios de objetividad, equidad y realidad para otorgarles independencia del criterio del auditor.

4 Los hallazgos deben ser lo suficientemente convincentes para que sean comprensibles y coherentes para otras personas que no hayan participado en el proceso de auditoría.

5 Además, los hallazgos deben estar basados en una labor y trabajo profundos y extensos que respalden las conclusiones y recomendaciones formuladas a partir de estos.

En resumen, los requisitos de los hallazgos de auditoría se mencionan en el gráfico siguiente.

Como se puede comprobar, estos requisitos son subjetivos y están sujetos a interpretaciones. Los términos de “importancia”, “precisión”, “convincentes”, etc., de estos requisitos son de difícil definición concreta y requerirán de justificaciones lo suficientemente firmes para que los hallazgos obtenidos sean firmes y confiables y no lleven a conclusiones erróneas.

Una vez detectado el hallazgo, el auditor deberá desarrollarlo de modo que se obtengan todos los aspectos importantes del problema. Esta fase de desarrollo estará formada por las siguientes tareas o pasos:

1 Identificación de la condición o asuntos deficientes o debilidades del sistema de información según los criterios aceptables definidos.

2 Identificación de los responsables respecto a las operaciones implicadas en el hallazgo.

3 Verificación de la causa o causas de la deficiencia detectada.

4 Determinación de si la deficiencia es un caso aislado o una condición generalizada y difundida.

5 Determinación de la relevancia y consecuencias de la deficiencia.

6 Entrevista con los interesados que puedan estar afectados con el hallazgo para obtener datos adicionales.

7 Determinación de las conclusiones de auditoría obtenidas por el análisis de la evidencia a raíz del hallazgo.

8 Definición de las acciones correctivas y/o recomendaciones que subsanen la deficiencia detectada.

Actividades

5. Después de haber visto con detalle los hallazgos negativos, ¿qué hallazgos positivos se podrían detectar en una auditoría?

Aplicación práctica

En pleno proceso de auditoría informática, las herramientas de auditoría han detectado una serie de debilidades que podrían clasificarse como hallazgos. No obstante, la importancia de estas es bastante banal y, además, el trabajo realizado para detectarlas no facilita suficiente información como para respaldar las posibles conclusiones que puedan obtenerse.

¿Estas debilidades podrían considerarse hallazgos? ¿Cumplen con todos los requisitos?

SOLUCIÓN

Las debilidades detectadas no pueden considerarse hallazgos al no cumplir con los requisitos básicos que les den garantía y confiabilidad.

Por un lado, se incumple el requisito de importancia relativa, al no ser las debilidades detectadas lo suficientemente relevantes como para ser comunicadas a los responsables.

Por el otro lado, también se incumple el requisito de estar basadas en un trabajo suficiente, al no haber podido obtener suficiente información como para respaldar los hallazgos y darles fiabilidad.

Los hallazgos son una serie de hechos que han sido detectados con el análisis y la evaluación de los documentos, procesos, actividades, entrevistas, etc., de todas las partes que integran el sistema de información auditado.

En términos de auditoría, se consideran desviaciones los incumplimientos de los requisitos de acreditación detectados por la observación de los hallazgos detectados en la auditoría.

Los hallazgos de auditoría que manifiestan debilidades del sistema auditado se pueden clasificar en:

1 Oportunidades de mejora: no son fallos detectados en sí, son recomendaciones del auditor para mejorar la eficiencia y eficacia del sistema de información auditado.

2 Observaciones: aspectos de requisitos que podrían mejorarse, pero que no requieren una actuación inmediata.

3 No conformidades: se detectan no conformidades cuando se encuentra algún incumplimiento de un requisito definido en la auditoría. Requieren una actuación inmediata en cuanto son detectadas.

La clasificación de los hallazgos en no conformidades, observaciones u oportunidades de mejora deberá realizarse teniendo en cuenta una serie de criterios comunes:

1 Un hallazgo se clasificará como no conformidad cuando:Se trate de fallos generales del sistema.Se detecte la ausencia de algún elemento importante para el sistema de información.Se detecte un conjunto de varias observaciones que, vistas de un modo aislado, no son importantes, pero que en su detección global pueden desembocar en fallos más relevantes.

2 Se considerarán observaciones aquellos hallazgos en que:Se detecten fallos ocasionales, aislados, que no se produzcan con periodicidad.Se detecten fallos cuya resolución sea fácil o rápida.Se detecten incumplimientos parciales de los requisitos definidos en la auditoría.

3 Serán oportunidades de mejora:Las recomendaciones del auditor que, en caso de no aplicarlas, no provoquen debilidades o fallos en el sistema.Las recomendaciones que estén basadas en el juicio y la experiencia del auditor.

La clasificación de los hallazgos no es un proceso exacto; siempre está la posibilidad de no tener clara su categorización debido a la falta de información suficiente para conocer la gravedad exacta de la debilidad detectada.

Nota

Cuando debe tomarse la decisión sobre la clasificación de un hallazgo como no conformidad u observación, siempre es recomendable ser prudente y clasificarla como no conformidad para darle prioridad a su análisis y corrección.

La dificultad de aplicar un criterio exacto para clasificar los hallazgos hace necesario que el auditor emita juicios lo más objetivos posibles basados en sus experiencias anteriores que le permitan respaldar sus decisiones de categorización y de otorgamiento de prioridades.

Actividades

6. Ante la duda de clasificar un hallazgo entre no conformidad, observación o recomendación, ¿por qué se recomienda clasificarlo como no conformidad? Justifique su respuesta.