AUDITORIA EN SISTEMAS DE INFORMACIÓN
AUDITORIA EN SISTEMAS DE INFORMACIÓN
Los principales objetivos
que constituyen a la auditoria informática son el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos que
comporta, la verificación del cumplimiento de la Normativa general de la
empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales
y humanos informáticos.
El auditor informático ha de
velar por la correcta utilización de los amplios recursos que la empresa pone
en juego para disponer de un eficiente y eficaz Sistema de Información. Claro
está, que para la realización de una auditoria informática eficaz, se debe
entender a la empresa en su más amplio sentido,
ya que una Universidad, un Ministerio o un Hospital son tan empresas como una
Sociedad Anónima o empresa Pública.
Todos utilizan la informática para
gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios
económicos y de costes.
Por eso, al igual que los
demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas,
Sueldos, etc). Los Sistemas Informáticos están sometidos al control
correspondiente, o al menos debería estarlo. La importancia de llevar un
control de esta herramienta se puede deducir de varios aspectos. He aquí
algunos:
-
Las
computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para la delincuencia y el
terrorismo. En este caso interviene la Auditoria Informática de Seguridad.
-
Las
computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son,
a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas
empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de
entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este caso interviene
la Auditoria Informática de Datos.
-
Un
Sistema Informático mal diseñado puede convertirse en una herramienta peligrosa para la empresa: como las máquinas
obedecen ciegamente a las órdenes recibidas y la modelización de la empresa
está determinada por las computadoras
que materializan los Sistemas de Información, la gestión y la
organización de la empresa no puede depender de un Software y Hardware mal
diseñados.
Estos son solo algunos de
los varios inconvenientes que pueden presentar un Sistema Informático, por eso,
la necesidad de la Auditoria de Sistemas.
Además del chequeo de los
Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos
cuestionarios, llamados Check List, son guardados celosamente por las empresas
auditoras , ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al
pie de la letra, ya que si son mal aplicadas
y mal recitadas se pueden llegar a obtener resultados distintos a los
esperados por la empresa auditora. La Check List puede llegar a explicar cómo
ocurren los hechos pero no por qué ocurren. El cuestionario
debe estar subordinado a la
regla , realizan actividades teóricamente inadecuadas o se omiten otras
correctas.
El auditor sólo puede emitir
un juicio global o parcial basado en hechos y situaciones incontrovertibles,
careciendo de poder para modificar la situación analizada por él mismo.
Auditoria Interna y
Auditoria Externa:
La auditoría informática
interna cuenta con algunas ventajas adicionales muy importantes respecto de la
auditoria externa, las cuales no son tan perceptibles, como en las auditorias
convencionales. La auditoría interna tiene la ventaja de que puede actuar
periódicamente realizando . Revisiones globales, como parte de su Plan
Anual y de su actividad normal. Los
auditados conocen estos planes y se habitúan a las Auditorías, especialmente
cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los
responsables de informática escuchan, orientan e informan sobre las
posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin
voto, Informática trata de satisfacer los más adecuadamente posible aquellas
necesidades. La empresa necesita controlar su Informática y ésta necesita que
su propia gestión esté sometida a los mismos Procedimientos y estándares que el
resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del
auditor interno informático.
En cuanto a empresas se
refiere, solamente las más grandes pueden poseer una Auditoria propia y
permanente, mientras que el resto acuden a las auditorias externas. Puede ser
que algún profesional informático sea trasladado desde su puesto de trabajo a
la Auditoria Interna de la empresa cuando ésta existe. Finalmente, la propia
Informática requiere de su propio grupo de Control Interno, con implantación
física en su estructura, puesto que si se ubicase dentro de la estructura
informática ya no sería independiente. Hoy ya existen varias organizaciones informáticas
dentro de la misma empresa, y con diverso grado de autonomía, que son
coordinadas por órganos corporativos de Sistemas de Información de las
Empresas.
La auditoría informática,
tanto externa como interna, debe ser una actividad exenta de cualquier
contenido o matiz “político” ajeno a la propia estrategia y política general de
la empresa. La función auditora puede actuar de oficio, por iniciativa del
propio órgano, o a instancias de parte, esto es, por encargo de la dirección o
cliente.
ALCANCE DE LA AUDITORIA
INFORMÁTICA
El alcance ha de definir con
precisión el entorno y los límites en que va a desarrollarse la auditoria
informática, se complementa con los objetivos de ésta. El alcance ha de figurar
expresamente en el Informe Final, de modo que quede perfectamente determinado
no solamente hasta que puntos se ha llegado, sino cuales materiales fronterizas
han sido omitidas. Ejemplo: ¿Se cometerán los registros grabados a un control
de integridad exhaustivo? ¿Se comprobará
que los controles de validación de
errores son adecuados y suficientes? La indefinición de los alcances de la auditoria compromete el
éxito de la misma.
Control de integridad
de registros
Hay Aplicaciones que
comparten registros, son registros
comunes. Si una Aplicación no tiene integrado un registro común, cuando lo
necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría
como debería.
Control de validación
de errores
Se corrobora que el sistema
que se aplica para detectar y corregir errores sea eficiente.
Características de la
Auditoria Informática
La información de la empresa
y para la empresa, siempre importante, se ha convertido en un activo Real de la
misma, como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa de Auditoría de
inversión informática.
Del mismo modo, los Sistemas
Informáticos han de protegerse de modo global y particular: a ello se debe la
existencia de la Auditoría de Seguridad Informática en general, o a la
auditoria de Seguridad de alguna de sus áreas, como pudiera ser Desarrollo o
Técnica de Sistemas.
Cuando se producen cambios
estructurales en la Informática, se reorganiza de alguna forma su función: se:
se está en el campo de la Auditoria de Organización Informática.
Estos tres tipos de auditorías
engloban a las actividades auditoras que se realizan en una auditoria parcial.
De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo
existen, además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna, mezcla de ellas.
Auditoria
de Sistemas es:
-
La verificación de controles en el procesamiento
de la información, desarrollo de sistemas e instalación con el objetivo de
evaluar su efectividad y presentar recomendaciones a la Gerencia .
-
La
actividad dirigida a verificar a juzgar información.
-
El
examen y evaluación de los procesos del Área de Procesamiento automático de
Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para
llegar a establecer el grado de eficiencia, efectividad y economía de los
sistemas computarizados en una empresa y presentar conclusiones y
recomendaciones encaminadas a corregir
las deficiencias existentes y mejorarlas.
-
El
proceso de recolección y evaluación de evidencia para determinar si un sistema
automatizado:
Con el fin de emitir
una opinión profesional (imparcial) con respecto a:
- Eficiencia en el uso de los recursos informáticos
- Validez de la información
- Efectividad de los controles establecidos
“ La auditoría Informática tiene como objeto
de estudio el área de sistemas computarizados y tiene como objetivo,
emitir una opinión independiente sobre la validez técnica del sistema de control
interno informativo y sobre el grado de confiabilidad de la información
generosa por el sistema auditado”
“ Es la revisión y evaluación de los
controles, sistemas procedimientos de
informática; de los equipos de cómputo, su utilización, eficiencia y seguridad
, de la organización que participan en el procesamiento de la información, a
fin de que por medio de señalamiento de cursos alternativo se logre una utilización más eficiente y
segura de la información y servirá para una adecuada toma de decisiones”.
“La Auditoria informativa es
de rama de la ciencia económica que tiene por objeto la revisión, comprobación,
examen, estudio y análisis de las informaciones procesadas por las computadoras,
empleando técnicos, métodos y artes apropiadas, con la finalidad de exponer los
hechos y situaciones económicas
financieras y de evaluación el
Estado General de la gestión de
dichas entidades.
La Auditoria de Sistemas no
solo busca detectar errores o problemas en las informaciones procesadas en los
sistemas informáticas , sino además, mejorar el diseño de dichas aplicaciones, aumentar la eficiencia
de la dirección que utiliza las mencionadas informaciones, y garantizar la
seguridad y protección de los datos
almacenados y de todos los
recursos informativos.
Ello implica que el auditor debe unir a los conocimientos
tradicionales sobre las actividades contables, un conjunto de conocimientos y
habilidades mucho más amplio sobre técnicas de computación, análisis y diseño
de sistemas y gestión.
FUNCIONES
DE LA AUDITORIA DE SISTEMAS.- La Auditoria de Sistemas debe realizar las
siguientes funciones básicas:
a) Revisar la
organización administrativa, realizar la evaluación administrativa del
departamento de procesos electrónicos: Auditoria
de la Administración de Sistemas.
b) Revisar los sistemas
informativos en explotación y en diseño, y realizar la evaluación de los
sistemas y procedimientos , y de la eficiencia que se tiene en el uso de la
información. Auditoria de los Sistemas
Informativos en Explotación.
c) Revisar la actividad
que realizan las áreas de procesamiento de datos, para realizar la evaluación
del proceso de datos; Auditoría a las
áreas de procesos de Datos.
d) Analizar los sistemas
informáticos que están en procesos de diseño, para garantizar su corrección y posterior
auditabilidad: Auditoria al diseño de
sistemas informáticos.
Para lograr los objetivos de esas
funciones se necesita.
a.-
Esto comprende la evaluación de:
-
Los
objetivos de departamento, dirección o gerencia
-
Metas,
planes políticos y procedimientos de procesos electrónicos estandar
-
Organización
del área y su estructura orgánica
-
Funciones
y niveles de autoridad y responsabilidad del área de procesos electrónicos.
-
Integración
de los recursos materiales y técnicos
-
Dirección
-
Costos
y Controles presupuestados
-
Contratos
administrativos del área de procesos electrónicos.
b.-
-
Evaluación del análisis de los sistemas y sus diferentes
etapas.
-
Evaluación
del diseño lógico del sistema
-
Evaluación
del desarrollo físico del sistema
-
Control
de Proyectos
-
Control
de Sistemas y programación
-
Instructivos
y documentación
-
Formas
de implantación.
-
Seguridad
física y lógica de los sistemas
-
Controles
de mantenimiento y formas de respaldo de los sistemas.
-
Utilización
de los sistemas.
c.-
-
Controles
de los datos fuente y manejo de cifras de control
-
Control
de operación
-
Control
de salida.
-
Control
de asignación de trabajo.
-
Control
de medios de almacenamiento masivos
-
Control
de otros elementos de computo.
-
Orden
en el centro de computo
-
Seguridad
física y lógica
-
Confidencialidad
-
Respaldos.
d.-
-
Estudio
de factibilidad Técnico – económico.
-
Concepción
preliminar del nuevo sistema
-
Diseño
del nuevo sistema
-
Desarrollo
del sistema
-
Implantación
-
Mantenimiento
TIPOS Y CLASES DE AUDITORIAS
El
departamento de Informática posee una actividad proyectada al exterior, al
usuario, aunque el “exterior” siga siendo la misma empresa. He aquí, La
Auditoria Informática de Usuario. Se hace esta distinción para contraponerla a
la informática interna, en donde se hace la informática cotidiana y real. En
consecuencia existe una Auditoria Informática de Actividades Internas.
El
control del funcionamiento del departamento de informática con el exterior, con
el usuario se realiza por medio de la Dirección. Su figura es importante, en
tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una
Informática eficiente y eficaz requiere el apoyo continuado de su Dirección
frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la
Auditoria Informática de Dirección. Estas tres auditorias, mas la auditoria de
Seguridad, son las cuatro áreas Generales de la Auditoria Informática más
importantes .
Cada
Área Especifica puede ser auditada desde los siguientes criterios generales.
- Desde su propio funcionamiento interno.
- Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.
- Desde la perspectiva de los usuarios, destinatarios reales de la informática.
- Desde el punto de vista de la seguridad que ofrece la informática en general o la rama auditada.
Estas
combinaciones pueden ser ampliadas y reducidas según las características de la
empresa auditada.
Objetivo
fundamental de la auditoria informática:
La
operatividad es una función de mínimos consistente en que la organización y las
máquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria
informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe
iniciar su actividad cuando los Sistemas
están operativos, es el principal objetivo el de mantener tal situación.
Tal objetivo debe conseguirse tanto a nivel global como parcial.
Comentarios
Publicar un comentario