AUDITORIA EN SISTEMAS DE INFORMACIÓN



AUDITORIA EN SISTEMAS DE INFORMACIÓN

Los principales objetivos que constituyen a la auditoria informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio  sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima  o empresa Pública. Todos utilizan la informática  para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.



Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc). Los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:

-          Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

-          Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.

-          Un Sistema Informático mal diseñado puede convertirse en una herramienta  peligrosa para la empresa: como las máquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras  que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que pueden presentar un Sistema Informático, por eso, la necesidad de la Auditoria de Sistemas.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras , ya que son activos importantes de su actividad. Las Check List  tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas  y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario


debe estar subordinado a la regla , realizan actividades teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.




Auditoria Interna y Auditoria Externa:
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoria externa, las cuales no son tan perceptibles, como en las auditorias convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando . Revisiones globales, como parte de su Plan Anual  y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer los más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoria propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoria Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura informática ya no sería independiente. Hoy ya existen varias organizaciones informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.
La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

ALCANCE DE LA AUDITORIA INFORMÁTICA
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materiales fronterizas han sido omitidas. Ejemplo: ¿Se cometerán los registros grabados a un control de integridad exhaustivo?  ¿Se comprobará que  los controles de validación de errores son adecuados y suficientes? La indefinición  de los alcances de la auditoria compromete el éxito de la misma.
Control de integridad de registros
Hay Aplicaciones que comparten  registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
Control de validación de errores
Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.
Características de la Auditoria Informática
La información de la empresa y para la empresa, siempre importante, se ha convertido en un activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa de Auditoría de inversión informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudiera ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se: se está en el campo de la Auditoria de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna, mezcla de ellas.



Auditoria de Sistemas es:
-          La  verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia .
-          La actividad dirigida a verificar a juzgar información.
-          El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones  encaminadas a corregir las deficiencias existentes y mejorarlas.
-          El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:
 
Con el fin de emitir una opinión profesional (imparcial) con respecto a:

  • Eficiencia en el uso de los recursos informáticos
  • Validez de la información
  • Efectividad de los controles establecidos

 “ La auditoría Informática tiene como objeto de estudio el área de sistemas computarizados y tiene como objetivo, emitir  una opinión independiente sobre  la validez técnica del sistema de control interno informativo y sobre el grado de confiabilidad de la información generosa por el sistema  auditado”
 “ Es la revisión y evaluación de los controles, sistemas  procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad , de la organización que participan en el procesamiento de la información, a fin de que por medio de señalamiento de cursos alternativo  se logre una utilización más eficiente y segura de la información y servirá para una adecuada  toma de decisiones”.
“La Auditoria informativa es de rama de la ciencia económica que tiene por objeto la revisión, comprobación, examen, estudio y análisis de las informaciones procesadas por las computadoras, empleando técnicos, métodos y artes apropiadas, con la finalidad de exponer los hechos y situaciones económicas  financieras y de evaluación el  Estado General  de la gestión de dichas entidades.
La Auditoria de Sistemas no solo busca detectar errores o problemas en las informaciones procesadas en los sistemas informáticas , sino además, mejorar el diseño de  dichas aplicaciones, aumentar la eficiencia de la dirección que utiliza las mencionadas informaciones, y garantizar la seguridad y protección de los datos  almacenados y de todos los  recursos informativos.
Ello implica  que el auditor debe unir a los conocimientos tradicionales sobre las actividades contables, un conjunto de conocimientos y habilidades mucho más amplio sobre técnicas de computación, análisis y diseño de sistemas y gestión.

FUNCIONES DE LA AUDITORIA DE SISTEMAS.- La Auditoria de Sistemas debe realizar las siguientes funciones básicas:
a)    Revisar la organización administrativa, realizar la evaluación administrativa del departamento de procesos electrónicos: Auditoria de la Administración de Sistemas.
b)    Revisar los sistemas informativos en explotación y en diseño, y realizar la evaluación de los sistemas y procedimientos , y de la eficiencia que se tiene en el uso de la información. Auditoria de los Sistemas Informativos en Explotación.
c)    Revisar la actividad que realizan las áreas de procesamiento de datos, para realizar la evaluación del proceso de datos; Auditoría a las áreas de procesos de Datos.
d)    Analizar los sistemas informáticos que están en procesos de diseño, para garantizar su corrección y posterior auditabilidad: Auditoria al diseño de sistemas informáticos.

Para lograr los objetivos de esas funciones se necesita.
a.- Esto comprende la evaluación de:
-          Los objetivos de departamento, dirección o gerencia
-          Metas, planes políticos y procedimientos de procesos electrónicos estandar
-          Organización del área y su estructura orgánica
-          Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos.
-          Integración de los recursos materiales y técnicos
-          Dirección
-          Costos y Controles presupuestados
-          Contratos administrativos del área de procesos electrónicos.

b.-
-          Evaluación  del análisis de los sistemas y sus diferentes etapas.
-          Evaluación del diseño lógico del sistema
-          Evaluación del desarrollo físico del sistema
-          Control de Proyectos
-          Control de Sistemas y programación
-          Instructivos y documentación
-          Formas de implantación.
-          Seguridad física y lógica de los sistemas
-          Controles de mantenimiento y formas de respaldo de los sistemas.
-          Utilización de los sistemas.

c.-
-          Controles de los datos fuente y manejo de cifras de control
-          Control de operación
-          Control de salida.
-          Control de asignación de trabajo.
-          Control de medios de almacenamiento masivos
-          Control de otros elementos de computo.
-          Orden en el centro de computo
-          Seguridad física y lógica
-          Confidencialidad
-          Respaldos.

d.-
-          Estudio de factibilidad Técnico – económico.
-          Concepción preliminar del nuevo sistema
-          Diseño del nuevo sistema
-          Desarrollo del sistema
-          Implantación
-          Mantenimiento

TIPOS  Y CLASES DE AUDITORIAS
El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque el “exterior” siga siendo la misma empresa. He aquí, La Auditoria Informática de Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia existe una Auditoria Informática de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una Informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la Auditoria Informática de Dirección. Estas tres auditorias, mas la auditoria de Seguridad, son las cuatro áreas Generales de la Auditoria Informática más importantes .
Cada Área Especifica puede ser auditada desde los siguientes criterios generales.
  • Desde su propio funcionamiento interno.
  • Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.
  • Desde la perspectiva de los usuarios, destinatarios reales de la informática.
  • Desde el punto de vista de la seguridad que ofrece la informática en general o la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

Objetivo fundamental de la auditoria informática:
La operatividad es una función de mínimos consistente en que la organización y las máquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su actividad cuando los Sistemas  están operativos, es el principal objetivo el de mantener tal situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.




Comentarios

Publicar un comentario

Entradas populares de este blog

ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA

Imagen
ESTÁNDARES INTERNACIONALES DE AUDITORIA INFORMATICA Normas de control interno COSO         Algunos grupos de interés de países como: Canadá, Estados Unidos, Reino Unido, Francia, Nueva Zelanda entre otros integraron la (Comisión Treadway), quienes   realizaron muchos esfuerzos para definir formalmente el Modelo de Control Interno COSO,   que contiene objetivos y elementos del control interno, así mismo establecieron los roles de todos los interesados incluyendo la Junta Directiva, los directivos, los jefes de mandos medios, los supervisores y empleados. Descripción de la metodología La presente metodología está estructurada en tres secciones principales: a)     La organización del proyecto b)     Las fases para el desarrollo de sistemas de información c)     La evolución de los sistemas de información En la primera de estas secciones se hace referencia a las funciones y responsabilidades de cada uno de los involucrados en el desarrollo del proy
Leer más

SOFTWARE DE AUDITORIA

Imagen
SOFTWARE DE AUDITORIA El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo. Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería. El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtene
Leer más

INFORME COSO

Imagen
INFORME COSO Es un sistema que permite implementar el control interno en cualquier tipo de entidad u organización. Sus siglas se refieren al Comité De Organizaciones Patrocinadoras De La Comisión De Normas. (Committee of Sponsoring Organizations of The Treadway Commission), quienes evaluaron y llegaron a la conclusión que la ausencia de orden en los procesos de una entidad, representa una diversidad de riesgos, por lo tanto, es necesario evaluarlos y darles una respuesta inmediata para evitar los posibles fraudes o errores que pudieren surgir. La evolución a lo largo de la historia de la estructura del Sistema COSO ha sido efectiva a partir del año 1992, en cuyo año se denominó Marco del Control Interno (COSO I), para el año 2004 se da a conocer la mejora en el Sistema de COSO I con el Marco Integral de Riesgos (COSO II ERM), y para el año 2006 se da a conocer el Sistema de COSO III para pequeñas y medianas empresas. Para facilitar a las empresas a evaluar y mejorar
Leer más