La Auditoria de Información es un proceso
sistemático de determinación de la
información que una organización necesita para
satisfacer sus objetivos, y así funcionar correctamente.
Su objetivo es asegurar que la información que
circulará por el sistema sea la más apropiada para
la organización. Mediante la Auditoria de la
Información se pretende que la organización
solamente reciba aquella información que sea relevante
para sus intereses, reduciendo de esta manera el silencio (no
obtención de información relevante) y el ruido
(obtención de información no relevante) y los
requerimientos de información de la organización (o
sea, de la información que precisa para poder funcionar
correctamente).
Uno de los pasos previos que se debe tener presente antes de
realizar una auditoría de la información consiste
en el conocimiento de los objetivos y las prioridades de la
organización, la estructura que ésta posee, los
estilos de gestión que se llevan a cabo y las relaciones
con el entorno.
Cuando la auditoría se produce desde el exterior de la
organización, es fundamental que su labor venga respaldada
por la dirección de la organización. Sin este
apoyo, cualquier medida fracasará irremediablemente. El
principal problema es que la información tiende a ser
acaparada por los miembros de la organización como si se
tratase de un recurso a atesorar.
Ante esto, se deben diseñar políticas de
intercambio informativo de manera que el hecho de facilitar la
circulación de la información se vea compensada de
alguna forma.
Con la auditoría debe identificarse el uso, los
recursos y el flujo de la información. Para esto,
deberemos conocer cuáles son los recursos informativos de
los que la organización dispone, qué uso se hace de
ellos y los resultados que se obtienen, de qué
equipamiento se dispone y quién lo tiene, el costo, el
valor que aporta a la organización y qué tipo de
personal desempeña estas funciones.
Además, es fundamental que los miembros del despacho
estén informados de todo lo que están haciendo para
que así puedan colaborar al máximo.
SIMILITUDES Y
DIFERENCIAS CON LA AUDITORÍA TRADICIONAL
Similitudes:
No se requieren nuevas normas de auditoría, son las
mismas.Los elementos básicos de un buen sistema de control
contable interno siguen siendo los mismos; por ejemplo, la
adecuada segregación de funciones.Los propósitos principales del estudio y la
evaluación del control contable interno son la
obtención de evidencia para respaldar una
opinión y determinar la base, oportunidad y
extensión de las pruebas futuras de
auditoría.
Diferencias:
Se establecen algunos nuevos procedimientos de
auditoría.Hay diferencias en las técnicas destinadas a
mantener un adecuado control interno contable.Hay alguna diferencia en la manera de estudiar y evaluar
el control interno contable. Una diferencia significativa es
que en algunos procesos se usan programas.El énfasis en la evaluación de los sistemas
manuales esta en la evaluación de transacciones,
mientras que el énfasis en los sistemas
informáticos, está en la evaluación del
control interno.
OBJETIVOS GENERALES
DE UNA AUDITORÍA DE INFORMACIÓN
Buscar una mejor relación costo-beneficio de los
sistemas automáticos o computarizados diseñados
e implantados por el PADIncrementar la satisfacción de los usuarios de los
sistemas computarizadosAsegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la
recomendación de seguridades y controles.Conocer la situación actual del área
informática y las actividades y esfuerzos necesarios
para lograr los objetivos propuestos.Seguridad de personal, datos, hardware, software e
instalacionesApoyo de función informática a las metas y
objetivos de la organizaciónSeguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informáticoMinimizar existencias de riesgos en el uso de
Tecnología de informaciónCapacitación y educación sobre controles en
los Sistemas de Información
OBJETIVOS
ESPECÍFICOS DE LA AUDITORIA DE
INFORMACIÓN
1. Participación en el desarrollo de nuevos
sistemas:
Evaluación de controles
Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área
informática.
3. Evaluación de suficiencia en los planes de
contingencia.
Respaldos, proveer qué va a pasar si se presentan
fallas.
4. Opinión de la utilización de los recursos
informáticos.
Resguardo y protección de activos.
5. Control de modificación a las aplicaciones
existentes.
Fraudes
Control a las modificaciones de los programas.
6. Participación en la negociación de contratos
con los proveedores.
7. Revisión de la utilización del sistema
operativo y los programas
Utilitarios.
Control sobre la utilización de los sistemas
operativosProgramas utilitarios.
8. Auditoría de la base de datos.
Estructura sobre la cual se desarrollan las
aplicaciones…
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien
implementada, desarrollar software capaz de estar ejerciendo un
control continuo de las operaciones del área de
procesamiento de datos.
RAZONES PARA LA
EXISTENCIA DE LA FUNCION DE AUDITORIA DE INFORMACION
1. La información es un recurso clave en la empresa
para:
Planear el futuro, controlar el presente y evaluar el
pasado.
2. Las operaciones de la empresa dependen cada vez más
de la sistematización.
3. Los riesgos tienden a aumentar, debido a:
4. La sistematización representa un costo significativo
para
la empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican sólo al final.
6. El permanente avance tecnológico.
JUSTIFICATIVOS PARA
EFECTUAR UNA AUDITORÍA DE LA
INFORMACIÓN
Aumento considerable e injustificado del presupuesto del
PAD (Departamento de Procesamiento de Datos)Desconocimiento en el nivel directivo de la
situación informática de la empresaFalta total o parcial de seguridades lógicas y
físicas que garanticen la integridad del personal,
equipos e información.Descubrimiento de fraudes efectuados con el computador
Falta de una planificación informática
Organización que no funciona correctamente, falta
de políticas, objetivos, normas, metodología,
asignación de tareas y adecuada administración
del Recurso HumanoDescontento general de los usuarios por incumplimiento de
plazos y mala calidad de los resultados
REQUERIMIENTOS DEL
AUDITOR
Entendimiento global e integral del negocio, de sus puntos
claves, áreas críticas, entorno
económico, social y político.Entendimiento del efecto de los sistemas en la
organización.Entendimiento de los objetivos de la auditoría.
Conocimiento de los recursos de computación de la
empresa.Conocimiento de los proyectos de sistemas.
CONTROL PARA LA
AUDITORÍA DE INFORMACIÓN
En una auditoría de información se deben
establecer también los procesos de control y
verificación.
El resultado de estos procesos puede consistir en un informe
o, incluso, un certificado que confirme que todo es correcto o
que incluya recomendaciones de mejora. Hay que tener presente que
el mapa de recursos de información, o mapa documental,
puede constituir uno de los principales resultados del proceso de
la auditoría de información.
En el caso del mapa documental, éste detalla qué
documentos se encuentran dentro de la organización, a
qué tipo de funciones se encuentran vinculados y dan
respuesta, quién tiene la responsabilidad y el acceso a
esos documentos, en qué soporte están disponibles,
dónde y cómo se encuentran accesibles y qué
relación o nivel de integración tienen con el resto
de los sistemas de información de la organización.
También se establece la localización de todos los
documentos dentro de los estándares y los procedimientos
de la organización, así como su valor para el
conocimiento corporativo.
CLASIFICACIÓN
GENERAL DE LOS CONTROLES
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las
instalaciones
Sistemas de claves de acceso.
Controles detectivos
Son aquellos que no evitan que ocurran las causas
del riesgo sino que los detecta luego de ocurridos. Son los
más importantes para el auditor. En cierta forma sirven
para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de
auditoría
Procedimientos de validación
Controles Correctivos
Ayudan a la investigación y corrección de las
causas del riesgo. La corrección adecuada puede resultar
difícil e ineficiente, siendo necesaria la
implantación de controles detectivos sobre los controles
correctivos, debido a que la corrección de errores es en
si una actividad altamente propensa a errores.
Principales Controles físicos y
lógicos
Controles particulares tanto en la parte física como en
la lógica se detallan a continuación
Autenticidad: Permiten verificar la identidad
Passwords
Firmas digitales
Exactitud: Aseguran la coherencia de los datos
Validación de campos
Validación de excesos
Totalidad: Evitan la omisión de registros así
como garantizan la conclusión de un proceso de
envió
Conteo de registros
Cifras de control
Redundancia: Evitan la duplicidad de datos
Cancelación de lotes
Verificación de secuencias
Privacidad: Aseguran la protección de los datos
Compactación
Encriptación
Existencia: Aseguran la disponibilidad de los datos
Bitácora de estados
Mantenimiento de activos
Protección de Activos: Destrucción o
corrupción de información o del hardware
Extintores
Passwords
Efectividad: Aseguran el logro de los objetivos
Encuestas de satisfacción
Medición de niveles de servicio
Eficiencia: Aseguran el uso óptimo de los recursos
Programas monitores
Análisis costo-beneficio
Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
Los cambios de las claves de acceso a los programas se deben
realizar periódicamente. Normalmente los usuarios se
acostumbran a conservar la misma clave que le asignaron
inicialmente.
El no cambiar las claves periódicamente aumenta la
posibilidad de que personas no autorizadas conozcan y utilicen
claves de usuarios del sistema de computación.
Por lo tanto se recomienda cambiar claves por lo menos
trimestralmente.
Combinación de alfanuméricos en claves de
acceso
No es conveniente que la clave este compuesta por
códigos de empleados, ya que una persona no autorizada a
través de pruebas simples o de deducciones puede dar con
dicha clave.
Para redefinir claves es necesario considerar los tipos de
claves que existen:
Individuales
Pertenecen a un solo usuario, por tanto es individual y
personal. Esta clave permite al momento de efectuar las
transacciones registrar a los responsables de cualquier
cambio.
Confidenciales
De forma confidencial los usuarios deberán ser
instruidos formalmente respecto al uso de las claves.
No significativas
Las claves no deben corresponder a números secuenciales
ni a nombres o fechas.
Utilizar software de seguridad en los
microcomputadores
El software de seguridad permite restringir el acceso al
microcomputador, de tal modo que solo el personal autorizado
pueda utilizarlo.
Adicionalmente, este software permite reforzar la
segregación de funciones y la confidencialidad de la
información mediante controles para que los usuarios
puedan accesar solo a los programas y datos para los que
están autorizados.
Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK,
entre otros.
METODOLOGÍAS
PARA LA AUDITORÍA DE INFORMACIÓN
Debemos decir que hoy en día no existe una
metodología estándar para realizar una
auditoría de información, sin embargo podemos
desarrollar una serie de actividades y técnicas que nos
pueden ayudar a realizarlas:
Inventario físico
Es el proceso de identificación y categorización
de los recursos de información de una forma
sistemática. De esta forma, se proporciona una
fotografía de lo que la organización posee en
términos de recursos de información en un momento
determinado.
Masificación de la información
Constituye una forma gráfica de representar los
recursos de información que hay en la organización
y las interrelaciones entre éstos. El mapa de recursos
indica hasta qué punto los recursos de información
son básicos, de qué modo se encuentran posicionados
(geográficamente, departamentalmente, desde un punto de
vista técnico), cómo interactúan,
quién los utiliza, quién es el responsable ect.
Análisis de las necesidades de
información
Tiene como finalidad principal determinar qué
información requieren los empleados y la dirección
de la organización para desarrollar sus papeles y alcanzar
los objetivos.
Gráficos de procesos y flujos de trabajo
Los gráficos de procesos junto con los flujos de
trabajo pueden constituir una buena herramienta de trabajo en el
ámbito de las auditorías de la
información.
PAPEL DE LA AUDITORIA
EN LOS CONTROLES DE INFORMACIÓN
El principal papel de la auditoria en el sistema de
información de una entidad cualesquiera es de suma
importancia, a continuación hacemos mención de
algunos de mayor importancia.
Lo que hay que mejorar
Las enormes posibilidades que nos brindan los actuales
sistemas informáticos de acceder a grandes cantidades de
información y de procesar grandes volúmenes de
documentación no han tenido siempre respuesta equivalente
en la productividad de una gran parte de los despachos
profesionales ni tampoco se han traducido en visibles mejoras en
la gestión documental de las organizaciones.
Esto ocurre porque la mayor parte de las veces, las
inversiones en sistemas de información (hardware y
software informático y de comunicaciones) se hacen sin el
necesario análisis previo de las necesidades reales de
información de la asesoría o despacho profesional.
Muy pocos despachos contratan expertos en archivos y
documentación o dedican a profesionales capacitados a la
tarea de identificar:
Necesidades de información de los profesionales o
departamentos clave de la asesoría.Documentación generada por la propia
organización.Los recursos o fuentes de información externa
existentes en el mercado.Flujos o circuitos documentales.
Se constata una tendencia a que las funciones y
responsabilidades que conlleva la gestión documental
se hallen repartidas entre distintas personas o
departamentos, sin que ninguno de ellos asuma la
misión de aprovechar adecuadamente las sinergias que
se producen entre todas y cada una de las funciones
afectadas.
Indicios de problemas
Se ha de iniciar el análisis del problema percibiendo
aquello que tiene un interés más acuciante y que
habitualmente es lo más próximo. Es común
detectar una serie de indicios:
La inexistencia de respuesta a la petición de
documentos durante periodos de tiempo imprecisos (no se
encuentran documentos o cuando se produce la respuesta
ésta llega con excesiva demora).La información que se utiliza no alcanza el nivel
de calidad requerido (se trabaja con documentación
insuficiente, poco fiable o mal presentada).La acumulación de documentación es muy
elevada, tanto en los depósitos de archivo como en las
mesas de trabajo (la documentación se halla
desperdigada por toda la oficina sin que se sepa dónde
encontrarla).Todo el mundo coincide en que la gestión de la
documentación no funciona correctamente y que es
necesario poner remedio a esa situación.
Insuficiencias
Algunos de los problemas de gestión de la
documentación administrativa pueden radicar en:
La tradición administrativa. La gestión de
los documentos administrativos es llevada por distintas
personas y cada una de ellas lo hace a su manera. Es
común que el relevo de un jefe de departamento o del
responsable de un área de negocio provoque cambios
drásticos en el tratamiento de los documentos.La falta de conciencia de que la gestión documental
es una parte más de la gestión administrativa.
Esta carencia acarrea la inconsistencia de los circuitos
documentales, la falta de coordinación entre el
personal que comparte la tramitación de un documento,
cargas de trabajo desiguales, prioridades de trabajo mal
establecidas.Estas insuficiencias se reflejan en la necesidad
particular e inmediata de resolver asuntos apremiantes en
detrimento de una gestión integral de la
documentación que abarque toda la asesoría (en
el día a día me organizo).
TENDENCIAS QUE
AFECTAN A LOS SISTEMAS DE INFORMACIÓN
Al considerar un Sistema de Información como un
conjunto de normas y procesos generales de una determinada, se
deben considerar algunos puntos negativos y positivos que afectan
directamente al sistema así por ejemplo:
Actualizaciones
Se refiere a que los sistemas de información de
cualquier empresa, debe ser revisado periódicamente; no
con una frecuencia continua, si no mas bien espaciada, se
recomienda las revisiones bi – anuales (No se recomienda
que se actualice en una empresa paulatinamente, por ejemplo el
software, cuadros estadísticos, es recomendable dentro de
un año cambiarlo, todo lo que es máquinas y
software; por que si no realizaríamos esto, se
cambiaría toda la estructura organizacional de la
misma).
Reestructuración Organizacional
(Puede ser una reestructuración con los mismos
puestos). Una reestructuración organizacional con
cualquier empresa, implica cambios siempre en vista a buscar un
mejor funcionamiento, evitar la burocracia, agilitar
trámites o procesos, la reestructuración puede ser
de varios tipos, así por ejemplo. Aumentar o disminuir
departamentos, puestos, reestructuración de objetivos,
etc. Siempre la reestructuración afecta a los sistemas de
información de la empresa.
Revisión y Valorización del
escalafón
(No es para bien si no también para mal)
La revisión y la revalorización del
escalafón se espera que afecte a favor de los sistemas de
información de las empresas, si el efecto es contrario el
auditor deberá emitir un informe del empleado a los
empleados (Específicamente de departamentos), que
están boicoteando la información de la empresa.
Cambios en el flujo de Información
(Datos para el sistema de Información)
Se refiere al cambio de flujo de datos exclusivamente en el
área informática, esto afecta directamente en
sistema informático y por tanto al sistema de
información. En lo que respecta a la Auditoría
informática, el efecto puede ser positivo y negativo,
dependiendo a los resultados obtenidos en cuanto al proceso de
datos (menos seguridad, mas seguridad, backup). Así por
ejemplo:
Se ha cambiado el flujo de información en el
área contable, para generar los roles mensuales (De inicio
del rol era realizado por la secretaria, la cual ingresaba las
existencias, fallas, atrasos, etc.; determinando un monto a
descontar. Un monto bruto y un salario final, esto pasaba a la
contadora para que justifique especialmente multas, se
rectificaba en algunos casos, y se mandaba a imprimir el rol. Se
considera un nuevo flujo de información, en el cual se
ingresan los datos a un sistema informático, y de acuerdo
a los parámetros y normas de la empresa el sistema arroja
un sueldo líquido a cobrarse, genera
automáticamente el reporte, los cheques y el contador solo
aprueba este reporte).
(Un ejemplo es cuando existe migración de datos, la
información migra o se cambia a otro sistema más
sofisticado).
BASE
CONCEPTUAL
Sobre la base del sistema de información el auditor
realizará su estudio y análisis siguiendo cualquier
metodología de trabajo, pero sin desviarse de la base
conceptual del sistema de información de la empresa
auditada.
Si por cualquier circunstancia el auditor percibe y por lo
menos tiene la idea de que tomó parámetros de que
no están presentes en el sistema de información
necesariamente deberá volver a empezar.
Conceptualmente los Sistemas de Información, tienen sus
base en algunos aspectos importancia dentro de cualquier
empresa:
1. Aspectos económicos
Se deben considerar los recursos de la empresa, las crisis, el
control, etc.
2. Aspectos tecnológicos
Se refiere al equipo físico dentro de la empresa, se
debe considerar el incremento, los cambios, ya sea de software o
hardware
3. Aspectos sociales
Se refiere a mejoras orientadas hacia los empleados de la
empresa, así por ejemplo, cursos, capacitación,
etc.
4. Aspecto político legal
Se refiere a las normas y leyes vigentes para las empresas,
tanto internas como externas, se debe cuidar, el aspecto legal,
especialmente en el Software
5. Aspecto Administrativo
Se refiere a la relación a nivel de gerencias, mayor
confianza en la tona de posiciones, decisiones o fortunas,
siempre a favor de las empresas
CONCLUSIÓN
Principalmente, con la realización de este trabajo, la
principal conclusión a la que hemos podido llegar, es que
toda empresa, pública o privada, que posean Sistemas de
Información medianamente complejos, deben de someterse a
un control estricto de evaluación de eficacia y
eficiencia. Hoy en día, el 90 por ciento de las empresas
tienen toda su información estructurada en Sistemas
Informáticos, de aquí, la vital importancia que los
sistemas de información funcionen correctamente.
La empresa hoy, debe informatizarse. El éxito de una
empresa depende de la eficiencia de sus sistemas de
información.
Una empresa puede tener un staff de gente de primera, pero
tiene un sistema informático propenso a errores, lento,
vulnerable e inestable; si no hay un balance entre estas dos
cosas, la empresa nunca saldrá a adelante.
En cuanto al trabajo de la auditoría en sí,
podemos remarcar que se precisa de gran conocimiento de
Informática, seriedad, capacidad, minuciosidad y
responsabilidad; la auditoría de información debe
hacerse por gente altamente capacitada, una auditoría mal
hecha puede acarrear consecuencias drásticas para la
empresa auditada, principalmente económicas.
Autor:
Ramón E. Ynfante T.
 Página anterior | Volver al principio del trabajo | Página siguiente  |