![]() | ![]() ![]() | Página siguiente ![]() |
En muchas organizaciones, el énfasis del auditor ha cambiado desde la evaluación y testeo del procesamiento al diagnostico y testeo de riesgos. Muchos de estos controles son incorporados dentro de programas o ejercitados dentro de las divisiones tecnológicas de la compañía.
Estas avances orientados al control usualmente requieren estas ligados a la tecnología usada en el área o en la organización.
El auditor de sistemas (IT auditor) evalúa y testea los más complejos controles tecnológicos y de procedimientos y desarrolla y aplica técnicas de auditoria computarizadas, incluyendo el uso de software de auditoria. En muchos casos, no es posible la verificación manual de procedimientos computarizados usados para sumarizar, calcular o categorizar la información. Como un resultado de ello, se debe utilizar el software de auditoria y otras técnicas orientadas a la computación.
La principal tarea del auditor interno es la de asistir al management de la empresa para juntar sus esfuerzos en la responsabilidad de asegurar:
a) Protección de los activos de la Empresa
b) Obtención de información financiera veraz, confiable y oportuna
c) Promoción de la eficiencia en la operación del negocio.
d) Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la Empresa.
Evaluar la eficiencia y eficacia con que se está operando para que por medio de cursos alternativos de acción se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuación.
La Auditoría debe ser más amplia que la simple detección de errores, debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución.
El examen que conforma una auditoría informática abarca una serie de controles, verificaciones, y juicios, etc. que concluyen en un conjunto de recomendaciones y un plan de acción. Es la elaboración de este plan de acción lo que diferencia a la auditoría informática de lo que sería una auditoría tradicional.
Por ejemplo, cuando un auditor efectúa un recuento de fondos, no esta poniendo en tela de juicio la honorabilidad del cajero. Esta cumpliendo con una exigencia profesional que impone el recuento de los bienes tangibles.
Aplicado a la auditoria de sistemas, no se trata de ingresar al centro de cómputos para realizar una labor de espionaje por cuanto se duda de sus integrantes, sino de llevar a cabo una tarea profesional tendiente a la obtención de elementos de juicio que permitan emitir una dictamen sobre la razonabilidad de los estados contables.
En el ámbito directivo existe la necesidad que el área de sistemas se integre a as modalidades de conducción y objetivos de la alta dirección. Los motivos de dicha necesidad, se pueden agrupar en:
Constituyen uno de los elementos vitales dentro del desarrollo de los sistemas. Los objetivos básicos que deben permitir alcanzar la documentación en un entorno electrónico, son:
Son aquellos concebidos durante la etapa de análisis y concentrados en los programas de aplicación correspondientes. De la cantidad, claridad y etapa del procesamiento que cubran, dependerá la exactitud e integridad de la información.
a) Controles para validar la información de entrada.
Esta clase de errores esta destinada a detectar los errores contenidos por la información que se ingresa en un sistema.
Esta validación debería realizarse en el momento más próximo a la entrada de la información.
Consistencia: establecer la relación que debe existir entre dos o más campos de un mismo registro.
Rango
Limites
Códigos.
b) Controles sobre el procesamiento.
Se merece un análisis integral del tema a los efectos de determinar los riesgos más comunes, posibilidades de implantar medidas de prevención y sus costos y el estudio de los medios de backup y recuperación.
Los sistemas de computación deben ser protegidos de tres tipos de peligros: desastres naturales, errores y omisiones humanas y actos intencionales.
Seguridad
Seguridad de la información: protección contra destrucción accidental o intencional, revelación a terceros o modificación.
Seguridad del procesamiento de datos: comprende medidas preventivas de caracteres tecnológico y las políticas gerenciales aplicables al hardware, software e información para obtener la salvaguarda de los activos de la entidad y la privacidad individual.
Privacidad
Dada la gran capacidad de almacenamiento de los medios magnéticos y de los computadores empleado es factible la creación de bases de datos de miles de individuos.
Confidencialidad
Información que deba mantenerse en secreto.
Integridad
Cuando la información no difiere de la contenida en los documentos originales.
Evitar: Análisis de actividades que deberán interrumpirse por cuantas los riesgos son muy grandes.
Disuadir: Contar con medidas de protección que inspiren respeto. Como para mover a alguien a desistir de sus propósitos.
Prevenir: Ligada a los aspectos físicos.
Detectar: Muchas medidas preventivas no resultaran efectivas de no incorporarse la posibilidad de la detección del riesgo en el sistema de seguridad.
Recuperar y corregir: Resultado vital, dada la vulnerabilidad de una operación electrónica contar con las medidas y los medios que posibiliten su recuperación ante cualquier falla de hardware, software, errores de operación o información errónea.
Cada riesgo debería ser atacado de tres formas:
Muchas de las decisiones gerenciales están basadas en la premisa de la existencia de ciertos riesgos que en el caso de concretarse implicaran que los cursos de acción previstos podrían verse alterados.
En una operatoria electrónica de los riesgos son muchos y de variada naturaleza. Para la toma de decisiones basadas en elementos de juicio que posibiliten la eliminación de la incertidumbre resultara necesario un análisis de los riesgos que permitan su conocimiento, probabilidad de ocurrencia y cuantificación (matriz de riesgo).
Dos elementos claves en el análisis de riesgo son:
Existen 4 posibilidades:
El problema gerencial consisten en hallar una combinación entre las variantes anteriores, en forma tal de reducir los riesgos a un nivel aceptable y con costos mínimos.
Comprende todas las disposiciones convenientes en materia de control físico de acceso a las instalaciones, registraciones sobre ingreso y egreso de personas, vigilancia, circuitos cerrados de televisión, etc. Integran la seguridad general de cualquier entorno.
Nos dedicaremos a los riesgos más importantes que corren en un centro de cómputos.
Resultaría necesario estudiar las medidas de adopción más convenientes para salvar una circunstancia de tipo accidental o intencional que impida la continuidad de la operatoria, como consecuencia de algún inconveniente de cualquier tipo.
En este tema confluyen los aspectos de tipo operativo con los requerimientos del sistema de control interno electrónico.
Se refiere a los controles de software o controles interno de hardware existentes en el sistema para prevenir o detectar el ingreso d la información no autorizada al sistema o accesos no autorizados a la información de la empresa.
Auditoria informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputos, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que sirve para la toma de decisiones.
Su campo de acción será:
a) Evaluación administrativa del área de informática.
1. Los objetivos del área
2. Metas, planes, políticas y procedimientos de procesos electrónicos estándar.
3. Organización del área y su estructura orgánica.
4. Funciones, niveles de autoridad y responsabilidad del área de sistemas.
5. Integración de los recursos materiales y técnicos
6. Costos y controles presupuestales
7. Controles administrativos del área
b) Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.
1. Análisis de los sistemas y sus diferentes etapas.
2. Evaluación del diseño lógico del sistema.
3. Evaluación del desarrollo físico del sistema
4. Control de proyectos
5. Control de sistemas y programación
6. Instructivos y documentación
7. Formas de implantación
8. Seguridad lógica y física de los sistemas y sus datos.
9. Confidencialidad de los sistemas
10. Controles de mantenimiento y forma de respaldo de los sistemas.
11. Utilización de los sistemas.
c) Evaluación del proceso de datos y de los equipos de procesamiento.
1. Controles de los datos fuentes y manejo de cifras de control
2. Control de operación
3. Control de salida
4. Control de asignación de trabajos
5. Control de asignación de medios de almacenamiento masivos
6. Control de otros elementos de cómputo
7. Orden en el Centro de Procesamiento.
8. Seguridad física y lógica.
9. Respaldos.
La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos.
Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.
Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.
La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.
Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.
Para poder analizar y dimensionar la estructura por auditar se debe solicitar:
1- A nivel Organización Total:
2- A nivel Área informática:
3- Recursos materiales y técnicos
4- Sistemas
COMENTARIOS:
En el momento de planear la AI – auditoria informática - (o bien cuando se está efectuando) debemos evaluar que pueden presentarse las siguientes situaciones:
a) Se solicita información y se ve que:
No se tiene y SE necesita
No se tiene y NO se necesita
b) Se tiene la información pero:
No se usa
Es incompleta
No está actualizada
No es la adecuada
c) Se usa, esta actualizada, es la adecuada y está completa
a1) En el caso de que no se disponga de la información y se considere que no se necesita para la AI, se debe evaluar la causa por la que no es necesaria. (este parámetro nos servirá para la planeación de la auditoria)
a2) En el caso de que no se tenga la información pero que la misma sea necesaria para la AI, se debe recomendar que se elabore de acuerdo a las necesidades y al uso que se le va a dar.
b) en el caso de que se tenga la información pero no se use, se debe analizar porque no se usa: es incompleta, no esta actualizada, no sea la adecuada, etc.
Como resultado de los trabajos preliminares se debe explicitar:
Esta fase tendrá mucho mas sentido si el equipo auditor es externo a la organización, ya que en ella se recaba toda la información preliminar. Estudio preliminar y determinación de alcances.
Es en definitiva una larga lista de elementos que permiten al auditor conocer la organización donde se ubicará para efectuar su trabajo.
En esta etapa se deberán establecer:
- Definitivamente el objetivo de la AI
- Las áreas a cubrir
- Personas de la Organización que habrán de colaborar y en que momentos de la auditoria
- Plan de trabajo:
- tareas
- calendario
- resultados parciales
- presupuesto
- equipo auditor necesario
Es el momento de ejecutar las tareas que se enunciaron en la fase anterior. Es esta una fase de observación, de recolección de datos, situaciones, deficiencias, en resumen un período en el que:
Cuando ya se hayan efectuado todas los estudios y revisiones, se debe elaborar el diagnóstico. Como resultados de esta etapa han de quedar claramente definidos los puntos débiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solución o mejoras de los problemas planteados.
Estas conclusiones se discutirán con las personas afectadas por lo que serán suficientemente argumentadas y probadas.
Es un momento delicado en el trato con las áreas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos, en lugar de una reprobación de los afectados, salvo en el caso de que esto sea estrictamente necesario.
Llegados a este último punto, la dirección conoce ya las deficiencias que el equipo auditor ha observado en su departamento informático, éstas han sido discutidas. Mas no basta con quedarse ahí, ahora es cuando los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastadas y exitosas y ser capaces de adjuntar, al informe de auditoría, el plan de mejoras que permitirá solventar las deficiencias encontradas.
El plan de mejoras abarcará todas las recomendaciones derivadas de las deficiencias detectadas en la realización de la auditoria. Para ello se tendrán en cuenta los recursos disponibles, o al menos potencialmente disponibles, por parte de la Empresa objeto de la Auditoria.
Entre las primeras se incluirán aquellas mejoras puntuales y de fácil realización como son las mejoras en plazo, calidad, planificación o formación. Las medidas de mediano plazo necesitaran de uno a dos años para poderse concretar. Aquí pues caben mejoras más profundas y con mayor necesidad de recursos, como la optimización de programas, o de la documentación, e incluso de algunos aspectos de diseño de los sistemas.
Para finalizar, las consideraciones a largo plazo, pueden llevar cambios sustanciales en las políticas, medios o incluso estructuras del servicio de informática. Estas mejoras pueden pasar por la reconsideración de los sistemas en uso o de los medios, humanos y materiales, conque se cuenta, llegando si es preciso a una seria reconsideración del plan informático.
ALGUNAS RECOMENDACIONES A TENER EN CUENTA:
1- No hacer juicios sin la suficiente fundamentación
2- Cuidar los aspectos de imagen, presentación y protocolo
3- No adelantar resultados parciales que pueden distorsionar el resultado final
4- Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas muy bien para que surtan el efecto que de ellas se espera.
5- En todo momento, por cordiales que resulten las relaciones con los auditados, no perder de vista el papel de consultores experimentados que han de tener los auditores informáticos.
6- Exponer la idea que los resultados de la auditoria no harán más que intentar mejorar, a todos los efectos, el servicio de informática con el beneficio que ello supondría para todos los implicados en el área.
7- Exponer la idea que al final de la auditoria no se trata de castigar a nadie. El objetivo fundamental es el de encontrar deficiencias y corregirlas.
8- Estudiar hechos y no opiniones. (no se toman en cuenta rumores ni información sin fundamento)
9- Investigar las causas, no los efectos.
10- Atender razones, no excusas.
11- Criticar objetivamente y a fondo todos los informes y los datos recabados.
PLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación.
ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.
DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa.
EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.
ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.
ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.
El auditor informático centrará especialmente su atención en:
Establece una serie de revisiones y comparaciones tendientes a emitir un juicio sobre la administración y organización del departamento de procesamiento.
La información nos servirá para determinar:
Un caso particular de la Auditoria de la organización y administración es la auditoria de los Procedimientos.
Esta orientada a asegurar que existe suficiente protección: control interno, separación de funciones, seguridad y fiabilidad del sistema, continuidad y seguridad en los procedimientos en las distintas áreas:
![]() | ![]() ![]() | Página siguiente ![]() |
Trabajos relacionados
Ver mas trabajos de Contabilidad |
|
Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.
Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.