INTRODUCCIÓN
La auditoría es una recopilación, acumulación y evaluación de evidencia sobre información de una entidad, para determinar e informar el grado de cumplimiento entre la información y los criterios establecidos.
La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de estudios, requieren el desarrollo y la promulgación de Normas Generales para la auditoría de los Sistemas de Información.
¿QUÉ ES UN SISTEMA?
Conjunto ordenado, lógico y secuencial de normas y procedimientos que persiguen un fin determinado. Podemos hablar por ejemplo de Sistema: Contable Planeación Capitalista Operación Educativo Financiero de Información Etc.
Desde este punto de vista, cuando hablemos de AUDITORíA DE SISTEMAS, nos referiremos a los SISTEMAS DE INFORMACION utilizados en las empresas públicas o privadas, más no al computador, que en sí es una herramienta de los sistemas de información. Debemos tener presente que la administración es un sistema abierto y por tanto cambiante en sus conceptos, técnicas y que está influenciada por lo que acontece en su alrededor.
La auditoría de sistemas es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría de sistemas deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoría de sistemas es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
¿QUÉ ES AUDITORÍA?
Hasta ahora la Auditoría, es esencialmente una metodología que permite el examen de distintos objetos o campos auditables, en la perspectiva de emitir una opinión independiente sobre la validez científica y/o la técnica del sistema de control que gobierna una determinada realidad que pretende reflejar adecuadamente y/o cumple las condiciones que le han sido prescritas. En materia de auditorÍa, los desarrollos tecnológicos relevantes siempre han girado alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances modernos de las áreas económicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser auditados los impuestos, los procesos operativos, la informática, la acción social de las organizaciones, el tratamiento del medio ambiente y los proyectos académicos, económicos y sociales, entre otros. El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente representada por los siguientes componentes: -Desarrollo de sistemas de información -Asesoría técnica a usuarios -Servicio de procesamiento electrónico de datos -Apoyo técnico -Conocimientos de Hardware y Software -Desarrollo de Sistemas de Información -Base de datos -Redes -Manejo de personal
AUDITORÍA INTERNA Y AUDITORÍA EXTERNA:
La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.
COMO NACE LA AUDITORÍA INFORMATICA
La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico-financiero, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos Oficiales.
La función auditorÍa debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas.
El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.
OBJETIVOS DE LA AUDITORIA INFORMATICA
* El control de la función informática
* El análisis de la eficiencia de los Sistemas Informáticos
* La verificación del cumplimiento de la Normativa en este ámbito
* La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
* Eficiencia
* Eficacia
* Rentabilidad
* Seguridad
TIPOS DE AUDITORÍA INFORMÁTICA
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
* Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
* Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
* Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas (Es una representación gráfica de la secuencia de actividades de un proceso.).
* Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
* Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
* Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
* Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
* Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
* Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
PERFIL DEL AUDITOR INFORMÁTICO
A un auditor informático se le presupone cierta formación informática y experiencia en el sector, independencia y objetividad, madurez, capacidad de síntesis y análisis y seguridad en sí mismo.Existen diversas materias que están reguladas en materia informática:
* Ley de auditoría de cuentas.
* Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.
* Ley Orgánica de Protección de Datos.
Ninguna de éstas normas definen quien puede ser auditor informático, aunque debe de disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por informáticos y licenciados en derecho especializados en el mundo de la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
* Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas.
* Pruebas sustantivas: Aportan al auditor informático las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
* Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (según la documentación, según declaran los auditados y según las políticas y procedimientos de la organización).
Las principales herramientas de las que dispone un auditor informático son:
* Observación
* Realización de cuestionarios
* Entrevistas a auditados y no auditados
* Muestreo estadístico
* Flujogramas
* Listas de chequeo
* Mapas conceptuales
CONCLUSIONES
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
BIBLIOGRAFIA
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
http://es.wikipedia.org/wiki/AuditorÃa_informática
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Diccionario Larousse
NUY INTERESANTE EL BLOG Y MUY BONITO
ResponderEliminar