Auditoría de sistemas de información

Autor: Blanca Margarita Castañón Ortega

Tecnología e internet | Auditoria y control interno

14-11-2012

Introducción

La auditoría de sistemas de información es muy compleja y por tanto es necesario contar con ciertas habilidades que te permitan a provechar al máximo este tipo de auditorias y hacer que su uso sea el adecuado y obtener el beneficio de adquirir con la práctica la habilidad necesaria para realizar una correcta auditoría de sistemas de información.

Actualmente la auditoria de los sistemas de información es definida como cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Es indispensable tomar en cuenta que para hacer una adecuada planeación de la auditoria en sistemas de información, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

1. Conceptualización

1.1 Auditoría

Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. (Ynfante, 2009).

La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas alas eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

Otras posibles definiciones pueden ser:

Es un examen comprensivo de la estructura de una empresa, en cuanto a los planes y objetivos, métodos y controles, su forma de operación y sus equipos humanos y físicos.

"Una visión formal y sistemática para determinar hasta qué punto una organización está cumpliendo los objetivos establecidos por la gerencia, así como para identificar los que requieren mejorarse”. (Proyectos_fin_de_carrera, 2000)

1.2 Criterio de Auditoría

Criterio de Auditoria: Políticas, practicas, procedimientos o requerimientos contra los que el auditor compara la información recopilada sobre la gestión de calidad. Los requerimientos pueden incluir estándares, normas, requerimientos organizacionales específicos, y requerimientos legislativos o regulados. (Pastor, 2004).

1.3 Auditoría en sistemas

Es la rama que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. (El_rincon_del_vago.com, 2010).

1.4 Auditoría Informática

La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. (Monografías.com, 2010).

1.5 Auditoría de Información

La auditoría de la información es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. El objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. (Ynfante, 2009).

2. Auditoría en sistemas de información

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. (Aguirre, 2007)

2.1 Objetivos

Participación en el desarrollo de nuevos sistemas.

Evaluación de controles

Cumplimiento de la metodología.

  • Evaluación de la seguridad en el área informática.
  • Evaluación de suficiencia en los planes de contingencia.

Respaldos, proveer qué va a pasar si se presentan fallas

  • Opinión de la utilización de los recursos informáticos.
  • Control de modificación a las aplicaciones existentes.
  • Participación en la negociación de contratos con los proveedores.
  • Revisión de la utilización del sistema operativo y los programas
  • Auditoría de la base de datos.
  • Auditoría de la red de teleprocesos.
  • Desarrollo de software de auditoría. (Ynfante, 2009)

2.2 Procedimientos

Se requieren varios pasos para realizar una auditoria de sistemas de información. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. (Monografías.com, 2010)

3. Tipos de auditoría

Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera. (Ynfante, 2009).

Entre los principales enfoques de Auditoría tenemos los siguientes:

Auditoría de sistemas de información

4. Metodología de la auditoría de sistemas de información

Existen algunas metodologías de Auditorías de Sistemas de información y todas dependen de lo que se pretenda revisar o analizar:

  • Estudio preliminar
  • Revisión y evaluación de controles y seguridades
  • Examen detallado de áreas criticas
  • Comunicación de resultados

4.1 Estudio preliminar

Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios.

4.2 Revisión y evaluación de controles y seguridades

Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos, Revisión de documentación y archivos, entre otras actividades.

4.3 Examen detallado de áreas críticas

Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

4.4 Comunicación de resultados

Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

  • Motivos de la Auditoría
  • Objetivos
  • Alcance
  • Estructura Orgánico-Funcional del área Informática
  • Configuración del Hardware y Software instalado
  • Control Interno
  • Resultados de la Auditoría (Duran, 2010)

Conclusión

En la actualidad la auditoria en informática es muy importante para el adecuado desempeño de los sistemas de información, debido a que nos brinda los controles suficientes y necesarios para que los sistemas sean de alta confiabilidad y con alto nivel de seguridad. Además este tipo de auditorias debe evaluar todo el sistema de información.

Con este tema, la primordial conclusión a la que se llega, es que toda empresa, que posea sistemas de información medianamente complejos, debe ser sometida a un control detallado con una evaluación eficiente y eficaz. En la actualidad más del noventa por ciento de las empresas cuentan con su información de forma estructurada a los sistemas informáticos, causa por la que es de vital importancia que los sistemas de información deben funcionar correctamente. Cabe mencionar que el éxito de cualquier empresa, siempre dependerá de la eficiencia de sus sistemas de información, es por tal motivo que la auditoría a estos sistemas debe ser realizada de manera correcta.

Podemos ejemplificar que existe una empresa que cuenta con un equipo de trabajo conformado por gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no existe un balance entre estos dos puntos, la empresa fracasará o simplemente nunca saldrá a adelante.

Debemos tomar en cuenta el trabajo de la auditoría, precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de sistemas de información siempre debe realizarse por medio de gente con una adecuada capacitación, una auditoría de sistemas de información mal realizada puede atraer consecuencias drásticas e irreversibles para la empresa, más que nada económicas.

Sugerencia de tesis

“Implementar un sistema tarificador de llamadas telefónicas como herramienta de gestión administrativa de cadenas hoteleras”.

Objetivo: Desarrollar e implementar un sistema tarificador de llamadas telefónicas que permita el control del flujo de las troncales, así como la mejora del proceso administrativo de las cadenas hoteleras.

Bibliografía

Aguirre, C. E. (07 de 11 de 2007). Sitio académico en Contabilidad, Auditoría e Informática. Recuperado el 26 de 09 de 2012.

Duran, M. (2010). www.itchetumal.edu.mx. Recuperado el 26 de 09 de 2012.

El_rincon_del_vago.com. (2010). El rincon del vago.com. Recuperado el 26 de 09 de 2012, de http://html.rincondelvago.com/auditoria-de-los-sistemas-de-informacion.html

Monografías.com. (2010). Monografías.com. Recuperado el 26 de 09 de 2012.   

Pastor, J. R. (05 de 2004). GestioPolis. Recuperado el 26 de 09 de 2012, de http://www.gestiopolis.com/recursos2/documentos/fulldocs/ger/audisiscal.htm

Proyectos_fin_de_carrera. (2000). Proyectos fin de carrera.com. Recuperado el 26 de 09 de 2012, de http://www.proyectosfindecarrera.com/que-es-una-auditoria.htm

Ynfante, R. E. (23 de 04 de 2009). GestioPolis. Recuperado el 26 de 09 de 2012, de http://www.gestiopolis.com/finanzas-contaduria/auditoria-interna-de-la-informacion.htm

Blanca Margarita Castañón Ortega - blank182_arrobahotmail.com

Ingeniera industrial. Maestría en ingeniería administrativa en el Instituto Tecnológico de Orizaba.

Comentarios
comments powered by Disqus

Nuevas publicaciones

⇐ Hazte Fan en Facebook
⇐ Síguenos en Twitter
⇐ Agréganos en Google +
⇐ Suscríbete vía Email
"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tendremos dos ideas"
George Bernard Shaw
Comparte conocimiento
Contenidos publicados con licencia CC BY-NC-SA 3.0 a excepción de los casos en los que se indican derechos de autor específicos. Sugerimos contactar a los autores al usar material públicamente.