Auditoría de sistemas de información organizacional

1
Auditoría de sistemas de información
organizacional
Teresa Román López
Alumno maestría en Ingeniería Administrativa
Instituto Tecnológico de Orizaba
Orizaba, Veracruz 01 de noviembre de 2016
3
Introducción
En un mundo globalizado caracterizado por la modificación de las formas de hacer negocios
y la concepción de grandes cambios en el mercado; la incorporación de tecnologías
informáticas fue un factor clave y trascendental que facilitó la administración de los datos e
información en las organizaciones, con el fin de ofrecer mejoras en los procesos de toma de
decisiones, pues en la actualidad todas las empresas, incluso las Pymes, requieren de sistemas
de información que colaboren con la gestión de los diversos procesos organizacionales.
Por ello, en la perspectiva de comprender el impacto que los sistemas de información tienen
en la empresa moderna, resulta importante analizar cómo se ha transformado el concepto de
gestión de información en una organización basada en nuevas tecnologías, los problemas
derivados de una inadecuada planeación de los sistemas de información que utiliza, así como
la inexistencia de una política de gestión y manejo de la información, la cual se ve reflejada
en la pérdida de información, sobre-costos en su tratamiento, demora en la recuperación de la
información necesaria para la toma de decisiones y en particular, la desarticulación entre los
diferentes agentes que intervienen en la producción, distribución, acceso, conservación y
utilización de la información en la organización.
En tanto, para efectuar dicho análisis, se requiere de una auditoria de sistemas de información
organizacional que se centre en determinar los riesgos que son relevantes para los activos de
información, y en la evaluación de los controles implementados, a fin de reducir o mitigar los
diversos riesgos que implican su manejo y resguardo.
Es importante destacar que, mientras que una auditoría financiera tiene como propósito
evaluar si una organización está cumpliendo con las prácticas contables habituales, una
auditoria de sistemas de información debe evaluar el diseño del sistema de control interno y
la eficacia, eficiencia y capacidad de la organización para proporcionar debidamente este
recurso a las personas indicadas en tiempo y forma, y para proteger sus activos de información
mediante la implementación de controles.
4
Así, con el fin de mejorar la productividad y el rendimiento de las organizaciones, es
fundamental evaluar sus técnicas actuales y la tecnología de que disponen, para
desarrollar sistemas que colaboren en la gestión de información relevante.
Definición
La auditoría de sistemas de información organizacional consiste en el examen de los métodos
de generación de información y de los centros de procesamiento de datos, instalaciones y
unidades informáticas de las organizaciones, la verificación de la calidad de los sistemas de
información y la propuesta de mejoras coherentes con el proyecto de calidad adoptado por la
organización, con la finalidad de facilitar la consecución de sus objetivos establecidos.
Por tanto, la auditoría de sistemas de información se define como el examen y validación del
cumplimiento de los controles y procedimientos utilizados para la confidencialidad, integridad
y disponibilidad de los sistemas de información. Siendo dicha auditoría realizada por personal
externo a la empresa, con el fin de proporcionar una evaluación independiente y objetiva de
los hechos que, en ocasiones, es difícil de obtener internamente cuando se está inmerso en la
operación cotidiana.
Así, el objetivo primordial de una auditoria de SI, es determinar si los controles
implementados en la empresa son eficientes y suficientes, identificar las causas de los
problemas existentes en los sistemas de información y a su vez, las áreas de oportunidad,
determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas
de información confiables y disponibles, pues en caso contrario se estaría afectando la
operación y las estrategias del negocio. (Auditoría y seguridad informática, 2001)
5
Sistemas de información organizacional
Primeramente, un sistema es definido generalmente como un conjunto de elementos con
relaciones de interacción e interdependencia que le confieren entidad propia al formar un todo
unificado, es decir, son elementos que interactúan con un objetivo común. (Jaramillo, 2007)
En cuanto a un sistema de información se refiere, es definido como un conjunto relacionado
de elementos que recaban, procesan, almacenan y distribuyen información útil para la toma
de decisiones dentro de una organización.
Asimismo, un SI1 se puede definir como un conjunto de elementos orientados al tratamiento
y administración de datos e información, organizados y listos para su uso posterior, generados
para cubrir una necesidad o un objetivo. Donde los elementos que interactúan para el
procesamiento de datos y obtención de información se muestran en la figura no. 2.
1Sistema de información organizacional
Figura 1. Sistema de información organizacional
6
1. Recursos humanos: Es decir, aquellas personas que interactúan con el sistema de
información.
2. Hardware: Son los dispositivos físicos utilizados en el procesamiento y almacenamiento
de datos.
3. Software: Lo componen los programas del sistema operativo computacional y los
procedimientos utilizados para transformar y extraer información.
4. Datos: Representan las actividades de la empresa mediante datos alfanuméricos
compuestos de letras y números; o también compuestos por textos, oraciones o párrafos;
imágenes; o audio y video. (Zamora, s.f.)
Todos estos elementos interactúan para procesar datos de forma manual, semiautomática o
automática, con la finalidad de generar información que se distribuya de la manera más
eficiente y eficaz posible en la organización, en función de los objetivos establecidos. Por lo
que se puede concluir que son tres dimensiones importantes, las que conforman un sistema de
información organizacional:
Figura 2. Componentes de un sistema de información
7
Organización
Los sistemas de información son un elemento de la organización misma, pues se acoplan a la
estructura de la organización reflejando y reproduciendo las líneas de comunicación, así como
los niveles y divisiones del trabajo dentro de la compañía, automatizando los procedimientos
formalmente establecidos.
Cada organización aporta la esencia de su cultura a la implementación y uso de la
tecnología, no obstante, la tecnología también influencia el desarrollo de la organización.
En consecuencia ningún sistema de información es capaz de aportar beneficios para la toma
de decisiones, sino existe una estructura definida y un método eficaz para procesar los datos
y producir información relevante. (Sistemas Umma, 2013)
Personas
En una organización, las personas son el recurso más importante, ya que son éstas las que
producen la sinergia que finalmente se convierte en beneficios para la empresa. Y es por ello
que las organizaciones deben asegurarse de contar con personas que posean diversas
habilidades y conocimientos, entre los cuales se encuentran el uso de equipo de cómputo y la
operación del sistema de información que proporcione la organización; pues de nada servirá
ostentar el mejor sistema de información si los colaboradores no lo usan correctamente y
obtienen el máximo beneficio.
En este caso, ningún sistema de información es capaz de funcionar de forma completamente
autónoma, pues hasta un sistema automático necesita en mayor o menor grado de la
interacción humana, afrontando la tarea de evitar que los usuarios introduzcan información
incorrecta de forma accidental o de manera dolosa. (Sistemas Umma, 2013)
8
Tecnología
La tecnología está compuesta por todos los recursos de hardware, software, redes y
telecomunicaciones que la empresa implementa para soportar la comunicación y producción
de la información.
No obstante, el internet se ha convertido también en una de las más socorridas herramientas
en las organizaciones, y los servicios que se ofertan a través de su aplicación, lo han
transformado en un medio de comunicación indispensable; pues actualmente ninguna empresa
prescinde de la utilización de cuentas de correo electrónico, o del uso de las redes sociales
como medio de comercialización de productos y servicios. (Sistemas Umma, 2013)
En otro orden de ideas, un sistema de información para la organización es fundamental, pues
facilita la gestión de la información, permite conocer el estado de los datos, información sobre
mercados, competidores y proveedores, estadísticas de proyectos y demás información
relevante para la gestión organizacional y la toma de decisiones.
Asimismo, un SI2 debe responder al
cumplimiento de la misión y visión de
la compañía, ya que interactúa
directamente con el ambiente de la
organización, en tanto que se nutre de
los elementos del ambiente.
La retroalimentación por tanto,
constituye un elemento clave para su
desarrollo y fortalecimiento, pues
permite conocer el impacto de sus
2Sistema de información organizacional
Figura 3. Modelo de sistema de información organizacional
9
resultados como salidas en el ambiente, propiciando el rediseño del sistema en función de la
satisfacción o necesidades de los usuarios/clientes que forman nuevas entradas. (Figura 3)
La información como recurso en las organizaciones
Como se ha podido observar, un sistema de información requiere la implementación de
componentes tecnológicos que conforman la infraestructura que da soporte y que refleja los
procesos y la cultura de la organización, a través de una adecuada interacción con el recurso
humano que alimenta de datos al sistema y que posteriormente se convierte en usuario de la
información que este genere, para sustentar su toma de decisiones.
Es así que, en las denominadas “sociedad de la información” y/o “sociedad del conocimiento”,
el uso y acceso a la información constituye un factor trascendental desde el punto de vista
económico e intelectual, pues contar con información rápida y oportuna, colabora en el
desarrollo y sostenibilidad de las organizaciones al facilitar el proceso de toma de decisiones,
al representar una guía para la solución de problemas y al sentar las bases para la rápida
adaptación y respuesta a los cambios del entorno.
La importancia de la información para las organizaciones radica en que hoy, es considerada
como un recurso esencial, al ser utilizada para desempeñar las operaciones diarias y de manera
estratégica para la búsqueda de un alto nivel competitivo. Así que, para hacer crecer su valor,
la empresa debe integrar la información y tenerla disponible en el momento adecuado para
que pueda ser analizada en búsqueda de generar conocimiento, proceso en el cual las
herramientas tecnológicas juegan un papel muy importante. (Castro, 2015)
10
Tipología de SI en el sector organizacional (Ecured, s.f.)
En el sector organizacional se han desarrollado diversas tipologías para los sistemas de
información, delimitadas a partir de las propias necesidades del sector y de la adecuación a
los procesos fundamentales de cada organización.
Sistema de información de marketing (S.I.M): Orientado a obtener y procesar información
sobre mercadotecnia, esencialmente en tres aspectos importantes: inteligencia de
mercadotecnia o información sobre el entorno, información interna de mercadotecnia,
y comunicaciones, es decir, la información que fluye desde la organización hacia el entorno.
Sistemas de Información de Producción (S.I.P): Tiene como objetivo proporcionar
información acerca de las operaciones de producción.
Sistema de información financiera (S.I.F): Proporcionan a personas y grupos, tanto dentro
como fuera de la organización, información relacionada con los asuntos financieros de la
organización.
Sistema de información de recursos humanos (S.I.R.H): Permite recopilar y almacenar
información relacionada con los recursos humanos, para transformarla y posteriormente
distribuirla a los usuarios autorizados dentro de la organización.
Sistema de información para directivos: Proporcionan a los directivos información sobre el
desempeño global de la empresa. Utiliza fuentes de información internas (las salidas de los
sistemas de información funcional) y fuentes del entorno, pues la información procedente del
exterior, es especialmente importante para los niveles jerárquicos más altos.
Cabe destacar que la tipología de los SI puede ser tan variada y diversa como las necesidades
de información, y responde a los objetivos de cada unidad funcional de la organización (figura
4), por ejemplo:
11
Procesamiento de datos (TPS Transactional Processing Systems): Procesa grandes
volúmenes de información, tras la ejecución de actividades de carácter rutinario en las
organizaciones; por lo cual, el elemento humano sigue participando en la captura de la
información requerida.
Sistemas de información para la administración o gerenciales (MIS - Management
Information Systems): Proporcionan informes periódicos para la planeación, el control y la
toma de decisiones. Soportan un amplio espectro de tareas de las organizaciones dentro de las
cuales se incluyen el análisis y la toma de decisiones.
Sistemas de soporte a la toma de decisiones (DSS - Decision Support Systems): Dependen de
una base de datos como fuente de información, y sirve de soporte en cada una de las etapas
de toma de decisiones. Por ello, al recaer la decisión en una persona responsable, estos
sistemas de información deben ser diseñados con orientación a las personas que
específicamente van a utilizarlo, es decir, de forma personalizada y no como un sistema
tradicional para la administración.
Figura 4. Tipología de sistemas de información
(Ferrer, 2015)
12
Sistemas expertos o sistemas basados en el conocimiento (WKS Knowledge Working
Systems): Capturan y utilizan el conocimiento de un experto para la solución de un problema
en particular, ya que si bien, en la aplicación de sistemas de soporte a la toma de decisiones,
ésta depende de una persona responsable, el sistema experto además, selecciona la mejor
solución al tipo específico de problema presentado. (Ecured, s.f.)
Auditoría de sistemas de información organizacional
El término auditoría proviene del latín auditorius, que se deriva de la palabra auditor, misma
que hace referencia a todo aquel que tiene la virtud de oír. No obstante, se debe mencionar
que su significado se ha empleado incorrectamente con frecuencia, ya que regularmente se
considera a la auditoría como una evaluación cuyo único fin, es detectar errores y señalar
fallas. Partiendo de tal supuesto, la auditoría es un examen crítico pero no mecánico, que no
implica la preexistencia de fallas en la entidad auditada y que tiene como propósito, evaluar y
mejorar la eficacia y eficiencia de una unidad funcional o de una organización en su totalidad.
(Herman, 2015)
Es el examen objetivo, crítico, sistemático, posterior y selectivo que se efectúa a la
administración informática de una organización, con el fin de emitir una opinión acerca de la
eficiencia en la adquisición y utilización de recursos informáticos, la confiabilidad, integridad,
seguridad, oportunidad de la información y efectividad de sus controles.
Asimismo, la auditoría de sistemas de información busca propiciar el establecimiento y
mantenimiento de los sistemas de gestión, la reducción de los riesgos inherentes a la
utilización de los SI, el incremento del nivel de confianza que tienen los usuarios internos y
externos a dichos mecanismos, comprobar el cumplimiento de los requerimientos del negocio
para optimizar su utilización, e impulsar la seguridad de los sistemas organizacionales de
información. Por ello, al igual que otros mecanismos empresariales, los SI están sometidos a
control, pues por ejemplo, las computadoras creadas para procesar y difundir información
13
pueden producir resultados erróneos si los datos que la alimentan son a su vez, incorrectos,
situación en la que recaen la empresas al olvidar la importancia de la naturaleza y calidad de
los datos de entrada a sus sistemas informáticos.
Asimismo, un sistema de información mal diseñado puede convertirse en una herramienta
peligrosa para la empresa, ya que las decisiones regularmente están determinadas por la
información que brindan los mecanismos implementados para dichos sistemas, por lo que la
dirección de la empresa no puede depender de un software y hardware mal diseñados.
Al respecto, la auditoría de sistemas se encarga de verificar los controles para el procesamiento
de la información, desarrollo de sistemas e instalación; con el objetivo de evaluar su
efectividad y presentar recomendaciones para su optimización. (Durán, 2014)
Objetivos generales de una auditoría de sistemas de información
Como ya se ha mencionado, el objetivo primordial que tiene un auditor de sistemas de
información, es dar recomendaciones a la alta gerencia para implementar mecanismos que
logren un adecuado control interno, con el fin de lograr mayor eficiencia y eficacia operacional
y administrativa. No obstante, la auditoría de sistemas de información busca, a su vez, obtener
una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados
e implantados en la organización, asegurar una mayor integridad, confidencialidad y
confiabilidad de la información mediante la recomendación de controles específicos; conocer
la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los
objetivos propuestos; otorgar seguridad de datos, hardware, software e instalaciones;
minimizar la existencia de riesgos en el uso de tecnologías de información, y evitar decisiones
de inversión y gastos innecesarios en los sistemas instaurados. (Yucra, 2011)
14
Metodología de auditoría de SI
Si bien es cierto que existen diversas metodologías para la auditoría de sistemas de
información, su aplicación depende de aquello que se pretenda revisar o analizar en la
organización, no obstante, como procedimiento estándar se presentan las siguientes cuatro
fases básicas de un proceso de revisión (Durán, 2014):
Estudio preliminar: Etapa en la que se define el grupo de trabajo, el programa de auditoría, y
se efectúan visitas a la unidad informática para conocer detalles de la misma. Asimismo, se
elabora un cuestionario para la obtención de información que permita evaluar preliminarmente
el control interno.
Revisión y evaluación de controles y seguridades: Consiste en la revisión de los diagramas
de flujo de procesos, realización de pruebas de cumplimiento de seguridad y controles
existentes, revisión de aplicaciones en áreas críticas, entre otras.
Examen detallado de áreas críticas: Terminadas las fases anteriores, el auditor ahora conoce
las áreas críticas de la organización, por lo que, en cada una de ellas se procede a realizar un
estudio y análisis profundos, en los que define concretamente a su grupo de trabajo y la
distribución de actividades para el mismo, establece los motivos, objetivos, alcances y
recursos que se emplearán, define la metodología de trabajo, la duración de la auditoría, y
finalmente, presenta el plan de trabajo detallando cada área de oportunidad localizada.
Comunicación de resultados: El auditor elabora el borrador del informe a ser discutido con
los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presenta
esquemáticamente en forma de matriz, o redacción simple y concisa que destaque las áreas de
oportunidad halladas, sus efectos actuales para la organización y las recomendaciones de
auditoría para su optimización.
15
Conclusión
Las tecnologías de información y comunicación, hoy por hoy cuentan con gran relevancia en
la gestión de las organizaciones, pues desde hace varias décadas se han constituido como
herramientas poderosas en la colaboración para la toma de decisiones. Por tanto, se ha
generando un alto grado de dependencia, y por ende, elevada inversión para su mantenimiento;
situaciones que abren paso a la importancia de la auditoría de sistemas de información
organizacional.
No obstante, dicha auditoría debe comprender no sólo la evaluación de los equipos de cómputo
o de un sistema de software específico, sino además, la evaluación de todo el sistema de
información de la empresa, es decir, sus entradas, procedimientos, controles, archivos,
seguridad y reserva de información. Todo ello, con el propósito de dar mayor certeza de la
confiabilidad y buen uso del sistema y de la información generada, y por consiguiente, el logro
de la optimización del desempeño general de la organización.
16
Referencias
1. Auditoría y seguridad informática. (2001). Obtenido de
http://www.auditoria.com.mx/auditoria-de-sistemas-de-informacion
2. Castro, J. (12 de Junio de 2015). Corponet. Obtenido de http://blog.corponet.com.mx/la-
importancia-de-la-informacion-para-la-toma-de-decisiones-en-la-empresa
3. Durán, M. (2014). Instituto Tecnológico de Chetumal . Obtenido de
http://itchetumal.edu.mx/v2014/paginasvar/Maestros/mduran/Archivos/auditoria%20de%
20sistemas%20ok.pdf
4. Ecured. (s.f.). Obtenido de
https://www.ecured.cu/Sistemas_de_informaci%C3%B3n_en_las_organizaciones
5. Ferrer, S. (12 de Febrero de 2015). Obtenido de http://pertutatis.cat/la-piramide-de-los-
diferentes-tipos-de-sistemas-de-informacion/
6. Herman, W. (07 de Julio de 2015). Obtenido de
http://documents.mx/documents/auditoria-559bf4a2ed74d.html
7. Jaramillo, O. (03 de Mayo de 2007). cie.unam. Obtenido de
http://www.cie.unam.mx/~ojs/pub/Termodinamica/node9.html
8. Sistemas Umma. (24 de Junio de 2013). Obtenido de
https://sistemasumma.com/2013/06/24/sistemas-de-informacion-concepto-y-dimensiones/
9. Yucra, L. (08 de Noviembre de 2011). Auditoría operativa y administrativa. Obtenido de
http://auditoriaopertivayadministrativadued.blogspot.mx/2011/11/objetivos-de-la-
auditoria-de-sistemas.html
10. Zamora, S. (s.f.). Grupo Izamorar. Obtenido de http://izamorar.com/componentes-de-un-
sistema-de-informacion/
Tabla de figuras
Figura 1. Sistema de información organizacional .................................................................... 5
Figura 2. Componentes de un sistema de información ............................................................. 6
Figura 3. Modelo de sistema de información organizacional ................................................... 8
Figura 4. Tipología de sistemas de información ..................................................................... 11
17
Agradecimientos
Especial agradecimiento al profesor investigador Fernando Aguirre y Hernández, catedrático
de la maestría en ingeniería administrativa adjunta al Instituto Tecnológico de Orizaba, por el
aporte técnico para la construcción del presente artículo y su dirección en el proceso de
aprendizaje del pensamiento sistémico. De igual manera, al Consejo Nacional de Ciencia y
Tecnología (Conacyt) dedicado a promover y estimular el desarrollo de la ciencia y la
tecnología en México, por el apoyo financiero para la realización de estudios de posgrado.
 





 



2
Tabla de contenido
Introducción ______________________________________________________________ 3
Definición ________________________________________________________________ 4
Sistemas de información organizacional ________________________________________ 5
Organización ___________________________________________________________ 7
Personas _______________________________________________________________ 7
Tecnología _____________________________________________________________ 8
La información como recurso en las organizaciones _______________________________ 9
Tipología de SI en el sector organizacional _____________________________________ 10
Auditoría de sistemas de información organizacional _____________________________ 12
Conclusión ______________________________________________________________ 15
Referencias ______________________________________________________________ 16
Agradecimientos __________________________________________________________ 17

Hazle saber al autor que aprecias su trabajo

Estás en libertad de marcarlo con "Me gusta" o no

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Escrito por:

Cita esta página
Román López Teresa. (2016, noviembre 15). Auditoría de sistemas de información organizacional. Recuperado de http://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/
Román López, Teresa. "Auditoría de sistemas de información organizacional". GestioPolis. 15 noviembre 2016. Web. <http://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/>.
Román López, Teresa. "Auditoría de sistemas de información organizacional". GestioPolis. noviembre 15, 2016. Consultado el 8 de Diciembre de 2016. http://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/.
Román López, Teresa. Auditoría de sistemas de información organizacional [en línea]. <http://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/> [Citado el 8 de Diciembre de 2016].
Copiar
Imagen del encabezado cortesía de arthur-caranta en Flickr