Auditoría de los Sistemas de Información

Auditoría de los Sistemas de Información
Por: Josué Pacheco Ortiz
Introducción
Los sistemas de información tratan el desarrollo, uso y administración de la
infraestructura de la tecnología de la información en una organización.
En la era post-industrial, la era de la información, el enfoque de las compañías ha
cambiado de la orientación hacia el producto a la orientación hacia el conocimiento,
en este sentido el mercado compite hoy en día en términos del proceso y la
innovación, en lugar del producto. El énfasis ha cambiado de la calidad y cantidad
de producción hacia el proceso de producción en mismo, y los servicios que
acompañan este proceso.
El mayor de los activos de una compañía hoy en día es su información,
representada en su personal, experiencia, conocimiento, innovaciones (patentes,
derechos de autor, secreto comercial). Para poder competir, las organizaciones
deben poseer una fuerte infraestructura de información, en cuyo corazón se sitúa la
infraestructura de la tecnología de información. De tal manera que el sistema de
información se centre en estudiar las formas para mejorar el uso de la tecnología
que soporta el flujo de información dentro de la organización. Un sistema de
información debe brindar la totalidad de los elementos que conforman los datos, en
una estructura robusta, flexible ante los futuros cambios y homogénea.
Concepto de auditoría
Para Franklin una auditoria administrativa es la revisión analítica total o parcial de
una organización con el propósito de precisar su nivel de desempeño y perfilar
oportunidades de mejora para innovar valor y lograr una ventaja competitiva
sustentable. (Franklin, 2007)
Mientras que para Rodríguez, la auditoria es un examen detallado, metódico y
completo practicado por un profesional de la administración sobre la gestión de un
organismo social. Consiste en la aplicación de diversos procedimientos, con el fin
de evaluar la eficiencia de sus resultados en relación con las medidas fijadas; los
recursos humanos, financieros y materiales empleados; la organización, utilización
y coordinación de dichos recursos; los métodos y controles establecidos y su forma
de operar. (Rodríguez, 2003)
Se puede resumir la conceptualización de la auditoría así:
a. La auditoría es un examen de un sistema de información.
b. Para garantizar la imparcialidad de los resultados del examen, este debe ser
realizado por una persona diferente del elaborador de la información y el
usuario.
c. El examen es realizado en forma crítica, sistemática y detallada.
d. El propósito del examen es determinar la autenticidad, integridad y calidad
de la información que produce el sistema.
e. Para evaluar y valorar el sistema de información se deben poseer
conocimientos profundos de la estructura y funcionamiento de la entidad
auditada, del medio ambiente y las normas legales que la rigen.
f. La opinión del auditor es emitida de manera independiente.
g. El examen requiere de la utilización de técnicas profesionales determinadas.
Objetivo de la auditoría
El objetivo primordial de la auditoría consiste en descubrir deficiencias e
irregularidades en alguna función del organismo social examinado e indicar sus
probables correcciones.
En otras palabras, el objetivo básico es ayudar a la dirección superior, a fin de que
logre una administración eficaz y eficiente.
La intención de la auditoría es examinar y evaluar los métodos y desempeño en
todas las áreas y valorar el panorama administrativo y económico (lo apropiado de
los objetivos y planes, políticas y procedimientos, organización, recursos, exactitud
y confiabilidad de los controles, etc.).
En términos generales, la auditoría proporciona una evaluación cuantificada de la
eficiencia con la que cada órgano de la institución desarrolla sus funciones
administrativas y las diferentes etapas del proceso administrativo.
En otras palabras, nos presenta un panorama administrativo general de la institución
auditada y señala aquellas áreas cuyos problemas exigen una mayor atención de
parte de la dirección del organismo.
Características de la auditoría
La auditoría debe ser realizada en forma analítica, sistémica y con un amplio
sentido crítico por parte del profesional que realice el examen. Por tanto no
puede estar sometida a conflictos de intereses del examinador, quien actuará
siempre con independencia para que su opinión tenga una verdadera validez
ante los usuarios de la misma.
Todo ente económico puede ser objeto de auditaje, por tanto la auditoría no
se circunscribe solamente a las empresas que posean un ánimo de lucro
como erróneamente puede llegar a suponerse. La condición necesaria para
la auditoría es que exista un sistema de información. Este sistema de
información puede pertenecer a una empresa privada u oficial, lucrativa o no
lucrativa.
La Auditoría es evaluación y como toda evaluación debe poseer un patrón
contra el cual efectuar la comparación y poder concluir sobre el sistema
examinado. Este patrón de comparación obviamente variará de acuerdo al
área sujeta a examen.
Para realizar el examen de auditoría, se requiere que el auditor tenga un gran
conocimiento sobre la estructura y el funcionamiento de la unidad económica
sujeta al análisis, no sólo en su parte interna sino en el medio ambiente en la
cual ella se desarrolla así como de la normatividad legal a la cual está sujeta.
El diagnóstico o dictamen del auditor debe tener una intencionalidad de
divulgación, pues solo a través de la comunicación de la opinión del auditor
se podrán tomar las decisiones pertinentes que ella implique. Los usuarios
de esta opinión pueden ser internos o externos a la empresa. (Cuellar, s.f.)
Tipos de auditoria
Existen muchos tipos de auditorías que se pueden realizar en una organización.
Algunas de ellas son:
Auditoría de dirección. Como una extensión de la función de supervisión de la alta
gerencia.
Auditoría fiscal. Para determinar si los tributos al fisco se efectúan en la cantidad
debida y dentro de los plazos y formas establecidos.
Auditoría informática. Proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema de información mantiene la integridad de los datos y utiliza
eficientemente los recursos.
Auditoría de seguridad. Valida las medidas de protección que se llevan a cabo,
sobre la base de la política de seguridad, verificando que cada regla se aplique
correctamente
Auditoría operativa. Valoración de todas las operaciones de una empresa para
determinar si se llevan a cabo políticas y procedimientos aceptables, si se siguen
las normas restablecida; si se utilizan los recursos de forma eficaz y económica; si
los objetivos de la organización se han alcanzado.
Auditoría de seguridad y salud en el trabajo. Conocer los antecedentes que
permitan identifica los riesgos a los procesos productivos, de servicios, la tecnología
y la organización.
Auditoría de auditoría social. Proceso que una empresa realiza para presentar el
balance de su acción social y su comportamiento.
Sistemas de información
Por definición es un conjunto de elementos que interactúan entre con un fin
común; que permite que la información esté disponible para satisfacer las
necesidades en una organización, un sistema de información no siempre requiere
contar con recuso computacional aunque la disposición del mismo facilita el manejo
e interpretación de la información por los usuarios.
Los elementos que interactúan entre son: el equipo computacional (cuando esté
disponible), el recurso humano, los datos o información fuente, programas
ejecutados por las computadoras, las telecomunicaciones y los procedimientos de
políticas y reglas de operación.
Los usuarios de los sistemas de información tienen diferente grado de participación
dentro de un sistema y son el elemento principal que lo integra, así se puede definir
usuarios primarios quienes alimentan el sistema, usuarios indirectos que se
benefician de los resultados pero que no interactúan con el sistema, usuarios
gerenciales y directivos quienes tienen responsabilidad administrativa y de toma de
decisiones con base a la información que produce el sistema.
Proceso de los sistemas de información
Entrada de Información: Es el proceso mediante el cual el sistema de información
toma los datos que requiere para procesar la información. Las entradas pueden ser
manuales o automáticas. Las manuales son aquellas que se proporcionan en forma
directa por el usuario, mientras que las automáticas son datos o información que
provienen o son tomados de otros sistemas o módulos. Esto último se denomina
interfaces automáticas. Las unidades picas de entrada de datos a las
computadoras son las terminales, las cintas magnéticas, las unidades de diskette,
los códigos de barras, los escáners, la voz, los monitores sensibles al tacto, el
teclado y el mouse, entre otras.
Almacenamiento de información: El almacenamiento es una de las actividades o
capacidades más importantes que tiene una computadora, ya que a través de esta
propiedad el sistema puede recordar la información guardada en la sección o
proceso anterior. Esta información suele ser almacenada en estructuras de
información denominadas archivos. La unidad típica de almacenamiento son los
discos magnéticos o discos duros, los discos flexibles o diskettes y los discos
compactos (CD-ROM).
Procesamiento de Información: Es la capacidad del sistema de información para
efectuar lculos de acuerdo con una secuencia de operaciones preestablecida.
Estos cálculos pueden efectuarse con datos introducidos recientemente en el
sistema o bien con datos que están almacenados. Esta característica de los
sistemas permite la transformación de datos fuente en información que puede ser
utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un
tomador de decisiones genere una proyección financiera a partir de los datos que
contiene un estado de resultados o un balance general de un año base.
Salida de Información: La salida es la capacidad de un sistema de información
para sacar la información procesada o bien datos de entrada al exterior. Las
unidades típicas de salida son las impresoras, terminales, diskettes, cintas
magnéticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar
que la salida de un Sistema de Información puede constituir la entrada a otro
Sistema de Información o módulo. En este caso, también existe una interface
automática de salida. (Duany, 2010)
Ciclo de vida de los sistemas de información
Existen pautas básicas para el desarrollo de un sistema de información para una
organización:
Codificación: con el algoritmo ya diseñado, se procede a su reescritura en un
lenguaje de programación establecido (programación) en la etapa anterior, es decir,
en códigos que la máquina pueda interpretar y ejecutar.
Conocimiento de la organización: analizar y conocer todos los sistemas que
forman parte de la organización, así como los futuros usuarios del sistema de
información. En las empresas (fin de lucro presente), se analiza el proceso de
negocio y los procesos transaccionales a los que dará soporte el SI.
Determinar las necesidades: este proceso también se denomina licitación de
requerimientos. En el mismo, se procede identificar a través de algún método de
recolección de información (el que más se ajuste a cada caso) la información
relevante para el sistema de información que se propondrá.
Diagnóstico: en este paso se elabora un informe resaltando los aspectos positivos
y negativos de la organización. Este informe formará parte de la propuesta del
sistema de información y, también, será tomado en cuenta a la hora del diseño.
Diseño del sistema: una vez aprobado el proyecto, se comienza con la elaboración
del diseño lógico del sistema de información; la misma incluye: el diseño del flujo de
la información dentro del sistema, los procesos que se realizarán dentro del sistema,
el diccionario de datos, los reportes de salida, etc. En este paso es importante
seleccionar la plataforma donde se apoyará el SI y el lenguaje de programación a
utilizar.
Identificación de problemas y oportunidades: el segundo paso es relevar las
situaciones que tiene la organización y de las cuales se puede sacar una ventaja
competitiva (Por ejemplo: una empresa con un personal capacitado en manejo
informático reduce el costo de capacitación de los usuarios), así como las
situaciones desventajosas o limitaciones que hay que sortear o que tomar en cuenta
(Por ejemplo: el edificio de una empresa que cuenta con un espacio muy reducido
y no permitirá instalar más de dos computadoras).
Implementación: este paso consta de todas las actividades requeridas para la
instalación de los equipos informáticos, redes y la instalación de la aplicación
(programa) generada en la etapa de Codificación.
Mantenimiento: proceso de retroalimentación, a través del cual se puede solicitar
la corrección, el mejoramiento o la adaptación del sistema de información ya creado
a otro entorno de trabajo o plataforma. Este paso incluye el soporte técnico
acordado anteriormente.
Propuesta: contando ya con toda la información necesaria acerca de la
organización, es posible elaborar una propuesta formal dirigida hacia la
organización donde se detalle: el presupuesto, la relación costo-beneficio y la
presentación del proyecto de desarrollo del sistema de información.
Auditoria de Sistemas de Información
Cuando se generalizó el uso de las nuevas tecnologías, surgió también la necesidad
de realizar auditorías sobre los sistemas de tratamiento de información. En este
sentido se podría decir que la auditoria informática comprende el conjunto de
actividades encaminadas a la validación y verificación de los sistemas, procesos y
resultados en los que se utilicen tecnologías automatizadas, ya sea en cumplimiento
de la legislación, como garantía de la integridad de la información aportada por un
sistema o por alineamiento con determinados estándares relacionados con el buen
uso (best practices) de los sistemas.
La Auditoría de Sistemas de Información es un examen y validación del
cumplimiento de los controles y procedimientos utilizados para la confidencialidad,
integridad y disponibilidad de los sistemas de información.
Realizada por personal externo a la empresa, proporciona al negocio una
evaluación independiente y objetiva de los hechos que, en ocasiones es difícil de
obtener cuando se está inmerso en la operación y en presión de la problemática del
día a día.
Determinar si los controles implementados son eficientes y suficientes, identificar
las causas de los problemas existentes en los sistemas de información y a su vez
las áreas de oportunidad que puedan encontrarse, determinando las acciones
preventivas y correctivas necesarias para mantener a los sistemas de información
confiables y disponibles.
Identificar causas y soluciones a problemas específicos de los sistemas de
información, que pueden estar afectando a la operación y a las estrategias del
negocio.
Tipos de auditorías Informáticas
Regular Informática: Se refiere a las que se realizan a la calidad de la información
existente en las bases de datos de los sistemas informáticos que se utilizan para
controlar los recursos, su entorno y los riesgos asociados a esta actividad.
Especial Informática: Consiste en el análisis de los aspectos específicos relativos
a las bases de datos de los sistemas informáticos en que se haya detectado algún
tipo de alteración o incorrecta operatoria de los mismos.
Recurrente Informática: Son aquellas donde se examinan los Planes de Medidas
elaborados en auditorias informáticas anteriores donde se obtuvo la calificación de
Deficiente o Malo, ya sea en una Regular o Especial.
Herramientas para realizar auditorías
Cuestionarios:
El trabajo de campo del auditor consiste en lograr toda la información necesaria
para la emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de
cuestionarios preimpresos que se envían a las personas concretas que el auditor
cree adecuadas.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal
análisis determine a su vez la información que deberá elaborar el propio auditor. El
cruzamiento de ambos tipos de información es una de las bases fundamentales de
la auditoría.
Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo
hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en
ellas, éste recoge más información, y mejor matizada, que la proporcionada por
medios propios puramente técnicos o por las respuestas escritas a cuestionarios.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus
cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita
saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis,
cruzamiento y síntesis posterior. El auditor conversará y hapreguntas "normales",
que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios,
de sus Checklists.
El auditor pasa por un procesamiento interno de información a fin de obtener
respuestas coherentes que permitan una correcta descripción de puntos débiles y
fuertes. El auditor pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo
y el orden de su formulación.
Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras.
Para ello se apoya en productos Software muy potentes y modulares que, entre
otras funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las
validaciones de datos previstas. Las mencionadas trazas no deben modificar en
absoluto el Sistema.
Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean
productos que comprueban los valores asignados por Técnica de Sistemas a cada
uno de los parámetros variables de las Librerías más importantes del mismo. Estos
parámetros variables deben estar dentro de un intervalo marcado por el fabricante.
Del mismo modo, el Sistema genera automáticamente exacta información sobre el
tratamiento de errores de maquina central, periféricos, etc.
Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software, capaces de
generar programas para auditores escasamente cualificados desde el punto de vista
informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos
estadísticos que permitieran la obtención de consecuencias e hipótesis de la
situación real de una instalación.
En la actualidad, los Software para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de
datos de la empresa auditada. Estos productos son utilizados solamente por los
auditores externos, por cuanto los internos disponen del software nativo propio de
la instalación.
Conclusión
La auditoría de los sistemas de información es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que consiste en recoger,
agrupar y evaluar evidencias para determinar si un sistema de información
salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemática el uso de los recursos y los flujos de
información dentro de una organización y determinar qué información es crítica para
el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades,
costes, valor y barreras, que obstaculizan flujos de información eficientes.
Estas auditorías aunque no son implementadas a cabalidad en todas las empresas,
son de gran importancia para garantizar y fiscalizar el buen uso de los sistemas de
información, dando mayor certeza de la confiabilidad de estos y propiciando más y
mejores resultados, reducción de costos a futuro y de inconvenientes.
Referencias
Cuellar, G. (s.f.). Concepto Universal de Auditoria. Obtenido de
http://members.tripod.com/~Guillermo_Cuellar_M/uno.html
Duany, A. (2010). Sistemas de Información. Obtenido de http://www.econlink.com.ar/sistemas-
informacion/definicion
Franklin, B. (2007). Auditoria Administrativa: Gestión Estratégica del cambio. Pearson.
Rodríguez, J. (2003). Sinopsis de auditoría administrativa. Obtenido de
http://www.uaeh.edu.mx/nuestro_alumnado/icea/licenciatura/documentos/9%20La%20
auditoria%20administrativa.pdf
Este Artículo fue elaborado por Ing. Josué Pacheco Ortiz, bajo auspicio del Maestro
Fernando Aguirre y Hernández, de la materia Fundamentos de Ingeniería
Administrativa, de la Maestría en Ingeniería Administrativa, del Instituto Tecnológico
Nacional de México, Campus Orizaba. Y apoyado bajo beca Conacyt.
INSTITUTO TECNOLÓGICO DE ORIZABA
DIVISIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN
. . .
MAESTRÍA EN INGENIERÍA ADMINISTRATIVA
. . .
FUNDAMENTOS DE INGENIERÍA ADMINISTRATIVA
. . .
TEMA:
AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN
. . .
PRESENTA:
ING. JOSUÉ PACHECO ORTIZ
ORIZABA, VER. NOVIEMBRE 2016
Contenido
Introducción ............................................................................................................. 3
Concepto de auditoría ............................................................................................. 3
Objetivo de la auditoría ........................................................................................... 4
Características de la auditoría ................................................................................. 5
Tipos de auditoria .................................................................................................... 6
Sistemas de información ......................................................................................... 7
Proceso de los sistemas de información ................................................................. 7
Ciclo de vida de los sistemas de información .......................................................... 9
Auditoria de Sistemas de Información ................................................................... 10
Tipos de auditorías Informáticas ........................................................................... 11
Herramientas para realizar auditorías ................................................................... 12
Conclusión............................................................................................................. 14
Referencias ........................................................................................................... 15

Hazle saber al autor que aprecias su trabajo

Estás en libertad de marcarlo con "Me gusta" o no

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Cita esta página
Pacheco Ortiz Josue. (2016, noviembre 17). Auditoría de los Sistemas de Información. Recuperado de http://www.gestiopolis.com/auditoria-los-sistemas-informacion/
Pacheco Ortiz, Josue. "Auditoría de los Sistemas de Información". GestioPolis. 17 noviembre 2016. Web. <http://www.gestiopolis.com/auditoria-los-sistemas-informacion/>.
Pacheco Ortiz, Josue. "Auditoría de los Sistemas de Información". GestioPolis. noviembre 17, 2016. Consultado el 4 de Diciembre de 2016. http://www.gestiopolis.com/auditoria-los-sistemas-informacion/.
Pacheco Ortiz, Josue. Auditoría de los Sistemas de Información [en línea]. <http://www.gestiopolis.com/auditoria-los-sistemas-informacion/> [Citado el 4 de Diciembre de 2016].
Copiar
Imagen del encabezado cortesía de flickrsven en Flickr