Auditoría de Sistemas de Información Organizacional

Todas las organizaciones necesitan de un sistema adecuado  que funcione bajo ciertas condiciones las cuales permitan realizar todas las tareas de manera más efectiva y también eficiente.

En todas las organizaciones se producen grandes cantidades de información, la cual permite a los gerentes tomar ciertas decisiones, por lo que, si no se tienen sistemas adecuados que les permitan canalizar toda la información de forma correcta esta información sería completamente inútil.

Los Sistemas de Información (SI) representan una herramienta muy importante para poder realizar cualquier función dentro de una organización desde las más pequeñas hasta las más grandes, ya que un SI permite recolectar, clasificar, procesar e interpretar, y crear un resumen de datos la cual servirá como base de datos para la toma eficiente de decisiones.

A través de este artículo se podrá determinar la importancia de los SI, tipos de estos y también la manera correcta en que se debe de realizar una auditoría a estos sistemas.

AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN ORGANIZACIONAL

Los Sistemas de Información (SI) junto con las Tecnologías de la Información y las Comunicaciones (TIC), han ido siempre de la mano recorriendo un largo y arduo camino a partir de la aparición de los primeros computadores y de sus aplicaciones iniciales, hechas sobre todo para mejorar la eficiencia de los procesos administrativos dentro de las organizaciones, los cuales eran utilizados en las empresas casi de manera obligatoria; pero muy pocos de ellos proporcionaron lo que hoy en día se conocería como «ventaja competitiva», tal y como lo menciona (Sieber & Valor, 2006)

Sin embargo, la situación al día de hoy es muy diferente, una vez superado lo que se venía a llamar la «paradoja de la productividad», la cual ponía en duda la contribución de las TIC a través de los SI a la productividad económica en general, aunque se ha aprendido que no todos los SI son iguales y que las aportaciones pueden separarse de otras que pueden llegar a ser contraproducentes, aunque incluso la tecnología aplicada en su implantación y funcionamiento sean los mismos.

Antes de adentrarse al estudio de los sistemas y tecnologías de la información, es necesario dejar en claro lo que hoy en día se conoce como información, pero sobre todo la diferencia entre datos, información y conocimiento.

Toda información procede de algún dato anterior, pero sin embargo, no todos los datos son información. Incluso, se puede mencionar que se puede llegar a tener una gran cantidad de datos e información y a pesar de eso, no haber obtenido ningún conocimiento.

Responde esta encuesta sobre consumo de redes sociales. Nos ayudará a brindarte mejor información.

¿Usas sitios de redes sociales para encontrar información académica o laboral?*

¿Usas sitios de redes sociales para encontrar información académica o laboral?*

¿Qué sitios de redes sociales utilizas para investigación académica o laboral*

¿Qué sitios de redes sociales utilizas para investigación académica o laboral*

Puedes seleccionar las opciones que quieras.

Que tipo de dispositivo usas al utilizar redes sociales*

Que tipo de dispositivo usas al utilizar redes sociales*

¿Cuántas cuentas de redes sociales tienes?*

¿Cuántas cuentas de redes sociales tienes?*

¿Cuántas horas a la semana le dedicas a las redes sociales?*

¿Cuántas horas a la semana le dedicas a las redes sociales?*

Los «datos» como mencionan (Sieber & Valor, 2006) no son más que elementos de tipo numérico, alfanumérico, imágenes o sonidos, los cuales permiten descubrir ciertos eventos, actividades o transacciones; se trata de algunos elementos que se pueden almacenar e incluso clasificar, pero que no están organizados para dar respuesta a ciertas cuestiones o a significados específicos.

La «información» surge de la ordenación de datos de manera que éstos lleguen a tener un significado para la persona que los recibe e incluso tengan un valor determinado, de esta manera se pueden obtener conclusiones. (Sieber & Valor, 2006)

Mientras los datos por sí solos no son nada, la información que se puede llegar a obtener de ellos sí lo es, de esta forma las decisiones que se llegan a tomar en las empresas provienen de cierta información reunida a partir de datos, pero que previamente fueron clasificados y presentados de manera correcta para facilitar dicho proceso.

Sin embargo, el hecho de tener toda la información no es suficiente para poder tomar decisiones correctas, cualquier decisión que se deba tomar, requiere además de la experiencia, antecedentes profesionales y personales de la persona que la toma.

La información que es evaluada por  una persona dentro de un determinado contexto se convierte en un «conocimiento», por lo tanto, los sistemas de información vistos desde este punto, pueden mejorar el desarrollo de una base de conocimiento siempre y cuando pongan al alcance de los agentes que toman las decisiones la información más relevante.

De hecho, en los entornos cambiantes una base de conocimiento adecuada constituye una ventaja competitiva, y en estas situaciones los sistemas de información pueden resultar muy esenciales.

¿Qué es un sistema de información?

La visión de un SI dentro de una organización más intuitiva se puede llegar a obtener simplemente observando cómo fluye la información dentro de la misma, o de esta y su entorno.

Por tanto, es posible definir a un Sistema de Información como un sistema más dentro de la organización misma, el cual es el encargado de coordinar los flujos y los registros de información necesaria para llevar a cabo las funciones de una empresa específica de acuerdo a su planteamiento o a su estrategia de negocio. (Sieber & Valor, 2006)

Estas funciones deberán dar lugar a actividades de planificación, diseño y a la ejecución de acciones para lograr los objetivos y actividades de control. De hecho, el SI es el encargo de reunir toda la información que van a generar todas las actividades y se encargará de distribuirla hacia las demás áreas para dar paso a una toma de decisiones, como se puede observar, tiene una función coordinadora.

(Andreu & Valor, 1996) definen a los Sistemas de Información como “Conjunto formal de procesos que, operando sobre una colección de datos estructurada de acuerdo con las necesidades de una empresa, recopila, elabora y distribuye parte de la información necesaria para la operación de dicha empresa y para las actividades de dirección y control correspondientes, apoyando al menos la toma de decisiones necesaria para desempeñar las funciones y los procesos de negocio de una empresa de acuerdo a su estrategia”.

Cabe destacar, que esta definición se basa en el para qué de los Sistemas de Información, más que en el cómo o el qué, ya que las empresas tienen la necesidad de hacer que determinada información fluya para poder coordinar sus acciones operativas y para que quienes la coordinan puedan hacerlo en cuanto se detecte la primera desviación importante entre lo previsto y lo real.

En conclusión, los Sistemas de Información (planificación, diseño e implementación) tienen una estrecha relación con los demás sistemas que forman la estructura de la empresa, pero además, deben de asegurar la coherencia del mismo con la estructura competitiva de la organización.

Características de un Sistema de Información eficaz

Según (Andreu & Valor, 1996) las características de un sistema de información eficaz son:

  • La estructura y funciones del Sistema de Información deben de ser coherentes con la estrategia en todo momento.
  • El SI tiene que ser planificado, diseñado e implementado de tal forma que guarde un equilibrio con el resto de los sistemas que integran la estructura organizativa.
  • La planificación y el diseño de un SI debe de servir a los objetivos de una empresa, por lo que tienen que ser revisados con los expertos en los SI y el resto de la organización.
  • El SI tiene que ser registrado desde un punto de vista amplio, contando con la involucramiento y compromiso de la alta dirección de la organización.

Clasificación y tipos de sistemas de información

En la actualidad, son muy pocas las empresas que no cuenta aún con algún SI, por muy sencillo que este sea, en el entorno tan competitivo en el que se encuentran las empresas necesitan cada vez más sistemas de información para poder hacerle frente a las presiones de la competencia (rivales) e incluso para poder permanecer en la posición en la que se encuentran.

Estos sistemas pueden variar de simples a complejos y el modo en que se clasifican depende de diversos factores, aunque todos tienen algo en común: hardware, software, datos, telecomunicaciones y también, personas.

(Turban & Leidner, 2006) Proponen cuatro clasificaciones de los SI:

  1. Según estructura organizacional de la empresa
  2. Según áreas funcionales
  3. Según el soporte que son capaces de dar
  4. Según la propia arquitectura del sistema

Sin embargo, en este artículo se tratará de describir los sistemas desde el punto de vista que ofrecen como soporte a la empresa según los autores (Sieber & Valor, 2006).

Ofimática (Office Information Systems – OIS)

Son los sistemas que más se utilizan  en las organizaciones ya sea para la realización de tareas y procesamiento de información a través de documentos de texto, presentaciones u hojas de cálculo, aunque también se pueden encontrar en los hogares y no sólo en las industrias; estos sistemas suelen ser muy eficaces al momento de realizar cálculos, documentos, escritos que deben de guardarse para recuperarlos más tarde.

Su evolución y el hecho de que cada son más accesibles en cuanto a su precio, han convertido a estos sistemas en una herramienta universal y muy común en todas las organizaciones, algunos de los programas que ya incluyen la ofimática son:

  • Sistemas de procesamiento de texto e imágenes
  • Hojas de cálculo
  • Sistemas para tomar notas
  • Programas para realizar presentaciones
  • Bases de datos personales

Sistemas de comunicación personal

Gracias a los avances de las TIC se ha permitido a las empresas realizar tareas en conjunto entre personas que están ubicadas de maneras completamente diferentes y distantes entre sí, desde enviar un email hasta conversaciones en grupo (chats), videoconferencias, estos han ido cambiando la comunicación empresarial en todos los aspectos.

Correo electrónico

Es, sin duda, uno de los servicios que ofrece el internet, más utilizados tanto a nivel empresarial como personal ya que hace posible la comunicación entre personas en diferentes lugares y con sistemas de información también diferentes.

Mensajería instantánea

Es uno de los sistemas de comunicación más utilizados en el mundo, aunque a nivel empresarial no lo es tanto, permite el envío de mensaje de texto, imágenes o documentos de manera casi instantánea entre una o varias personas que estén conectadas al mismo servicio.

Este sistema, también permite mantener conversaciones telefónicas entre dos usuarios conectados (mediante altavoces, un micrófono y una tarjeta de sonido) e incluso se puede hacer videoconferencia si se dispone de una cámara conectada a la computadora (webcam).

Peer-to-Peer (P2P) file Sharing

Estos sistemas permiten el intercambio de ficheros entre sus diferentes usuarios, aunque no es precisamente un servicio de mensajería instantánea. La aparición de las redes P2P tiene un gran impacto en ciertos sectores, especialmente en el de la música con un volumen estimado de datos intercambiados de 30 millones de canciones por día desde el 2005.

Teleconferencia

Dentro de este tipo, los más populares son la audioconferencia y la videoconferencia, donde el primero hace posible mantener conversaciones por teléfono con más de dos personas al mismo tiempo, mientras que el segundo incluye además la posibilidad de verse a través de la pantalla.

Sistemas transaccionales

Este tipo, es básico y operativo, conocido como Transaction Processing Systems, TPS); se trata de sistemas informáticos que ejecutan y memorizan transacciones realizadas a diario pero esenciales para el buen funcionamiento de la organización y son utilizados por las personas responsables los niveles operacionales.

Características de los TPS

De acuerdo a (Sieber & Valor, 2006) sus características son:

  • Realizar operaciones poco complejas que solo requieren programas estadístico y/o matemáticos.
  • Tratan información de manera rutinaria.
  • Tratan con grandes cantidades de datos.
  • Pueden resultar críticos para el correcto funcionamiento de la organización.
  • Generalmente, los datos suelen proceder del interior de la empresa.

Sistemas de Información gerencial (MIS)

Apoyan las funciones de planificación, control y toma de decisiones de las personas, gracias a la realización de informes rutinarios y periódicos; es decir, presenta las operaciones básicas gracias a los datos aportados por los TPS.

Características de los MIS

  • No son muy flexibles
  • Poseen poca capacidad de análisis
  • Dan soporte a decisiones estructuradas de directivos de nivel medio mediante el análisis de los datos internos.
  • Se basan en los datos actuales, aportados habitualmente por los TPS.

Sistemas de soporte a la toma de decisiones (DSS)

(Sieber & Valor, 2006) Contiene modelos que relacionan todos los factores que pueden influir en la decisión, aunque esta siempre la va a tomar uno o varios responsables, estos sistemas representan un soporte.

Características de los DSS 

  • Fácil de utilizar
  • Utiliza sofisticadas herramientas de modelización y análisis de datos
  • Proporciona información de forma flexible
  • Ofrece soportes a decisiones secuenciales o independientes
  • Da soporte a decisiones que no se pueden predecir con anterioridad

Sistemas de soporte a la toma de decisiones en grupo (GDSS)

En la actualidad, las empresas deben de tomar decisiones importantes las cuales deben consensuarse con un grupo de personas que se reúnen para tal efecto. Cuanto surge  este tipo, se apoyan en soportes electrónicos y se habla entonces de un sistema de soporte a la toma de decisiones en grupo. (Sieber & Valor, 2006)

Sistemas información para ejecutivos (EIS)

También conocidos como sistemas de soporte a ejecutivos, ofrecen su apoyo directo a directivos o ejecutivos específicos, gracias al procesamiento de la información, ya sea interna o externa, resumida y presentada especialmente. (Sieber & Valor, 2006)

Características de las EIS

  • Especialmente adaptados para atender necesidades de ejecutivos
  • Aportan numerosos datos, internos y externos
  • Son fáciles de utilizar
  • Presentan información de manera gráfica
  • Disponen de herramientas para el análisis

Sistemas expertos

Aquellos que utilizan reglas y otras representaciones del conocimiento para facilitar el trabajo de los profesionistas en situaciones muy puntuales pero a la vez complejas a las que personas no expertas difícilmente podrían enfrentarse.

Auditoría

(CONACYT, 2012) Una auditoría es una revisión y examen de función, cifra, proceso o un reporte, efectuado por personal independiente a la organización para apoyar a la función ejecutiva.

(INEGI, 2010) Una auditoría es: “Un proceso sistemático por el cual un equipo o persona competente obtiene y evalúa la evidencia respecto a las afirmaciones acerca de un proceso, con el fin de formarse una opinión sobre el particular e informar sobre el grado de cumplimiento de dicha afirmación es implementada”.

Y la auditoría de un SI, la define como cualquier otra auditoría que abarca la revisión y evaluación (ya sea parcial o total) de sistemas automatizados de procesamiento de la información, procesos relacionados no automatizados y las interfaces entre ellos.

Pasos para realizar una auditoría

La planeación adecuada sería el primer paso, para usar efectivamente los recursos de auditoría de SI, las organizaciones auditoras deben de evaluar los riesgos de las áreas generales y de aplicación y los servicios relacionados al auditar y luego desarrollar el programa de auditoría, el cual debe comprender objetivos y procedimientos que satisfagan los objetivos de la auditoría.

El proceso de la auditoría, requiere que el auditor recolecte la evidencia a través de evidencia, evalúe las fortalezas y las debilidades de los controles y prepare un informe que presente de manera objetiva dichos asuntos a la gerencia de la organización.

La gerencia, deberá asegurarse que haya disponibilidad de dicha evidencia, y si es el caso de una auditoría interna de SI, realizar actividades de seguimiento respecto al avance de acciones correctivas emprendidas por la alta dirección.

Una discusión sobre la auditoría, deberá incluir el alcance, objetivos, criterios y los procedimientos de la auditoría, evidencia, conclusiones y las opiniones, y un informe a la gerencia.

Restricciones del auditado

Pueden incluir:

  • Reciente rotación o no disponibilidad
  • Infracción en las fechas tope o fechas de procesamiento cíclico
  • Ausencia de conocimientos o documentación

Para entender estas restricciones, el auditor deberá tener un excelente entendimientos de los SI, aunque estas podrían ser evitadas o minimizadas mediante una adecuada planeación.

Técnicas de administración de auditorías

(INEGI, 2010) Las técnicas para gestionar y administrar proyectos de auditoría, ya sea manual o automatizado incluyen:

  • Desarrollar un plan detallado
  • Reportar actividad de proyecto contra el plan
  • Ajustar el plan y emprender las acciones correctivas.

Fases de la auditoría

  1. Sujeto de la auditoría
  2. Objetivo de la auditoría
  3. Alcance de la auditoría
  4. Planeación de auditoría o preliminar o preauditoría
  5. Procedimientos de auditoría y pasos para la recopilación de datos
  6. Procedimientos para evaluar la prueba o revisar los resultados
  7. Procedimientos de comunicación con la gerencia
  8. Elaboración del informa de auditoría

A pesar de que un programa de auditoría no sigue necesariamente pasos específicos, el auditor de SI generalmente seguirá un mínimo curso de acción, pasos secuenciales para obtener un entendimiento de lo que está auditando, evaluar la estructura de control y probar los controles.

Conclusión

La información dentro de las organizaciones se puede utilizar desde un simple procedimiento manual hasta el más complejo equipo de cómputo, el cual es capaz de tomar decisiones de manera automática, todo depende también del tamaño de la empresa y de la cantidad de información que tenga que procesar.

Pero, en todos los casos, sea muy grande o muy pequeña, los SI tienen una suma importancia aunque como se mencionó anteriormente, si no se maneja de forma correcta esta no resultaría muy útil.

De aquí surge la necesidad de tener SI clasificados y ordenados de manera eficiente, con una estructura que defina claramente sus elementos, con el objetivo de tener la información disponible en cualquier momento pero sobre todo que sea confiable, para que permita elegir la mejor decisión.

Referencias

  • Andreu, R., & Valor, J. (1996). Estrategia y Sistemas de Información. McGraw-Hill.
  • CONACYT. (2012). Auditoría y revisión de control.
  • INEGI. (2010). Planeación de auditoría.
  • Sieber, S., & Valor, J. (2006). Los sistemas de información en la empresa actual. España: Mc GrawHill.
  • Turban, E., & Leidner, D. (2006). Infomation Tecnology for Management. United States of America: Wiley.

Cita esta página

Sánchez Ávila María Fernanda. (2016, marzo 1). Auditoría de Sistemas de Información Organizacional. Recuperado de https://www.gestiopolis.com/auditoria-sistemas-informacion-organizacional/
Sánchez Ávila María Fernanda. "Auditoría de Sistemas de Información Organizacional". gestiopolis. 1 marzo 2016. Web. <https://www.gestiopolis.com/auditoria-sistemas-informacion-organizacional/>.
Sánchez Ávila María Fernanda. "Auditoría de Sistemas de Información Organizacional". gestiopolis. marzo 1, 2016. Consultado el . https://www.gestiopolis.com/auditoria-sistemas-informacion-organizacional/.
Sánchez Ávila María Fernanda. Auditoría de Sistemas de Información Organizacional [en línea]. <https://www.gestiopolis.com/auditoria-sistemas-informacion-organizacional/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de magnus_akselvoll en Flickr