Auditoria y control de sistemas de información en tecnología

Autor: Ana Itzel Betanzos Rodríguez

Auditoria y control interno | Tecnología e internet

14-12-2011

Definiciones

Cualquier transferencia de información a lo largo de la empresa termina difuminando el mensaje. Por eso es necesario en el futuro que las empresas dispongan de pocas capas directivas, aunque con gran habilidad en el manejo de información. Para ello, necesitamos profesionales con un conocimiento actualizado, porque la información, como bien sabes, se queda obsoleta con increíble rapidez. Peter Drucker

Como mencionaba Peter Drucker la información suele difuminarse en el recorrido que tiene para llegar a los usuarios finales, es por ello que surge la auditoria de los sistemas de información. La auditoria de los sistemas de información nos apoya para verificar el estado actual de los sistemas de información de la empresa,: pero para comprender mejor la función de esta es necesario ir a la raíz de sus palabras y así definirla mejor, el siguiente esquema nos representa las definiciones da cada una de sus partes:

Auditoria:

Proviene del latín audire (“oír”), que hace referencia a la forma en que los primeros auditores cumplían con su función (escuchaban y juzgaban la verdad o falsedad de lo que era sometido a su verificación).

Sistema:

Del latín systema, un sistema es módulo ordenado de elementos que se encuentran interrelacionados y que interactúan entre sí. El concepto se utiliza tanto para definir a un conjunto de conceptos como a objetos reales dotados de organización.

Información:

Conjunto organizado de datos, que constituye un mensaje sobre un cierto fenómeno o ente. La información permite resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento.

Entonces un sistema de información es un conjunto organizado de elementos, que pueden ser personas, datos, actividades o recursos materiales en general, los cuales interactúan entre si para generar información y esta pueda servir de base al conocimiento.

La auditoria pues de los sistemas de información se basa en la forma en que se obtienen esos elementos y su seguridad dentro del sistema.

En plena era de la información, las empresas se han dado cuenta de la importancia que juega la información dentro de su organización, es por ello que buscaran la mejor forma de resguardarlas y verificar que esta este siendo real y cumpla con la función de informar correctamente a las personas adecuadas. Es por ello que la auditoria general se especializo y dio paso a la auditoria informática y mas especializada aun a la auditoria de los sistemas de información que toda aquella información que interactúa en la organización y le repercute.

Clasificación de la auditoria

Toda información es importante si está conectada a otra. Umberto Eco

La auditoria se entiende como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas, los actos y eventos económicos; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, es decir comprobar la veracidad de lo que se dice. Los inicios de la auditoria fueron principalmente contables con carácter financiero, pues era lo que mas interesaba al propietario de una empresa. La sociedad capitalista de la era industrial, se preocupaba mucho por es aspecto económico, olvidando otros aspectos que encerraban en la organización, mas con el paso del tiempo y los avances tecnológicos se hace necesario la ramificación de la auditoria quedando esta de forma general de la siguiente forma:

En base a esta clasificación genérica, podemos decir que la auditoria financiera fue el origen, y posteriormente dio lugar a la operativa debido al alcance y la importancia que los usuarios del informe de auditoria, requieran sobre algunas áreas operativas de la empresa volviendo a la auditoria mas especializada todavía.

Así pues la auditoria financiera examina estados financieros conforme a las normas internacionales de auditoria generalmente aceptado, los registros y operaciones correspondientes para determinar la observancia de los principios de contabilidad generalmente aceptados y dar así un sentido de confiabilidad en las finanzas.

Por otra parte la administración operativa es un examen sistemático de las actividades de una organización ( o de un segmento estipulado de las mismas) en relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejora y generar :

• Recomendaciones para el mejoramiento

• O potenciar el logro de objetivos

La auditoria de sistemas de información pertenece a la rama de la auditoria operativa. Y esta se encarga de llevar a cabo la evaluación de normas, controles técnicas y procedimientos que tienen establecidas en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

Debido a que la mayoría de los Sistemas de información están regulados o sustentados en la tecnología, esta es un área principal sobre la cual se hace mucho énfasis, siendo en coordinación con personas especializadas en informática que el auditor se apoya para lograr una correcta evaluación y así un buen informe que de la información necesaria a los interesados.

Tipos de sistemas de información:

Existe un principio que se resiste a toda información, que se resiste a toda investigación, que nunca deja de mantener al hombre en una ignorancia perenne... Es el principio de desestimar lo que no se ha investigado. Herbert Spencer

Para Comprender mejor los diversos tipos de sistemas de información se debe comprender los elementos que conforman el sistema de información los cuales se ven mas detallados en el siguiente esquema:

Así pues vemos que los sistemas de información se pueden clasificar de acuerdo a las personas que lo integran, el tipo de información que se tiene y su origen y los recursos o medios por los cuales puede crearse.

En base a las personas tenemos que se pueden agrupar por, internas y externas, además de la siguiente forma.

Así como también se pueden agrupar al nivel de información que proporciona a la toma de decisiones:

No podemos olvidar también los medios que se utilizan dentro del sistema de información ya sean internos o externos son muy variados y pueden ser los siguientes:

Sistemas de información avanzados

Cuanta más información posees, más enlaces mentales construyes, y, como consecuencia, tu memoria se hace más sólida. Tony Buzan

Por sistemas de información avanzados en este capitulo nos vamos a refería a todos aquellos sistemas informáticos que recaban información de cada una de las áreas de la empresa a través de diferentes procesos para su correcta aplicación en algunos sistemas que forman parte de la arquitectura de software especializados para la toma de decisiones de cada área.

Un ejemplo del esquema de estos sistemas de información avanzados se presenta en la siguiente imagen:

Nos encontraremos con un sistema compuesto de varias capas o niveles que se superponen y en todas ellas se pueden producir determinados riesgos que deben ser considerados en nuestro análisis, tal como veremos más adelante. Estas capas son:

1. La primera capa está formada por la infraestructura física

Contiene básicamente los elementos materiales, el hardware: mmainframe, sistemas periféricos, servidores, sistemas de comunicaciones, pc, etc.

2. Sobre la capa anterior, para hacer que funcionen los elementos físicos y el resto del software, se ubican los sistemas operativos (SO) Los principales SO utilizados en entidades medianas y grandes son: UNIX-Linux (en sus distintas versiones), MS Windows Server (también con varias versiones) y Windows XP-Vista en las estaciones de trabajo.

3. La siguiente capa, que funciona sobre los SO, la llamaremos sistemas TI de base

Este término recoge una gran diversidad de plataformas posibles soportando las aplicaciones del siguiente nivel. Se incluyen en este nivel los sistemas de gestión de bases de datos – SGBD (los más utilizados son Oracle Database, DB2, MS-SQL Server), componentes de base de aplicaciones integradas y sistemas más técnicos como el middleware (SAP Basis, NetWeaver, Oracle Fusion, IBM WebSphere), que permite integrar muy diversas aplicaciones y sistemas.

4. Aplicaciones de negocio o aplicaciones de gestión Este nivel contiene los elementos automatizados de los procesos de la entidad, las aplicaciones informáticas propiamente dichas que soportan los procesos de negocio y las principales líneas de actividad de la entidad

Aquí pueden encontrase muchas aplicaciones disponibles en el mercado, las más habituales están basadas en Oracle E-Business Suite, SAP R/3, SAP ERP 6.0 o Microsoft Dynamics.

Todas ellas tanto en una configuración estándar, como muy adaptada o como desarrollo propio, funcionan sobre los SGBD y componentes de base incluidos en la capa precedente.

5. Procesos de negocio o procesos de gestión: Principales procesos de la entidad, presentados por áreas de actividad y subdivididos en subprocesos y en actividades individuales.

Están soportados por las aplicaciones informáticas del nivel anterior.

Como se desprende de la esquemática y breve explicación de la estructura de un sistema de información, las distintas capas o niveles están interrelacionados, y los riesgos y debilidades en una de ellas pueden afectar al conjunto del sistema y consecuentemente tener impacto en las cuentas anuales, que son el reflejo de la actividad económico y financiera de una entidad durante un ejercicio económico.

Para minimizar esos riesgos el auditor debe analizar a fondo el conjunto del sistema de información con una metodología adecuada, como la que se propone en el presente trabajo

De una forma más gráfica, aunque sustancialmente similar, al esquema representado en la figura.

Objetivo de la auditoria de sistemas de la información

La información es todo un arte. Cómo captar. Cómo descartar. Porque hay en la noticia, en el rumor, en todas esas cosas una acción sobre la que ha de decidir. Es necesario aislar lo que no conviene y hacer llegar solamente lo que conviene que llegue, porque de lo contrario se está induciendo al error y a la falsa apreciación. Juan Domingo Perón

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. Todo esto a través de los siguientes objetivos específicos

Participación en el desarrollo de nuevos sistemas; buscando una evolución en coordinación con las nuevas tecnologías y sus apoyos de protección y eficiencia en el rubro

Evaluación de la seguridad en el área informática; desde la entrada de datos hasta la concentración de estos en información, pera genera conocimiento a los usuarios.

Evaluación de suficiencia en los planes de contingencia.: basándose en la capacidad e reacción de los mismos y su capacidad de adaptación.

Respaldos, buscando con ello prever qué va a pasar si se presentan fallas.

Opinión de la utilización de los recursos informáticos. En base a las políticas de la empresa y criterio del auditor

Resguardo y protección de activos. Verificando la asignación de lugares y de responsables en esta área

Control de modificación a las aplicaciones existentes.

Fraudes

Control a las modificaciones de los programas.

Participación en la negociación de contratos con los proveedores.

Revisión de la utilización del sistema operativo y los programas

Utilitarios.

Control sobre la utilización de los sistemas operativos

Programas utilitarios.

Auditoría de la base de datos.

Estructura sobre la cual se desarrollan las aplicaciones...

Objetivos específicos de la auditoria de sistemas

Auditoría de la red de teleprocesos.

Desarrollo de software de auditoría. Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

En donde la unión de los objetivos.

Pasos para implementar una auditoria de sistemas

La comunicación no conlleva comprensión. La información, si es bien transmitida y comprendida, conlleva inteligibilidad, primera condición necesaria para la comprensión, pero no suficiente. Edgar Morin

Al igual que la auditoria financiera esta debe llevar un esquema que se basa en la auditoria genérica y para simplificar los pasos son los siguientes:

Pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

• Estudio preliminar

• Revisión y evaluación de controles y seguridades

• Examen detallado de áreas criticas

• Comunicación de resultados

1. Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos,

Entrevistas con los principales funcionarios del PAD.

2. Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

3. Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

4. Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría

• Objetivos

• Alcance

• Estructura Orgánico-Funcional del área Informática

• Configuración del Hardware y Software instalado

• Control Interno

• Resultados de la Auditoría

Control de sistemas de información

Cuando la información se organiza, surgen las ideas. Jim Rohn

El propósito de los controles de aplicación en un entorno informatizado es establecer procedimientos de control específicos en las aplicaciones de negocio con el fin de asegurar razonablemente que todas las transacciones son autorizadas y registradas, y que son procesadas de forma completa, adecuada y oportuna.

Buscando con ello la implementación de los controles adecuados para cada área, así como la seguridad y rigurosidad que llevaran cada uno de ellos, dependiendo de los riesgos que conlleven determinada actividad o de la rapidez en que se requiera la información, así como del conocimiento que se espera sea publico o privado.

Visualmente podemos ver con los siguientes ejemplos los efectos de un buen control de información y otro tipo de control.

Comparando los controles de los sistemas con las imágenes que se presentan podemos decir que buscamos una correcta implantación de los controles, que no sea pesada, para poder proteger la información de la que disponemos.

COBIT

Un buen diseño para un ingeniero en informática puede que no sea tan bueno para una persona que no esté relacionada con sistemas. Muchos ingenieros no reconocen eso y surgen problemas. Jakob Nielsen

CobiT (Control Objectives for Information and Related Technology) es un marco conceptual para el buen gobierno de las tecnologías de la información, que fue desarrollado originalmente en 1994 por ISACA.

La versión 4.1 de CobiT fue publicada en 2005 por el IT Governance Institute (ITGI). CobiT es una referencia de control interno sobre procesos informáticos internacionalmente aceptada.

Se utiliza como metodología para definir y monitorizar el control interno relacionado con los sistemas de información de las entidades y también como metodología de auditoría.

Define procesos relacionados con la función informática así como los elementos de control, buenas prácticas, gestión y auditores.

Desde un punto de vista práctico, tiene que ser «adaptado» en función del tamaño y la misión de la organización. El Tribunal de

El marco de trabajo general CobiT se muestra gráficamente en la figura siguiente, con el modelo de procesos de CobiT compuesto de cuatro dominios que contienen 34 procesos genéricos, administrando los recursos de TI para proporcionar información al negocio de acuerdo con los requerimientos del negocio y de gobierno y cualquier otro usuario

Bibliografía

DE, D. (s.f.). DEFINICION.DE. Recuperado el 20 de 09 de 2011, de DEFINICION.DE: http://definicion.de/

GARCIA, J. A. (s.f.). Auditoria en informatica. Mc graw hill.

GARCIA, J. R., & URAN, M. E. (2003). De la gestión de la informacion a la gestion del conocimiento. Investigacion bibliotecologica, 54-69.

INSTITUTO TECNOLOGICO DE CHETUMAL. (s.f.). Instituto tecnologico de CHETUMAL. Recuperado el 10 de 2011, de www.itchetumal.edu.mx/

ROY, A. M. (2010). La auditoria de sistemas de informacion integrada en la auditoria financiera, la perspectiva del sector publico. Valencia: Generalitat valenciana.

Descargar Original

Descargar Original

Ana Itzel Betanzos Rodríguez - anaitzelbetanzosarrobahotmail.com

Comentarios
comments powered by Disqus

Nuevas publicaciones

⇐ Hazte Fan en Facebook
⇐ Síguenos en Twitter
⇐ Agréganos en Google +
⇐ Suscríbete vía Email
"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tendremos dos ideas"
George Bernard Shaw
Comparte conocimiento
Contenidos publicados con licencia CC BY-NC-SA 3.0 a excepción de los casos en los que se indican derechos de autor específicos. Sugerimos contactar a los autores al usar material públicamente.