Auditoría de sistemas de información: objetivo y razones para implementarla

Introducción

El presente artículo habla sobre el tema de Auditoría de los Sistemas de Información. Se inicia el tema definiendo lo que es Auditoría y algunos de los tipos que existen. Posteriormente se habla sobre sistemas de Información en las organizaciones, sus características, el proceso que siguen y la clasificación que manejan.

Ya establecidas las bases de esas dos partes, se unen para crear la definición de  Auditoría de los Sistemas de Información en las organizaciones. Se mencionan los objetivos que este proceso persigue, así como razones para implementarlo en una empresa.

Se hace mención de organismos que han estandarizado este proceso y finalmente se plantea uno método general para llevarlo a cabo.

Auditoría de los sistemas de información

Antes de comenzar a hablar sobre lo que es la Auditoría de los Sistemas de Información organizacionales, considero necesario definir conceptos por separado, de esta forma partiremos de lo general para llegar a lo más específico y obtener una visión más clara del tema.

Auditoría

El primer término a definir es Auditoría. Según la ISO 19011, Auditoría es: “el proceso sistémico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios establecidos” (ISO, 2012).

Existen auditorías de diferentes tipos que son aplicadas a las empresas, regularmente cada una de ellas se hacen por áreas. Por ejemplo, existen auditorías fiscales, contables, financieras, sociables, de calidad, de operaciones, entre otras más.

Sistema de Información organizacional

La segunda definición a mencionar es la de un Sistema de Información, conocido por sus siglas como SI. Un sistema de información es un conjunto de elementos que están interrelacionados que sirve para procesar datos y que estos puedan ser de utilidad en las actividades de las organizaciones.

Dentro de un SI se da una interacción entre las personas, los datos, software, hardware; y si no se cuenta con ellos, bases de datos físicas que funcionan como registros, además de otros medios de comunicación y tecnología, acompañados de normas y reglamentos de la empresa.

El proceso que realiza un sistema de información consta de cuatro fases:

  • Entrada
  • Almacenamiento
  • Procesamiento
  • Salida

La entrada de datos se da cuando se registran los datos deseados. El almacenamiento se refiere a la actividad de guardar los datos en una base de datos ya sea física o electrónicamente (computadora). La siguiente fase es el procesamiento de los datos, en ella los datos son transformados en información útil. Finalmente se encuentra la salida, esta fase se requiere a sacar los la información que servirán para toma de decisiones.

Los datos por si solos no contienen ningún valor para las empresas hasta que son analizadas y procesados, la información que se obtiene genera conocimientos importantes. Es por esa razón que los sistemas de información deben de ser de calidad.

Las características principales que debe tener la información en un sistema de apoyo empresarial son las siguientes:

  1. Se refiere a que se debe contar con la información en el momento deseado, ni antes ni después, para poder hacer uso de ella sin retrasos.
  2. Eso quiere decir que la información debe ser siempre real, sin alteraciones y sin errores.
  3. Que sea información completa.
  4. Que la información esté protegida, y sea manejada por personas de confianza.

Debido a la gran utilidad de los Sistemas de Información, éstos son implementados con diferentes objetivos dentro de una empresa.

Existen con fines comerciales, de  producción, de finanzas y administrativos. Ejemplos de cada uno de ellos son:

  • Sistema empresarial: usado para planear compras, ventas y control de inventarios.
  • Sistema de producción: compras de materiales, contacto con proveedores, planeación de órdenes, costos de manufactura.
  • Sistema contable: para realizar proyecciones, presupuestos, razones financieras, control fiscal.
  • Sistema de nóminas: integra nóminas, IMSS, afore, seguros.

Auditoría de los Sistemas de Información organizacionales

Esta actividad se define como: “La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia” (Naranjo, 2005).

Consiste en verificar y evaluar los controles pero además los sistemas y los procesos para el tratamiento de la información de la empresa.

Objetivos

Los objetivos de esta auditoría son:

  • Salvaguardar los activos útiles para el procesamiento de datos, evitando robos, destrucción, usos no adecuados.
  • Mantener la integridad de los datos.
  • Mediante la contribución de la información que se maneja en la empresa, alcanzar las metas organizacionales.

Razones para implementar una auditoría

Situaciones que podrían indicar la necesidad de una auditoría son (Ynfante, 2010):

  1. Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
  2. Desconocimiento de información en áreas de la empresa.
  3. Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
  4. Descubrimiento de fraudes efectuados con el computador.
  5. Falta de una planificación por carencia de información oportuna.
  6. Descontento de los clientes por incumplimiento de plazos y mala calidad de los resultados.

Los organismos que se ocupan del control y de la auditoría de SI

Algunos de los principales organismos que sirven como fuentes de estándares para realizar auditorías son:

  • ISACA – Asociación de Auditoría y Control de Sistemas de Información
  • ISO – Organización Internacional para la estandarización.
  • NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

Metodología

En la actualidad existen tres tipos de metodologías de auditoría, ROA. (risk oriented approach, Checklist o cuestionarios y auditoría de productos).

La metodología que a continuación se presenta es la más usada y general. Todo el proceso se divide en tres partes: Planeación, ejecución y dictamen.

La planeación de la auditoría del sistema de información de una empresa consiste en identificar el origen de la auditoría, es decir donde será el lugar por el cual se ha de iniciar, posteriormente se debe de realizar una visita preliminar del área. Después se prosigue a establecer los objetivos que queremos alcanzar, determinar los puntos que serán evaluados en la auditoría y elaborar planes, programas y presupuestos para su realización. Luego se deben de identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría y asignar los recursos y sistemas que serán de utilidad para la auditoría.

La segunda parte consiste la ejecución, aquí se realizan las acciones programadas para la Auditoría,  se aplican los instrumentos y herramientas establecidos y si se requiere se elaboran documentos de oportunidades de  mejoramiento encontradas y se prosigue al análisis de la información obtenida.

Dentro de las técnicas y herramientas que se pueden usar están: la observación, entrevistas, cuestionarios, encuestas, checklists y controles de inventario.

La tercera y última parte es el dictamen. En esta fase se presentan los resultados obtenidos.

Conclusión

La auditoría de los Sistemas de Información organizacionales es muy importante, desafortunadamente muchas de las empresas visualizan este proceso como un requisito obligatorio que les hace perder tiempo y dinero, cuando la realidad es que este proceso ayuda a las organizaciones a mantenerse en el camino hacia sus objetivos. La información que un sistema brinda es un recurso clave en la empresa para planear el futuro, controlar el presente y evaluar el pasado.

La auditoría de los Sistemas de Información puede realizarse por una persona externa a la empresa o por algún empleado interno, siempre y cuando cumpla con ser objetivo.

Es importante que al terminar la auditoría, los resultados obtenidos tengan un seguimiento, ya que si no se busca solucionar los problemas no se cumpliría con el objetivo de realizarla.

Algunas empresas multinacionales como Toyota, emplean el proceso de auditoría periódicamente, ya que ellos están interesados en mantener funcionando correctamente su Sistema de Información, un fallo significaría pérdidas de clientes y de la buena reputación que han logrado.

Referencias

  • ASF. (2014). Recuperado el 7 de septiembre de 2015, de Auditoría Superior de la Federación: http://www.asf.gob.mx/
  • INCAP. (2011). Recuperado el 7 de septiembre de 2015, de INCAP: http://www.incap.int/sisvan/index.php/es/acerca-de-san/conceptos/sistema-de-vigilancia
  • ISO. (2012). Recuperado el 7 de septiembre de 2015, de Asociación Española para la Calidad: http://www.aec.es/web/guest/centro-conocimiento/une-en-iso-19011
  • López, A. (2013). Recuperado el 7 de septiembre de 2015, de UV: http://www.uv.mx/personal/artulopez/files/2012/10/07-Auditoria-de-SI.pdf
  • Naranjo, A. (2005). Auditoría de sistemas. Recuperado el 7 de septiembre de 2015, de galeon.com: http://anaranjo.galeon.com/
  • Solarte, F. (2011). Recuperado el 6 de septiembre de 2015, de Auditor de sistemas: http://auditordesistemas.blogspot.mx/
  • Yañez, C. (octubre de 2011). Recuperado el 7 de septiembre de 2015, de OLACEFS: http://www.olacefs.com/wp-content/uploads/2014/08/1erlugar.pdf
  • Ynfante, R. (2010). Recuperado el 7 de septiembre de 2015, de monografías.com: http://www.monografias.com/trabajos70/auditoria-interna-informacion/auditoria-interna-informacion2.shtml

Cita esta página

Flores Guirao Sheyla. (2015, octubre 5). Auditoría de sistemas de información: objetivo y razones para implementarla. Recuperado de https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion-objetivo-y-razones-para-implementarla/
Flores Guirao Sheyla. "Auditoría de sistemas de información: objetivo y razones para implementarla". gestiopolis. 5 octubre 2015. Web. <https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion-objetivo-y-razones-para-implementarla/>.
Flores Guirao Sheyla. "Auditoría de sistemas de información: objetivo y razones para implementarla". gestiopolis. octubre 5, 2015. Consultado el . https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion-objetivo-y-razones-para-implementarla/.
Flores Guirao Sheyla. Auditoría de sistemas de información: objetivo y razones para implementarla [en línea]. <https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion-objetivo-y-razones-para-implementarla/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de hazy-daisy en Flickr