Auditoría de sistemas de información organizacional

En un mundo globalizado caracterizado por la modificación de las formas de hacer negocios y la concepción de grandes cambios en el mercado; la incorporación de tecnologías informáticas fue un factor clave y trascendental que facilitó la administración de los datos e información en las organizaciones, con el fin de ofrecer mejoras en los procesos de toma de decisiones, pues en la actualidad todas las empresas, incluso las Pymes, requieren de sistemas de información que colaboren con la gestión de los diversos procesos organizacionales.

Por ello, en la perspectiva de comprender el impacto que los sistemas de información tienen en la empresa moderna, resulta importante analizar cómo se ha transformado el concepto de gestión de información en una organización basada en nuevas tecnologías, los problemas derivados de una inadecuada planeación de los sistemas de información que utiliza, así como  la inexistencia de una política de gestión y manejo de la información, la cual se ve reflejada en la pérdida de información, sobre-costos en su tratamiento, demora en la recuperación de la información necesaria para la toma de decisiones y en particular, la desarticulación entre los diferentes agentes que intervienen en la producción, distribución, acceso, conservación y utilización de la información en la organización.

En tanto, para efectuar dicho análisis, se requiere de una https://www.gestiopolis.com/auditoria-de-los-sistemas-de-informacion-y-comunicacion-organizacional/ que se centre en determinar los riesgos que son relevantes para los activos de información, y en la evaluación de los controles implementados, a fin de reducir o mitigar los diversos riesgos que implican su manejo y resguardo.

Es importante destacar que, mientras que una auditoría financiera tiene como propósito evaluar si una organización está cumpliendo con las prácticas contables habituales, una auditoría de sistemas de información debe evaluar el diseño del sistema de control interno y la eficacia, eficiencia y capacidad de la organización para proporcionar debidamente este recurso a las personas indicadas en tiempo y forma, y  para proteger sus activos de información mediante la implementación de controles.

Así, con el fin de mejorar la productividad y el rendimiento de las organizaciones, es fundamental evaluar sus técnicas actuales y la tecnología de que disponen, para desarrollar sistemas que colaboren en la gestión de información relevante.

Definición 

La auditoría de sistemas de información organizacional consiste en el examen de los métodos de generación de información y de los centros de procesamiento de datos, instalaciones y unidades informáticas de las organizaciones, la verificación de la calidad de los sistemas de información y la propuesta de mejoras coherentes con el proyecto de calidad adoptado por la organización, con la finalidad de facilitar la consecución de sus objetivos establecidos.

Por tanto, la auditoría de sistemas de información se define como el examen y validación del cumplimiento de los controles y procedimientos utilizados para la confidencialidad, integridad y disponibilidad de los sistemas de información. Siendo dicha auditoría realizada por personal externo a la empresa, con el fin de proporcionar una evaluación independiente y objetiva de los hechos que, en ocasiones, es difícil de obtener internamente cuando se está inmerso en la operación cotidiana.

Así, el objetivo primordial de una auditoria de SI, es determinar si los controles implementados en la empresa son eficientes y suficientes, identificar las causas de los problemas existentes en los sistemas de información y a su vez, las áreas de oportunidad, determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas de información confiables y disponibles, pues en caso contrario se estaría afectando la operación y las estrategias del negocio. (Auditoría y seguridad informática, 2001)

Sistemas de información organizacional 

Sistema de información organizacional

Figura 1: Sistema de información organizacional

Primeramente, un sistema es definido generalmente como un conjunto de elementos con relaciones de interacción e interdependencia que le confieren entidad propia al formar un todo unificado, es decir, son elementos que interactúan con un objetivo común. (Jaramillo, 2007)

En cuanto a un sistema de información se refiere, es definido como un conjunto relacionado de elementos que recaban, procesan, almacenan y distribuyen información útil para la toma de decisiones dentro de una organización.

Asimismo, un SI[1] se puede definir como un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo. Donde los elementos que interactúan para el procesamiento de datos y obtención de información se muestran en la figura no. 2.

Componentes de un sistema de información

Figura 2. Componentes de un sistema de información

  1. Recursos humanos: Es decir, aquellas personas que interactúan con el sistema de información.
  2. Hardware: Son los dispositivos físicos utilizados en el procesamiento y almacenamiento de datos.
  3. Software: Lo componen los programas del sistema operativo computacional y los procedimientos utilizados para transformar y extraer información.
  4. Datos: Representan las actividades de la empresa mediante datos alfanuméricos compuestos de letras y números; o también compuestos por textos, oraciones o párrafos; imágenes; o audio y video. (Zamora, s.f.)

Todos estos elementos interactúan para procesar datos de forma manual, semiautomática o automática, con la finalidad de generar información que se distribuya de la manera más eficiente y eficaz posible en la organización, en función de los objetivos establecidos. Por lo que se puede concluir que son tres dimensiones importantes, las que conforman un sistema de información organizacional:

Organización

Los sistemas de información son un elemento de la organización misma, pues se acoplan a la estructura de la organización reflejando y reproduciendo las líneas de comunicación, así como los niveles y divisiones del trabajo dentro de la compañía, automatizando los procedimientos formalmente establecidos.

Cada organización aporta la esencia de su cultura a la implementación y uso de la tecnología, no obstante, la tecnología también influencia el desarrollo de la organización.

En consecuencia ningún sistema de información es capaz de aportar beneficios para la toma de decisiones, sino existe una estructura definida y un método eficaz para procesar los datos y producir información relevante. (Sistemas Umma, 2013)

Personas

En una organización, las personas son el recurso más importante, ya que son éstas las que producen la sinergia que finalmente se convierte en beneficios para la empresa. Y es por ello que las organizaciones deben asegurarse de contar con personas que poseen diversas habilidades y conocimientos, entre los cuales se encuentran el uso de equipo de cómputo y la operación del sistema de información que proporcione la organización; pues de nada servirá ostentar el mejor sistema de información si los colaboradores no lo usan correctamente y obtienen el máximo beneficio.

En este caso, ningún sistema de información es capaz de funcionar de forma completamente autónoma, pues hasta un sistema automático necesita en mayor o menor grado de la interacción humana, afrontando la tarea de evitar que los usuarios introduzcan información incorrecta de forma accidental o de manera dolosa. (Sistemas Umma, 2013)

Tecnología

La tecnología está compuesta por todos los recursos de hardware, software, redes y telecomunicaciones que la empresa implementa para soportar la comunicación y producción de la información.

No obstante, el internet se ha convertido también en una de las más socorridas herramientas en las organizaciones, y los servicios que se ofertan a través de su aplicación, lo han transformado en un medio de comunicación indispensable; pues actualmente ninguna empresa prescinde de la utilización de cuentas de correo electrónico, o del uso de las redes sociales como medio de comercialización de productos y servicios. (Sistemas Umma, 2013)

En otro orden de ideas, un sistema de información para la organización es fundamental, pues facilita la gestión de la información, permite conocer el estado de los datos, información sobre mercados, competidores y proveedores, estadísticas de proyectos y demás información relevante para la gestión organizacional y la toma de decisiones.

Asimismo, un SI[2] debe responder al cumplimiento de la misión y visión de la compañía, ya que interactúa directamente con el ambiente de la organización, en tanto que se nutre de los elementos del ambiente.

La retroalimentación por tanto, constituye un elemento clave para su desarrollo y fortalecimiento,  pues permite conocer el impacto de sus resultados como salidas en el ambiente, propiciando el rediseño del sistema en función de la satisfacción o necesidades de los usuarios/clientes que forman nuevas entradas.

Modelo Sistema Organización Empresarial

Figura 3: Modelo Sistema Organización Empresarial

La información como recurso en las organizaciones

Como se ha podido observar, un sistema de información requiere la implementación de componentes tecnológicos que conforman la infraestructura que da soporte y que refleja los procesos y la cultura de la organización, a través de una adecuada interacción con el recurso humano que alimenta de datos al sistema y que posteriormente se convierte en usuario de la información que este genere, para sustentar su toma de decisiones.

Es así que, en las denominadas “sociedad de la información” y/o “sociedad del conocimiento”, el uso y acceso a la información constituye un factor trascendental desde el punto de vista económico e intelectual, pues contar con información rápida y oportuna, colabora en el desarrollo y sostenibilidad de las organizaciones al facilitar el proceso de toma de decisiones, al representar una guía para la solución de problemas y al sentar las bases para la rápida adaptación y respuesta a los cambios del entorno.

La importancia de la información para las organizaciones radica en que hoy, es considerada como un recurso esencial, al ser utilizada para desempeñar las operaciones diarias y de manera estratégica para la búsqueda de un alto nivel competitivo. Así que, para hacer crecer su valor, la empresa debe integrar la información y tenerla disponible en el momento adecuado para que pueda ser analizada en búsqueda de generar conocimiento, proceso en el cual las herramientas tecnológicas juegan un papel muy importante. (Castro, 2015)

Tipología de SI en el sector organizacional (Ecured, s.f.)

En el sector organizacional se han desarrollado diversas tipologías para los sistemas de información, delimitadas a partir de las propias necesidades del sector y de la adecuación a los procesos fundamentales de cada organización.

Sistema de información de marketing (S.I.M): Orientado a obtener y procesar información sobre mercadotecnia, esencialmente en tres aspectos importantes: inteligencia de mercadotecnia o información sobre el entorno, información interna de mercadotecnia, y comunicaciones, es decir,  la información que fluye desde la organización hacia el entorno.

Sistemas de Información de Producción (S.I.P): Tiene como objetivo proporcionar información acerca de las operaciones de producción.

Sistema de información financiera (S.I.F): Proporcionan a personas y grupos, tanto dentro como fuera de la organización, información relacionada con los asuntos financieros de la organización.

Sistema de información de recursos humanos (S.I.R.H): Permite recopilar y almacenar información relacionada con los recursos humanos, para transformarla y posteriormente distribuirla a los usuarios autorizados dentro de la organización.

Sistema de información para directivos: Proporcionan a los directivos información sobre el desempeño global de la empresa. Utiliza fuentes de información internas (las salidas de los sistemas de información funcional) y fuentes del entorno, pues la información procedente del exterior, es especialmente importante para los niveles jerárquicos más altos.

Cabe destacar que la tipología de los SI puede ser tan variada y diversa como las necesidades de información, y responde a los objetivos de cada unidad funcional de la organización (figura 4), por ejemplo:

Tipología de Sistemas de Información

Figura 4. Tipología de sistemas de información (Ferrer, 2015)

Procesamiento de datos (TPS – Transactional Processing Systems): Procesa grandes volúmenes de información, tras la ejecución de actividades de carácter rutinario en las organizaciones; por lo cual, el elemento humano sigue participando en la captura de la información requerida.

Sistemas de información para la administración o gerenciales (MIS – Management Information Systems): Proporcionan informes periódicos para la planeación, el control y la toma de decisiones. Soportan un amplio espectro de tareas de las organizaciones dentro de las cuales se incluyen el análisis y la toma de decisiones.

Sistemas de soporte a la toma de decisiones (DSS – Decision Support Systems): Dependen de una base de datos como fuente de información, y sirve de soporte en cada una de las etapas de toma de decisiones. Por ello, al recaer la decisión en una persona responsable, estos sistemas de información deben ser diseñados con orientación a las personas que específicamente van a utilizarlo, es decir, de forma personalizada y no como un sistema tradicional para la administración.

Sistemas expertos o sistemas basados en el conocimiento (WKS – Knowledge Working Systems): Capturan y utilizan el conocimiento de un experto para la solución de un problema en particular, ya que si bien, en la aplicación de sistemas de soporte a la toma de decisiones, ésta depende de una persona responsable, el sistema experto además, selecciona la mejor solución al tipo específico de problema presentado. (Ecured, s.f.)

Auditoría de sistemas de información organizacional

El término auditoría proviene del latín auditorius, que se deriva de la palabra auditor, misma que hace referencia a todo aquel que tiene la virtud de oír. No obstante, se debe mencionar que su significado se ha empleado incorrectamente con frecuencia, ya que regularmente se considera a la auditoría como una evaluación cuyo único fin, es detectar errores y señalar fallas. Partiendo de tal supuesto, la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que tiene como propósito, evaluar y mejorar la eficacia y eficiencia de una unidad funcional o de una organización en su totalidad. (Herman, 2015)

Es el examen objetivo, crítico, sistemático, posterior y selectivo que se efectúa a la administración informática de una organización, con el fin de emitir una opinión acerca de la eficiencia en la adquisición y utilización de recursos informáticos, la confiabilidad, integridad, seguridad, oportunidad de la información y efectividad de sus controles.

Asimismo, la auditoría de sistemas de información busca propiciar el establecimiento y mantenimiento de los sistemas de gestión, la reducción de los riesgos inherentes a la utilización de los SI, el incremento del nivel de confianza que tienen los usuarios internos y externos a dichos mecanismos, comprobar el cumplimiento de los requerimientos del negocio para optimizar su utilización, e impulsar la seguridad de los sistemas organizacionales de información. Por ello, al igual que otros mecanismos empresariales, los SI están sometidos a control, pues por ejemplo, las computadoras creadas para procesar y difundir información pueden producir resultados erróneos si los datos que la alimentan  son a su vez, incorrectos, situación en la que recaen la empresas al olvidar la importancia de la naturaleza y calidad de los datos de entrada a sus sistemas informáticos.

Asimismo, un sistema de información mal diseñado puede convertirse en una herramienta peligrosa para la empresa, ya que las decisiones regularmente están determinadas por la información que brindan los mecanismos implementados para dichos sistemas,  por lo que la dirección de la empresa no puede depender de un software y hardware mal diseñados.

Al respecto, la auditoría de sistemas se encarga de verificar los controles para el procesamiento de la información, desarrollo de sistemas e instalación; con el objetivo de evaluar su efectividad y presentar recomendaciones para su optimización. (Durán, 2014)

Objetivos generales de una auditoría de sistemas de información

Como ya se ha mencionado, el objetivo primordial que tiene un auditor de sistemas de información, es dar recomendaciones a la alta gerencia para implementar mecanismos que logren un adecuado control interno, con el fin de lograr mayor eficiencia y eficacia operacional y administrativa. No obstante, la auditoría de sistemas de información busca, a su vez, obtener una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados en la organización, asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de controles específicos; conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos; otorgar seguridad de datos, hardware, software e instalaciones;  minimizar la existencia de riesgos en el uso de tecnologías de información, y evitar decisiones de inversión y gastos innecesarios en los sistemas instaurados. (Yucra, 2011)

Metodología de auditoría de SI 

Si bien es cierto que existen diversas metodologías para la auditoría de sistemas de información, su aplicación depende de aquello que se pretenda revisar o analizar en la organización, no obstante, como procedimiento estándar se presentan las siguientes cuatro fases básicas de un proceso de revisión (Durán, 2014):

Estudio preliminar: Etapa en la que se define el grupo de trabajo, el programa de auditoría, y se efectúan visitas a la unidad informática para conocer detalles de la misma. Asimismo, se elabora un cuestionario para la obtención de información que permita evaluar preliminarmente el control interno.

Revisión y evaluación de controles y seguridades: Consiste en la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de seguridad y controles existentes, revisión de aplicaciones en áreas críticas, entre otras.

Examen detallado de áreas críticas: Terminadas las fases anteriores, el auditor ahora conoce las áreas críticas de la organización, por lo que, en cada una de ellas se procede a realizar un estudio y análisis profundos, en los que define concretamente a su grupo de trabajo y la distribución de actividades para el mismo, establece los motivos, objetivos, alcances y recursos que se emplearán, define la metodología de trabajo, la duración de la auditoría, y finalmente, presenta el plan de trabajo detallando cada área de oportunidad localizada.

Comunicación de resultados: El auditor elabora el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presenta esquemáticamente en forma de matriz, o redacción simple y concisa que destaque las áreas de oportunidad halladas, sus efectos actuales para la organización y las recomendaciones de auditoría para su optimización.

Conclusión 

Las tecnologías de información y comunicación, hoy por hoy cuentan con gran relevancia en la gestión de las organizaciones, pues desde hace varias décadas se han constituido como herramientas poderosas en la colaboración para la toma de decisiones. Por tanto, se ha generando un alto grado de dependencia, y por ende, elevada inversión para su mantenimiento; situaciones que abren paso a la importancia de la auditoría de sistemas de información organizacional.

No obstante, dicha auditoría debe comprender no sólo la evaluación de los equipos de cómputo o de un sistema de software específico, sino además, la evaluación de todo el sistema de información de la empresa, es decir, sus entradas, procedimientos, controles, archivos, seguridad y reserva de información. Todo ello, con el propósito de dar mayor certeza de la confiabilidad y buen uso del sistema y de la información generada, y por consiguiente, el logro de la optimización del desempeño general de la organización.

Referencias

  1. Auditoría y seguridad informática. (2001). Obtenido de http://www.auditoria.com.mx/auditoria-de-sistemas-de-informacion
  2. Castro, J. (12 de Junio de 2015). Corponet. Obtenido de http://blog.corponet.com.mx/laimportancia-de-la-informacion-para-la-toma-de-decisiones-en-la-empresa
  3. Durán, M. (2014). Instituto Tecnológico de Chetumal . Obtenido de http://itchetumal.edu.mx/v2014/paginasvar/Maestros/mduran/Archivos/auditoria%20de% 20sistemas%20ok.pdf
  4. Ecured. (s.f.). Obtenido de https://www.ecured.cu/Sistemas_de_informaci%C3%B3n_en_las_organizaciones
  5. Ferrer, S. (12 de Febrero de 2015). Obtenido de http://pertutatis.cat/la-piramide-de-losdiferentes-tipos-de-sistemas-de-informacion/
  6. Herman, W. (07 de Julio de 2015). Obtenido de http://documents.mx/documents/auditoria-559bf4a2ed74d.html
  7. Jaramillo, O. (03 de Mayo de 2007). unam. Obtenido de http://www.cie.unam.mx/~ojs/pub/Termodinamica/node9.html
  8. Sistemas Umma. (24 de Junio de 2013). Obtenido de https://sistemasumma.com/2013/06/24/sistemas-de-informacion-concepto-y-dimensiones/
  9. Yucra, L. (08 de Noviembre de 2011). Auditoría operativa y administrativa. Obtenido de http://auditoriaopertivayadministrativadued.blogspot.mx/2011/11/objetivos-de-laauditoria-de-sistemas.html
  10. Zamora, S. (s.f.). Grupo Izamorar. Obtenido de http://izamorar.com/componentes-de-unsistema-de-informacion/

Agradecimientos

Especial agradecimiento al profesor investigador Fernando Aguirre y Hernández, catedrático de la maestría en ingeniería administrativa adjunta al Instituto Tecnológico de Orizaba, por el aporte técnico para la construcción del presente artículo y su dirección en el proceso de aprendizaje del pensamiento sistémico. De igual manera, al Consejo Nacional de Ciencia y Tecnología (Conacyt) dedicado a promover y estimular el desarrollo de la ciencia y la tecnología en México, por el apoyo financiero para la realización de estudios de posgrado.

[1] Sistema de información organizacional

[2] Sistema de información organizacional

Cita esta página

Román López Teresa. (2016, noviembre 15). Auditoría de sistemas de información organizacional. Recuperado de https://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/
Román López Teresa. "Auditoría de sistemas de información organizacional". gestiopolis. 15 noviembre 2016. Web. <https://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/>.
Román López Teresa. "Auditoría de sistemas de información organizacional". gestiopolis. noviembre 15, 2016. Consultado el . https://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/.
Román López Teresa. Auditoría de sistemas de información organizacional [en línea]. <https://www.gestiopolis.com/auditoria-de-sistemas-informacion-organizacional/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de arthur-caranta en Flickr