Desde que una compañía, empresa o cualquier otro tipo de organización se formar genera y requiere información, cada proceso de las organizaciones generan datos día con día, así mismo se requieren esta información para realizar funciones administrativas como el desarrollo de pronósticos, planeación, programación de producción, diseño de áreas y muchas otras tareas.
Debido a la gran cantidad de datos que una empresa tiene que manejar se administran mediante el apoyo de herramientas tecnológicas que son los sistemas de información, estas herramientas facilitan el manejo de datos para convertirlos en información útil para la organización, y debido a sus ventajas que proporcionan se han diversificados en distintas áreas y conectado entre sí para una mayor eficiencia.
Los SI[1] son muy valiosos para las empresas ya que son parte importante de distintos procesos principales de cualquier organización, en el manejo de los recursos humanos, desarrollo de marketing, seguimiento de ventas, administración de las finanzas, planeación de producción y otras más. Sin embargo no siempre funcionan de forma correcta y eficaz, es por eso que necesitan ser auditadas.
Definición
Para comprender de forma correcta el concepto de auditoría de sistemas de información se debe primeramente comprender algunos conceptos previamente.
Los cuales están definidos a continuación.
Auditoria
Según Alvin Arens (2007) auditoria es “la acumulación y evaluación de la evidencia basada en información para determinar y reportar sobre el grado de correspondencia entre la información y los criterios establecidos, se debe realizar por una persona independiente y competente”.
Sistema
Del latín “systema”, un sistema es un módulo ordenado de componentes interrelacionados entre sí, con la finalidad de lograr un objetivo en conjunto por medio de los procesos que se originan de la interacción de cada elemento que lo componen.
Información
Es el conjunto de datos organizados que forman un mensaje sobre cierto suceso o fenómeno, este conjunto de datos proporciona las bases para la resolución de problemas y la toma de decisiones. El uso racional de la información forma la base del conocimiento.
Auditorias de sistemas de información
Se puede definir como la revisión sistémica organizada de los sistemas de información en una organización, para evaluar el correcto manejo de controles, seguridad, información, funcionalidad, procedimientos, políticas y normas. Para así emitir una evaluación profesional de la eficiencia de los sistemas de información. (Vieites, 2004)
Antecedentes
Las auditorias de los sistemas en general, se han desarrollado a lo largo de la historia, diversos autores y personajes han contribuido para conceptualizar y desarrollar lo que hoy conocemos como auditorias. A continuación se presentan algunos de los acontecimientos más importantes.
- 1988, Echenique
Establece las bases para el desarrollo de una auditoria de sistemas computacionales en su libro Auditorías de sistema, con un enfoque teóricopráctico.
- 1992, Lee
Presenta los aspectos básicos a evaluar en una auditoria, realizo una guía donde se indica los puntos a evaluar en el proceso.
- 1993, Rosalva Escobedo
Realizo una tesis resaltando los aspectos más importantes de las auditorias en la universidad UVM.
- 1994, G. Haffes y F. Holguín
Profundiza en los aspectos de control de sistemas en su libro de auditorías de finanzas.
- 1995, Guadalupe Buendia y Edith Campos
Exponen un tratado de auditoría informática en donde se muestran encuestas y metodologías de apoyo.
- 1995, Yann Darrien
Presenta su enfoque personal sobre las auditorias de sistemas, en donde propone una metodología para su realización.
- 1996, Albín Arenas
Púbica su libro “Auditorías de sistemas complejos” en donde expone un enfoque integral.
- 1997, Francisco Ávila
Logra la mención honorifica en su tesis donde propone un caso práctico de auditoria desarrollado en una organización paraestatal.
- 1998, Yann Darrien
Presenta su artículo técnicas de auditoria en donde propone diferentes herramientas y estrategias para la realización de la misma.
- 1998, Mario Piattini y Emilio del Peso
Publican “auditorias informáticas” en donde se toma un enfoque práctico y se menciona distintas aplicaciones de las auditorias. (Razo C. , 2002)
Objetivos
Los objetivos que se buscan en cada auditoría van a variar y dependerán del sector o sistema en que se realiza, sin embargo en general al realizar una auditoria se buscan lograr los siguientes objetivos:
Realizar una evaluación independiente de todas las áreas, actividades y funciones de una organización con el propósito de dar un dictamen profesional sobre la eficiencia en sus operaciones y resultados.
Desarrollar una revisión especializada en las áreas contables, financieras y operativas, con una perspectiva profesional y autónoma.
Evaluar el cumplimiento de los planes, programas, políticas y normas que regulan los funcionamientos y desempeños de los recursos de la organización.
Dictaminan de forma competente y profesional sobre los resultados generados de la evaluación de la empresa con respecto al cumplimiento de sus objetivos y operaciones.
Clasificación
Las primeras auditorías que se realizaron fueron para evaluar el funcionamiento de las áreas contables de las organizaciones, para analizar las finanzas de las empresas, esto debido que los dueños consideraban a las finanzas como lo único interesante en la empresa. Durante mucho tiempo las organizaciones solo se preocupaban de ver por el buen funcionamiento de sus cuentas, sin embargo a lo largo del tiempo y al gran desarrollo tecnológico han tomado importancia otros aspectos, como los sistemas de información que manejan las empresas, por lo que se ha generado la siguiente clasificación de la ilustración dos de las auditorias.
Como se puede mostrar en la en la ilustración la auditoría se divide en área financieras y operativa, dentro de esta área se encuentra los enfoques de recursos humanos, sistema de información y ambientales. Dentro de los sistemas de información se encuentran los sectores de especialización en informática, en la información interna, externa y los sistemas que proporcionan información vertical.
¿Cuándo realizar una auditoria?
Las auditorias en los sistemas de información de las organizaciones se pueden realizar en cualquier momento que se quiera revisar el funcionamiento de estos, sin embargo existen algunos indicadores que pueden señalan la necesidad de una auditoria en algunos sistemas, estos indicadores son los siguientes:
- Un aumento desproporcionado e injustificado en gastos del sistema de información.
- Una clara falta de información en las áreas que administra el sistema de información.
- Falta de seguridad en las entradas lógicas y físicas del sistema, comprometiendo la integridad del equipo y personal.
- Descubrimiento de acciones sospechosas o fraudes que involucren los sistemas informáticos.
- Reclamación de los clientes por incumplimiento de calidad y plazos de entrega de los pedidos.
- Falta de planificación por desinformación de los procesos administrativos y de producción.
(Yañez, 2011)
Aspectos a evaluar en las auditorias
Existen ciertas áreas a las que se deben evaluar cuando se hace una auditoria de los sistemas de información, estos aspectos se pueden clasificar en las siguientes categorías.
Controles generales
Son todos a aquellos aspectos que se relacionan con la estructura de la empresa, los procedimientos y políticas así como el control de los sistemas de información que se usan.
Operaciones de procesamiento de información
Revisa todas aquellas operaciones que se realizan relacionadas con el proceso de información, también se deben tomar en cuenta todas las operaciones que se realizan en el entorno informático.
Seguridad
Supervisa todos los accesos del medio informático, tanto la calidad del acceso lógico[2], acceso físico[3] y sus controles.
Sistema operativo
Revisa los procedimientos y políticas de desarrollo, la adquisición de y reparación del sistema del sistema operativo.
Metodologías de sistemas de información
Consta de revisar la metodología usada, las normas, políticas y estándares utilizados para la compra de equipo que apoye el desarrollo de sistemas de información.
Plan de contingencia
Consta de asegurarse de la existencia y correcta aplicación de procedimientos, políticas y normas que aseguren la recuperación de información, así como el funcionamiento de sistemas en caso de desastres. (Lardent, 2001)
Factores que influyen en una auditoría de SI
Algunos de los principales factores involucrados en el desempeño de una auditoria a los sistemas de información son:
Ilustración 3: Factores de una auditoría de sistemas de información. (Amador, 2008) (Ver PDF)
Selección del área a auditar
Realizar una auditoria requiere recursos valiosos para las organizaciones, son costosas y requieren de tiempo, es por eso que no siempre se pueden realizar a todos los sistemas de las empresas. Las organizaciones deben priorizar para determinar los sistemas que se evaluaran, es por eso que el catedrático Carlos Muños Razo (2002) da ciertos criterios para seleccionar los sistemas de mayor importancia.
Dentro de la jerarquización se encuentra en primer lugar de importancia está el número de recursos que se controlan por medio del sistema, los sistemas que se utilizan mayormente, los sistemas que tienen un mayor impacto en los procesos de la empresa, los sistemas que se utilizaran por un largo tiempo dentro de la organización y por último los sistemas que contienen información confidencial. En la ilustración cuatro se muestran un esquema con este modelo de importancia.
Ilustración 4: Criterios de selección de áreas a auditar. (Razo, 2002)
Proceso de la auditoria en SI
Alberto Lardent (2001) propone un modelo de auditoria para los sistemas de información en su libro Sistemas de información, procedimientos y auditorias, el modelo consta de nueve pasos, los cuales se encuentran en la ilustración 1 a continuación.
- Planificación de auditoria. El primer paso para realizar una auditoria es la planeación, en esta fase se decidirá qué sector será auditado y se decidirá la estrategia a utilizar, además se recolectara toda la información posible del sistema a evaluar.
- Evaluación de riesgos globales. Una vez que se ha definido el área o sistema e auditar y con toda la información pertinente se pasa a considerar todos los posibles riesgos que puedan ocasionarse durante la auditoria.
- Desarrollo de un programa de auditoria. En este paso se definirá los pasos a seguir para realizar la auditoria, es decir la metodología a aplicar.
- Objetivos y procedimientos. Es importante definir cuáles serán los objetivos que se buscaran con la realización de la auditoria, además de una calara estipulación de los procedimientos a aplicar en la auditoría.
- Revisión de evidencias. En este paso se analizaran todas las evidencias que se obtengan del sistema evaluado, se desarrollaran los procedimientos previamente estipulados para el manejo y documentación de la evidencia.
- Localización de fortalezas y debilidades. Una vez que se halla analizado la evidencia se procederá a determinar las fortalezas y debilidades que tiene el sistema en su control.
- Preparación de informe. En este paso se determinara los puntos a tomar en el informe, así como la forma en que se elaborara; es importante mencionar que este informe debe elaborarse de forma clara y sencilla para que pueda ser comprendido por todo el personal involucrado en el sector auditado.
- Preparación de informe de alta gerencia. En la preparación y desarrollo del informe de alta tenencia se debe plasmar la información competente para este nivel jerárquico de la organización.
- Seguimiento de acciones. Una vez que se han emitido los reportes de la auditoria correspondiente y finalizada la misma, se debe llevar un seguimiento de las acciones correctivas a implementar.
Ilustración 5: Proceso de auditoría del sistema de información. Tomada de: (Lardent, 2001) (Ver PDF)
Informes de auditorias
Todas las auditorias deben terminar con un posterior seguimiento, las acciones a implementar para realizar los cambios adecuados y principalmente con un correcto informe. Este documento deberá tener las conclusiones a las que se llegaron, la opinión personal del auditor con respecto al funcionamiento de la organización, las evidencias encontradas para así determinar en el informe las fortalezas y debilidades de la empresa o en este caso los sistemas de información.
Los informes de auditorías constituyen uno de los productos físicos que se entregan a la gerencia de la organización evaluada, en este documento se transfieren las observaciones y recomendaciones encontradas. Los informes pueden clasificarse en las siguientes categorías:
Informe sin salvedades
Este informe se realiza cunado el auditor no registro ningún problema ni anomalía, es decir, que los sistemas de información funcionan de manera correcta. Los sistemas de información realizan funciones aceptables para los propósitos de los mismos.
Informe con salvedades
Este informe se realiza cuándo los sistemas de información cumplen con las normas generales aceptadas, sin embargo se expone algún punto de excepción que debe de ser tomado en consideración, ya que representa algún riesgo para la organización.
Informe con opinión adversa
Este informe no es de común utilización, pero se presenta cuando los sistemas evaluados no cumplieron con ninguna norma o cuando existen debilidades importantes en los procedimientos de control.
Informe sin opinión
Este informe se emite cuando el auditor no emite ningún punto de vista, ya que el alcance planeado es limitado o muy corto, en este tipo de informes no se incluye información especializada, se realiza para que sea de fácil comprensión. (Fincowsky, 2007)
Organizaciones que estandarizan las auditorias
Algunos de los principales organismos que sirven como fuentes de estándares para realizar auditorías son:
ISACA
La Information Systems Audit and Association[4] es una asociación internacional que fomenta el desarrollo de procedimientos y metodologías para la implementación de auditorías en sistemas de información. (ISACA, 2016)
ISO
La Internacional Organization for Standardization[5] se encarga de la generación de estándares internacionales en conjunto de distintas organizaciones de distintos países, fue fundada en 1947 y desde entonces promueve el uso de estándares a nivel mundial. (ISO, 2016)
NIST
El Nacional Institute of Standards and Technoloy[6] de los Estados Unidos se fundó en 1901 y se encarga de impulsar la innovación industrial mediante el desarrollo de normas y metodologías, entre estas los procedimientos para la realización de auditorías. (NIST, 2016)
Bibliografía
- Amador, A. (2008). Auditoría administrativa : proceso y aplicación. México : McGraw-Hill.
- Betanzos, A. I. (Diciembre de 2011). Gestiopolis . Obtenido de Auditoría y control de sistemas de información en tecnología: https://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-entecnologia/
- Fincowsky, F. (2007). Auditoría administrativa : gestión estratégica del cambio. México: Pearson Education.
- ISACA. (febrero de 2016). ISACA. Obtenido de Trust in, and value from, information systems: https://www.isaca.org/Pages/default.aspx?cid=1002083&Appeal=SEM&gclid=Cj0KEQjwhvbABRDOp4rahNjh-tMBEiQA0QgTGoowfjmWM2unMPmk1ygwF2JO_iHtG4_j9HCRnbSy1saAu1l8P8HAQ
- ISO. (julio de 2016). International Organization for Standardization. Obtenido de http://www.iso.org/iso/home.html
- Lardent, A. R. (2001). Sisitemas de infromación para la gestion empresarial . Buenos Aires : Prentice Hall.
- NIST. (enero de 2016). National Institute of Standards and Technology. Obtenido de https://www.nist.gov/
- Razo, C. (2002). Auditoría en sistemas. México: Prentice Hall.
- Razo, C. M. (2002). Auditoría en sistemas computacionales. México : Pearson Education .
- Vieites, Á. G. (2004). Sistemas de Información . Madrid : Alfaomega .
- Yañez, C. (Octubre de 2011). Enfoque metodologíco de la audotoría a las tecnologias de información. Obtenido de http://www.olacefs.com/wpcontent/uploads/2014/08/1erlugar.pdf
Agradecimientos
Le agradezco al Instituto Tecnológico de Orizaba por permitirme realizar el posgrado en Ingeniería Administrativa para mi preparación académica, así mismo al profesor Fernando Aguirre Hernández quien imparte la materia de fundamentos de la ingeniería administrativa por impulsarme a escribir artículos formales y de relevancia.
[1] Sistemas de Información
[2] Acceso a un sistema o red, de forma remota mediante la intranet
[3] Acceso a un sistema o red, de forma física mediante un equipo de computo
[4] Asociación de Auditoría y Control de Sistemas de Información
[5] Organización Internacional de estandarización
[6] Instituto Nacional de Estándares y Tecnología