Auditoria interna de la información empresarial

La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la auditoria de los Sistemas de Información.

La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

A continuación, la descripción de los dos principales objetivos de una auditoria de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

Definición de Auditoría

Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.

Tipos de auditoría

Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera.

Entre los principales enfoques de Auditoría tenemos los siguientes:

principales enfoques de auditoríaPrincipales enfoques de auditoría

Auditoría de la información

  • Es la verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
  • El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
  • Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

La auditoría de la información es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. El objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.

La Auditoria de Información es un proceso sistemático de determinación de la información que una organización necesita para satisfacer sus objetivos, y así funcionar correctamente. Su objetivo es asegurar que la información que circulará por el sistema sea la más apropiada para la organización. Mediante la Auditoria de la Información se pretende que la organización solamente reciba aquella información que sea relevante para sus intereses, reduciendo de esta manera el silencio (no obtención de información relevante) y el ruido (obtención de información no relevante) y los requerimientos de información de la organización (o sea, de la información que precisa para poder funcionar correctamente).

Uno de los pasos previos que se debe tener presente antes de realizar una auditoría de la información consiste en el conocimiento de los objetivos y las prioridades de la organización, la estructura que ésta posee, los estilos de gestión que se llevan a cabo y las relaciones con el entorno.

Cuando la auditoría se produce desde el exterior de la organización, es fundamental que su labor venga respaldada por la dirección de la organización. Sin este apoyo, cualquier medida fracasará irremediablemente. El principal problema es que la información tiende a ser acaparada por los miembros de la organización como si se tratase de un recurso a atesorar.

Ante esto, se deben diseñar políticas de intercambio informativo de manera que el hecho de facilitar la circulación de la información se vea compensada de alguna forma.

Con la auditoría debe identificarse el uso, los recursos y el flujo de la información. Para esto, deberemos conocer cuáles son los recursos informativos de los que la organización dispone, qué uso se hace de ellos y los resultados que se obtienen, de qué equipamiento se dispone y quién lo tiene, el costo, el valor que aporta a la organización y qué tipo de personal desempeña estas funciones.

Además, es fundamental que los miembros del despacho estén informados de todo lo que están haciendo para que así puedan colaborar al máximo.

Similitudes y diferencias con la auditoría tradicional

Similitudes:

  • No se requieren nuevas normas de auditoría, son las mismas.
  • Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.
  • Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.

Diferencias:

  • Se establecen algunos nuevos procedimientos de auditoría.
  • Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.
  • Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.
  • El énfasis en la evaluación de los sistemas manuales está en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

Objetivos generales de una auditoría de información

  •  Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
  •  Incrementar la satisfacción de los usuarios de los sistemas computarizados
  •  Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
  •  Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
  •  Seguridad de personal, datos, hardware, software e instalaciones
  •  Apoyo de función informática a las metas y objetivos de la organización
  •  Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
  •  Minimizar existencias de riesgos en el uso de Tecnología de información
  •  Decisiones de inversión y gastos innecesarios
  •  Capacitación y educación sobre controles en los Sistemas de Información.

Objetivos específicos de la auditoria de información

1. Participación en el desarrollo de nuevos sistemas:

  •  Evaluación de controles
  •  Cumplimiento de la metodología.

2. Evaluación de la seguridad en el área informática.

3. Evaluación de suficiencia en los planes de contingencia.

  • Respaldos, proveer qué va a pasar si se presentan fallas.

4. Opinión de la utilización de los recursos informáticos.

  • Resguardo y protección de activos.

5. Control de modificación a las aplicaciones existentes.

  • Fraudes
  • Control a las modificaciones de los programas.

6. Participación en la negociación de contratos con los proveedores.

7. Revisión de la utilización del sistema operativo y los programas

  • Utilitarios.
  • Control sobre la utilización de los sistemas operativos
  • Programas utilitarios.

8. Auditoría de la base de datos.

  • Estructura sobre la cual se desarrollan las aplicaciones…

9. Auditoría de la red de teleprocesos.

10. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

Razones para la existencia de la función de auditoría de información

1. La información es un recurso clave en la empresa para:

  • Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez más de la sistematización.

3. Los riesgos tienden a aumentar, debido a:

  • Pérdida de información
  • Pérdida de activos.
  • Pérdida de servicios/ventas.

4. La sistematización representa un costo significativo para

  • La empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican sólo al final.

6. El permanente avance tecnológico.

Justificativos para efectuar una auditoría de la información

  • Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
  • Desconocimiento en el nivel directivo de la situación informática de la empresa.
  • Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
  • Descubrimiento de fraudes efectuados con el computador.
  • Falta de una planificación informática.
  • Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.
  • Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.

Requerimientos del auditor

  • Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
  • Entendimiento del efecto de los sistemas en la organización.
  • Entendimiento de los objetivos de la auditoría.
  • Conocimiento de los recursos de computación de la empresa.
  • Conocimiento de los proyectos de sistemas.

Control para la auditoría de información

En una auditoría de información se deben establecer también los procesos de control y verificación.

El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoría de información.

En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo.

Clasificación general de los controles

Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos: Letrero “No fumar” para salvaguardar las instalaciones

Sistemas de claves de acceso.

Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría

Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.

Principales Controles físicos y lógicos

Controles particulares tanto en la parte física como en la lógica se detallan a continuación

Autenticidad: Permiten verificar la identidad

  • Passwords
  • Firmas digitales

Exactitud: Aseguran la coherencia de los datos

  • Validación de campos
  • Validación de excesos

Totalidad: Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió

  • Conteo de registros
  • Cifras de control

Redundancia: Evitan la duplicidad de datos

  • Cancelación de lotes
  • Verificación de secuencias

Privacidad: Aseguran la protección de los datos

  •  Compactación
  •  Encriptación

Existencia: Aseguran la disponibilidad de los datos

  •  Bitácora de estados
  •  Mantenimiento de activos

Protección de Activos: Destrucción o corrupción de información o del hardware

  •  Extintores
  •  Passwords

Efectividad: Aseguran el logro de los objetivos

  •  Encuestas de satisfacción
  •  Medición de niveles de servicio

Eficiencia: Aseguran el uso óptimo de los recursos

  •  Programas monitores
  •  Análisis costo-beneficio

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar periódicamente.

Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.

El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinación de alfanuméricos en claves de acceso

No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:

  • Individuales

Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

  • Confidenciales

De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.

  • No significativas

Las claves no deben corresponder a números secuenciales ni a nombres o fechas.

  • Utilizar software de seguridad en los microcomputadores

El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.

Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.

Metodologías para la auditoría de información

Debemos decir que hoy en día no existe una metodología estándar para realizar una auditoría de información, sin embargo podemos desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizarlas:

Inventario físico

Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado.

Masificación de la información

Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable etc..

Análisis de las necesidades de información

Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos.

Gráficos de procesos y flujos de trabajo.

Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorías de la información.

Papel de la auditoria en los controles de información

El principal papel de la auditoria en el sistema de información de una entidad cualesquiera es de suma importancia, a continuación hacemos mención de algunos de mayor importancia.

Lo que hay que mejorar

Las enormes posibilidades que nos brindan los actuales sistemas informáticos de acceder a grandes cantidades de información y de procesar grandes volúmenes de documentación no han tenido siempre respuesta equivalente en la productividad de una gran parte de los despachos profesionales ni tampoco se han traducido en visibles mejoras en la gestión documental de las organizaciones.

Esto ocurre porque la mayor parte de las veces, las inversiones en sistemas de información (hardware y software informático y de comunicaciones) se hacen sin el necesario análisis previo de las necesidades reales de información de la asesoría o despacho profesional. Muy pocos despachos contratan expertos en archivos y documentación o dedican a profesionales capacitados a la tarea de identificar:

  • Necesidades de información de los profesionales o departamentos clave de la asesoría.
  • Documentación generada por la propia organización.
  • Los recursos o fuentes de información externa existentes en el mercado.
  • Flujos o circuitos documentales.
  • Se constata una tendencia a que las funciones y responsabilidades que conlleva la gestión documental se hallen repartidas entre distintas personas o departamentos, sin que ninguno de ellos asuma la misión de aprovechar adecuadamente las sinergias que se producen entre todas y cada una de las funciones afectadas.

Indicios de problemas

Se ha de iniciar el análisis del problema percibiendo aquello que tiene un interés más acuciante y que habitualmente es lo más próximo. Es común detectar una serie de indicios:

  • La inexistencia de respuesta a la petición de documentos durante periodos de tiempo imprecisos (no se encuentran documentos o cuando se produce la respuesta ésta llega con excesiva demora).
  • La información que se utiliza no alcanza el nivel de calidad requerido (se trabaja con documentación insuficiente, poco fiable o mal presentada).
  • La acumulación de documentación es muy elevada, tanto en los depósitos de archivo como en las mesas de trabajo (la documentación se halla desperdigada por toda la oficina sin que se sepa dónde encontrarla).
  • Todo el mundo coincide en que la gestión de la documentación no funciona correctamente y que es necesario poner remedio a esa situación.

Insuficiencias

Algunos de los problemas de gestión de la documentación administrativa pueden radicar en:

  • La tradición administrativa. La gestión de los documentos administrativos es llevada por distintas personas y cada una de ellas lo hace a su manera. Es común que el relevo de un jefe de departamento o del responsable de un área de negocio provoque cambios drásticos en el tratamiento de los documentos.
  • La falta de conciencia de que la gestión documental es una parte más de la gestión administrativa. Esta carencia acarrea la inconsistencia de los circuitos documentales, la falta de coordinación entre el personal que comparte la tramitación de un documento, cargas de trabajo desiguales, prioridades de trabajo mal establecidas.
  • Estas insuficiencias se reflejan en la necesidad particular e inmediata de resolver asuntos apremiantes en detrimento de una gestión integral de la documentación que abarque toda la asesoría (en el día a día me organizo).

Tendencias que afectan a los sistemas de información

Al considerar un Sistema de Información como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema así por ejemplo:

Actualizaciones

Se refiere a que los sistemas de información de cualquier empresa, debe ser revisado periódicamente; no con una frecuencia continua, sino más bien espaciada, se recomienda las revisiones bi – anuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadísticos, es recomendable dentro de un año cambiarlo, todo lo que es máquinas y software; porque si no realizaríamos esto, se cambiaría toda la estructura organizacional de la misma).

Reestructuración Organizacional

(Puede ser una reestructuración con los mismos puestos). Una reestructuración organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trámites o procesos, la reestructuración puede ser de varios tipos, así por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuración de objetivos, etc. Siempre la reestructuración afecta a los sistemas de información de la empresa.

Revisión y Valorización del escalafón

(No es para bien si no también para mal)

La revisión y la revalorización del escalafón se espera que afecte a favor de los sistemas de información de las empresas, si el efecto es contrario el auditor deberá emitir un informe del empleado a los empleados (Específicamente de departamentos), que están boicoteando la información de la empresa.

Cambios en el flujo de Información

(Datos para el sistema de Información)

Se refiere al cambio de flujo de datos exclusivamente en el área informática, esto afecta directamente en sistema informático y por tanto al sistema de información. En lo que respecta a la Auditoría informática, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, más seguridad, backup). Así por ejemplo:

Se ha cambiado el flujo de información en el área contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de información, en el cual se ingresan los datos a un sistema informático, y de acuerdo a los parámetros y normas de la empresa el sistema arroja un sueldo líquido a cobrarse, genera automáticamente el reporte, los cheques y el contador solo aprueba este reporte).

(Un ejemplo es cuando existe migración de datos, la información migra o se cambia a otro sistema más sofisticado).

Base Conceptual

Sobre la base del sistema de información el auditor realizará su estudio y análisis siguiendo cualquier metodología de trabajo, pero sin desviarse de la base conceptual del sistema de información de la empresa auditada.

Si por cualquier circunstancia el auditor percibe y por lo menos tiene la idea de que tomó parámetros de que no están presentes en el sistema de información necesariamente deberá volver a empezar.

Conceptualmente los Sistemas de Información, tienen su base en algunos aspectos importancia dentro de cualquier empresa:

  1. Aspectos económicos
    Se deben considerar los recursos de la empresa, las crisis, el control, etc.
  2. Aspectos tecnológicos
    Se refiere al equipo físico dentro de la empresa, se debe considerar el incremento, los cambios, ya sea de software o hardware.
  3. Aspectos sociales
    Se refiere a mejoras orientadas hacia los empleados de la empresa, así por ejemplo, cursos, capacitación, etc.
  4. Aspecto político legal
    Se refiere a las normas y leyes vigentes para las empresas, tanto internas como externas, se debe cuidar, el aspecto legal, especialmente en el Software.
  5. Aspecto Administrativo
    Se refiere a la relación a nivel de gerencias, mayor confianza en la toma de posiciones, decisiones o fortunas, siempre a favor de las empresas.

Conclusión

Principalmente, con la realización de este trabajo, la principal conclusión a la que hemos podido llegar, es que toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, el 90 por ciento de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente.

La empresa hoy, debe informatizarse. El éxito de una empresa depende de la eficiencia de sus sistemas de información.

Una empresa puede tener un staff de gente de primera, pero tiene un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá a adelante.

En cuanto al trabajo de la auditoría en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de información debe hacerse por gente altamente capacitada, una auditoría mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

Hazle saber al autor que aprecias su trabajo

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Cita esta página
Ynfante T. Ramón E.. (2009, abril 23). Auditoria interna de la información empresarial. Recuperado de https://www.gestiopolis.com/auditoria-interna-de-la-informacion-empresarial/
Ynfante T., Ramón E.. "Auditoria interna de la información empresarial". GestioPolis. 23 abril 2009. Web. <https://www.gestiopolis.com/auditoria-interna-de-la-informacion-empresarial/>.
Ynfante T., Ramón E.. "Auditoria interna de la información empresarial". GestioPolis. abril 23, 2009. Consultado el 14 de Junio de 2018. https://www.gestiopolis.com/auditoria-interna-de-la-informacion-empresarial/.
Ynfante T., Ramón E.. Auditoria interna de la información empresarial [en línea]. <https://www.gestiopolis.com/auditoria-interna-de-la-informacion-empresarial/> [Citado el 14 de Junio de 2018].
Copiar
Imagen del encabezado cortesía de 18789396@N00 en Flickr
DACJ