Auditoría de los sistemas de información organizacional

Toda empresa tiene establecidos criterios, condiciones y obligaciones que deben ser cumplidas y respetadas por todos los miembros de la organización. En cualquier ámbito laboral existe normas y requisitos que cumplir. El manejo de información es sumamente importante para toda empresa, con la información contenida se puede tomar diversas decisiones importantes en todas las áreas de la organización por lo tanto es sumamente importante tener plena confianza en la información con que se cuenta.

auditoria-de-los-sistemas-de-informacion-organizacional

CONCEPTO DE AUDITORÍA:

La palabra auditoría tiene un origen antiguo de la misma manera que el audito; es decir la personas que “oía” las rendiciones de cuentas de los funcionarios y agentes reales quienes como no sabían cómo hacerlo no las presentaban por escrito. A continuación, se muestran algunos conceptos de Auditoría de diversos autores:

Auditoría: “Procedimientos formales para la revisión periódica completa del sistema de gestión desde todos los puntos de vista: el técnico, el operativo, el de gestión, el comercial, el legal y el organizativo.” (Martinez, 2012)

Auditoría: “Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.”

El vocablo auditoría es sinónimo de examinar, verificar, investigar, consultar, revisar, comprobar y obtener evidencias sobre informaciones, registros, procesos, etc.

CLASIFICACIÓN DE AUDITORÍA:

La auditoría económica se puede clasificar de diversas maneras:

a) Según la naturaleza del profesionalAuditoría externa
Auditoría Interna
Auditoría gubernativa
b) Según la clase de objetivos perseguidosAuditoría financiera o contable
Auditoría operativa
c) Según la amplitud del trabajo y el alcance de los procedimientos aplicados

Auditoría completa o convencional

Auditoría parcial o limitada

d) Según su obligatoriedadAuditoría obligatoria
Auditoría voluntaria
e) Según la técnica utilizadaAuditoría por comprobantes
Auditoría por controles

Según la naturaleza del profesional:

  • Auditoría interna: “Auditoría interna es una actividad independiente, objetiva y de consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistémico, disciplinado para evaluar y mejorar, la efectividad de la administración del riesgo, el control y los procesos de conducción.” (Ellasondo).

Esta actividad es realizada por personal del seno de la empresa, por lo regular en un departamento staff. Básicamente es una valoración independiente establecida en el seno de la organización para poder examinar y evaluar sus actividades con el fin de garantizar la integridad de su patrimonio, la veracidad de su información y la eficacia de sus sistemas de gestión.

  • Auditoría gubernativa: Es la actividad de fiscalización realizada por diversos órganos del estado sobre organismos de derecho público y/o sobre distintos procesos que afectan el patrimonio nacional o al bien común.
  • Auditoría externa: también se le llama independiente y es un servicio prestado por auditores independientes a la entidad según los términos de un contrato establecido.

Según los objetivos perseguidos:

  • Auditoría financiera: esta actividad se realiza con el fin de emitir un juicio sobre la fiabilidad y razonabilidad de una empresa por medio de la comprobación y examinación de las cuentas anuales y estados financieros.
  • Auditoría operativa: Se realiza para incrementar la eficiencia por medio de examinación y evaluación de los procedimientos de los sistemas de gestión internos de la organización.
  • Según la amplitud del trabajo y el alcance de los procedimientos aplicados:
  • Auditoría completa o convencional: expresa una opinión sobre la razonabilidad de las cuentas anuales tomadas en su conjunto.
  • Auditoría parcial o limitada: emite informes sobre los documentos contables por medio de su revisión parcial.

Según su obligatoriedad:

  • Auditoría obligatoria: se realiza cuando el derecho comunitario o la legislación nacional lo exigen y se realiza sobre las cuentas anuales o algunas cuentas acordada.
  • Auditoría voluntaria: la empresa realiza un procedimiento de revisión de manera discreta.

Según la técnica utilizada:

  • Auditoría por comprobantes: se basa en la revisión de los documentos que sustentan los hechos objeto de la Auditoría.
  • Auditoría por controles: se basa en la confianza que el sistema de control interno merece al auditor y la evaluación del sistema de control interno.

 Existen algunos otros tipos de auditorías como son:

  • Auditoría económico-social: Mide el cumplimiento de la responsabilidad social de la organización por medio de la evaluación de las aportaciones que realiza la empresa al entorno específico que la rodea.
  • Auditoría socio-laboral: determina el clima socio-laboral existente y las relaciones laborales dentro de la empresa.
  • Auditoría medioambiental: determina el impacto que tienen los procesos productivos de las empresas sobre el medio ambiente.
  •  Auditoría ética: en base al código de conducta ética que la empresa establece se determina el comportamiento de la empresa y los distintos órganos de la empresa.
  •  Auditoría de procesos: es realizada por personas ajenas a la organización. Su fin es el de verificar el grado de cumplimiento, desarrollo y mejora de los procesos y procedimientos. Por lo regular se realiza para poder obtener una acreditación o certificación.

 “Auditoría informática: tiene por objetivo determinar el grado de eficacia del sistema informático de proceso de datos de la entidad auditad.” (de la Peña Gutierrez, 2011)

 “Auditoría informática es un examen que se realiza con carácter objetivo, critico sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática del uso adecuado de recursos informáticos, de la gestión informática y si estas brindando el soporte adecuado a los objetivos y metas del negocio” (Academia de Administracion y Sociales, 2011)

“La auditoría informática involucra la realización de pruebas de todas las áreas del departamento de computo e incluyen evaluaciones tanto alrededor del computador como evaluaciones dentro del computador” (Rojas, 1998)

La auditoría informática, de sistemas de información o de sistemas es el tema central de este articulo; sin embargo, antes de entrar de lleno a él tenemos que analizar otros conceptos importantes como los que se muestran a continuación.

SISTEMA DE INFORMACIÓN:

Un sistema de información es un conjunto de elementos orientados al tratamiento y administración de datos e datos e información, organizados para su explotación de cara a cubrir una necesidad u objetivo.

También se puede definir como un conjunto de elementos interrelacionados cuyo cometido es capturar datos, almacenarlos y transformarlos de manera adecuada y distribuir la información obtenida mediante este proceso.

El objetivo de un sistema de información dentro de una organización es entregar la información oportuna y precisa para poder tomar una decisión o la realización de alguna operación y justo en el momento en que se requiera dicha información.

La información útil para cada organización debe cumplir con ciertos requisitos como son:

  • Exactitud: la información debe ser precisa y sin errores.
  • Economicidad: el beneficio que proporciona la información a la organización debe ser mayor que el costo de obtenerla información.
  • Verificabilidad: la información debe poder ser comprobada siempre.
  • Completitud: la información debe estar completa con todos los hechos relevantes.
  • Confianza: Se debe garantizar la calidad de los datos y las fuentes de información.
  • Nivel de detalle: la información debe proporcionarse con el formato idóneo para que sea sencilla y fácil de manejar.
  • Relevancia: La información no debe ser superflua o sin valor, por el contrario, debe ser útil para la toma de decisiones.

La información y el conocimiento que acumulan las organizaciones deben considerarse como un recurso más y por lo tanto protegerlo y controlarlo de manera adecuada para que pueda contribuir a la realización de los objetivos y metas que fije la organización.

ESTRUCTURA DE LOS SISTEMAS DE INFORMACIÓN:  

Existen 5 componentes fundamentales de los sistemas de información:

  1. Personas: propietarios del sistema (patrocinadores y promotores del desarrollo de los sistemas), usuarios (directivos, ejecutivos medios, jefes de equipo, personal administrativo), diseñadores y desarrolladores.
  2. Actividades: procesos realizados en la organización y actividades de procesamiento de datos y generación de información.
  3. Datos: materia prima para crear información.
  4. Redes: se analiza la descentralización de la organización, la distribución de los restantes componentes elementales en lugares mas útiles, así como la comunicación y coordinación entre dichos lugares.  
  5. Tecnología: Hardware y Software de un sistema de información.

PROCESO DE LOS SISTEMAS DE INFORMACIÓN:

Primero se transforman los datos de entrada al sistema en información útil. Todo esto se realiza mediante operaciones de cálculo, agregación, comparación, filtrado, presentación, etc. Estas operaciones son realizadas con la ayuda de sistemas informáticos.

Posteriormente la información útil se coloca en documentos, informes y gráficos, para así pueda ser distribuida al personal adecuado en la organización. Toda esta información, al igual que los datos de partida son colocados en un soporte informático para poder utilizarlos si es necesario posteriormente.

CLASIFICACIÓN DE LOS SISTEMAS DE INFORMACIÓN:

  • Soporte a las actividades operativas: da lugar a sistemas de información para actividades más estructuradas como son aplicaciones contables, ventas, adquisición y por lo regular se denomina “gestión empresarial” o sistemas que permiten el manejo de información menos estructurada como son aplicaciones ofimáticas, programas técnicos para funciones de ingeniería, etc.

Estos sistemas de soporte a las actividades operativas surgen para automatizar actividades operacionales intensivas de manejo de datos. Estas se centran en áreas como gestión de personal y administración; a su vez se extienden a otras actividades como venta, compra o producción.

Estos sistemas permiten recolectar los datos básicos de las operaciones y son denominados sistema de procesamiento transaccional.  Estos sistemas forman parte del “sistema de gestión empresarial” de cada organización.

  • Soporte a las decisiones y el control de gestión: se pueden proporcionar desde las propias aplicaciones de gestión empresarial o a través de aplicaciones específicas. Estos sistemas permiten sacar provecho a los datos obtenidos de los sistemas transaccionales, permiten generar informes para los directivos de la organización, con el propósito de mejorar el control de gestión de las distintas áreas funcionales.

AUDITORÍA DE SISTEMAS

“La auditoría de sistemas de información está definida como cualquier Auditoría que abarca la revisión y evaluación de todos los aspectos (o alguna porción) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interfaces entre ellos” (Inc.)

La auditoría de sistemas también puede ser llamada Auditoría informática o Auditoría de sistemas de información. Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

La auditoría de sistemas de información es el examen objetivo, critico, sistemático, posterior y selectivo que se hace a la administración informática de una organización para así poder proporcionar una opinión sobre la eficiencia en la adquisición y utilización de los recursos informáticos; la confiabilidad, integridad, seguridad y oportunidad de información y la efectividad de los controles en los sistemas de información.

La auditoría de los sistemas de información se enfoca en determinar los riesgos que son relevantes para los activos de información y en la evaluación de los controles a fin de reducir o mitigar estos riesgos.

OBJETIVOS DE LA AUDITORÍA DE SISTEMAS:

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

Algunos objetivos específicos son:

  1. Participación en el desarrollo de nuevos sistemas.
  2. Evaluación de políticas de orden administrativo.
  3. Evaluación de la seguridad en el área de informática
  4. Evaluación de políticas de orden técnico
  5. Evaluación de suficiencia en los planes de contingencia
  6. Evaluación de políticas sobre seguridad física y lógica
  7. Opinión de la utilización de los recursos informáticos.
  8. Evaluación de políticas sobre recursos informáticos
  9. Control de modificación a las aplicaciones existentes.
  10. Participación en la negociación de contratos con proveedores
  11. Revisión de la utilización del sistema operativo y los programas
  12. Auditoría de la base de datos
  13. Auditoría de la red de datos
  14. Desarrollo de software de Auditoría.

RAZONES Y JUSTIFICACIÓN PARA AUDITAR UN SISTEMA DE INFORMACIÓN:

  • Toma de decisiones incorrectas
  • Fraude informático
  • Control del uso de las TIC
  • Valor del hardware, del software y del personal
  • Reducir el costo de los errores
  • Privacidad de los datos personales
  • Consecuencias de las pérdidas de datos

ORGANISMOS INTERNACIONALES QUE SE OCUPAN LAS AUDITORÍAS DE SISTEMAS DE INFORMACIÓN:

  • ISACA – Asociación de Auditoría y Control de Sistemas de información.
  • ISO – Organización Internacional para la estandarización.
  • NIST – Instituto Nacional de Estándares y Tecnología

ACTIVIDADES PROPIAS DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN:

  • Controles administrativos de los recursos informáticos
  • Desarrollo de sistemas de aplicación
  • Operación de los sistemas de aplicación
  • Revisión de las aplicaciones
  • Administración de las bases de datos
  • Administración de las bases de datos
  • Procesamiento distribuido y redes Ambiente de microcomputadoras.

PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS:

La auditoría de sistemas debe entenderse como la proyección del trabajo de Auditoría, definiendo su norte e indicando las pautas a seguir para lograr su desarrollo.

PASOS DEL PROGRAMA DE AUDITORÍA (TAMAYO, 2001):

  1. El objeto de la Auditoría se debe determinar con mucha claridad al igual que el tipo de Auditoría que se va a realizar.
  2. Soporte legal: se debe conocer la normativa tanto interna como externa, así como los procedimientos y reglamentos que afectan a la organización para así proyectar un plan más eficiente.
  3. Alcance: este es determinado por el auditor de acuerdo con las condiciones que se presentan en el momento y las normas o regularizaciones existentes.
  4. Metodología a aplicar: Aquí se debe determinar los pasos a seguir durante la Auditoría.
  5. Tiempo estimado: Se debe realizar un estimado del tiempo requerido para auditar considerando todos los factores posibles.
  6. Domicilio: el lugar donde se va a desarrollar la Auditoría.
  7. Conformación del equipo: el director de proyecto de Auditoría conforma su equipo de trabajo de acuerdo a sus necesidades y criterio. Este equipo debe tener la capacidad de aplicar el enfoque sistémico y debe estar conformado por profesionales de diferentes áreas de conocimiento.
  8. Recursos logísticos y técnicos necesarios para su desarrollo: Se debe definir los horarios de trabajo, equipos de trabajo, elementos de oficina necesarios, recursos informáticos, perfiles de usuario, etc.
  9. Cronograma de actividades: en este se deben contemplar fechas probables de inicio y de terminación de las actividades

METODOLOGÍA DE AUDITORÍA DE SISTEMAS:

Esta metodología tiene tres etapas fundamentales:

  1. Etapa 1: Planeación de la Auditoría de sistemas
    • Identificar el origen de Auditoría
    • Realizar una visita preliminar al área que será evaluada
    • Establecer los objetivos de la Auditoría
    • Determinar los puntos que serán evaluados en la Auditoría
    • Elaborar planes, programas y presupuestos para realizar la Auditoría
    • Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la Auditoría
    • Asignar los recursos y sistemas computacionales
  1. Etapa 2: Ejecución de la Auditoría de sistemas
    • Realizar las acciones programadas para la Auditoría
    • Aplicar los instrumentos y herramientas para la Auditoría
    • Identificar y elaborar los documentos de desviaciones encontradas
    • Elaborar el dictamen preliminar y presentarlo a discusión  Integrar el legado de papeles de trabajo de la Auditoría
  1. Etapa 3: Dictamen de la Auditoría de sistemas
  • Analizar la información y elaborar un informe de situaciones detectadas
  • Elaborar el dictamen final
  • Presentar el informe de Auditoría

INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN APLICABLES EN UNA AUDITORÍA DE SISTEMAS:

  • Entrevistas: a través de estas el auditor obtiene información sobre lo auditara, además si es bien aplicada se pueden obtener guías que serán importantes en el trabajo de Auditoría.

“La entrevista podría entenderse como la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos, es decir, el auditor interroga, investiga y confirma directamente con el entrevistado sobre los aspectos que está auditando, en la aplicación de esta técnica, el auditor utiliza una guía de entrevista, la cual contiene una serie de preguntas preconcebidas que va adaptando conforme recibe la información del entrevistado, de acuerdo con las circunstancias que se le presentan y en busca de obtener más información útil para su trabajo.” (MUÑOZ RAZO, 2002)

  • Cuestionarios: es la recopilación de datos mediante preguntas impresas en cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio: de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medio de su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.  
  • Encuestas: Son útiles para averiguar opiniones sobre aspectos de la informática tales como el servicio, comportamiento y utilidad del equipo, la actuación del personal y los usuarios. Las encuestas son la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñadas con preguntas precisas para obtener opiniones de los encuestado que permiten realizar después una tabulación, análisis e interpretación dela información.
  • Observación: es el hecho de examinar, analizar, advertir o estudiar algo; en este caso, cuando el auditor de sistemas aplica esta técnica, lo que hace es observar todo lo relacionado con los sistemas de una empresa, con el propósito de percibir, examinar o analizar lo relacionado con los eventos que se presentan en el desarrollo de las actividades de un sistema.
  • Inventarios: Consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha determinada y compararla con la que debería haber según los documentos en la misma fecha. Esta técnica se utiliza principalmente en las Auditorías de carácter financiero. El auditor de sistemas puede examinar las existencias de los elementos disponibles para el funcionamiento del área de informático o del propio sistema, contabilizando para ello los equipos componentes de los sistemas de cómputo, la información y datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos y los demás aspectos cuya existencia real se requiere conocer.
  • Muestreo: una aplicación correcta de los métodos y procedimientos estadísticos ayuda bastante a seleccionar la parte representativa del universo que se tiene que revisar, el propósito es obtener la misma información o parecida que se obtendría de analizar todo el universo. El auditor se apoya en los propios sistemas computacionales para diseñar la muestra, seleccionar la probabilidad de capturar los datos y después procesar la información para elaborar cuadros y gráficas representativas de los resultados.
  • Experimentación: es la observación de un fenómeno de estudio, el cual se le van adaptando o modificando sus variables conforme a un plan determinado, con el propósito de analizar sus posibles cambios de conducta como respuesta a las modificaciones que sufre dentro de su propio ambiente o en un ambiente ajeno. Todo ello con el fin de estudiar su comportamiento bajo diversas circunstancias y sacar conclusiones.

CONCLUSIONES:

En la actualidad los sistemas de información forman parte de toda la información pues estos contienen información de todas las áreas de esta. Si se hace un buen uso de la información puede ser una gran ventaja competitiva. Por lo consiguiente es importante auditar los sistemas de información para tener certeza de que la información con la que contamos es completamente real y verdaderamente útil.

La auditoría de sistema de información es un tema muy amplio que requiere de toda la atención para su estudio.

Agradecimientos:

Le agradezco a mi alma mater el Instituto Tecnológico de Orizaba, al profesor Fernando Aguirre y Hernández quien imparte la materia de Fundamentos de la Ingeniería Administrativa por demostrarnos que somos capaces de escribir artículos de diversos temas, por fomentarnos el hábito de la lectura y sobre todo por ayudarnos a darnos cuenta de lo que somos capaces de lograr.

Bibliografía

  • Academia de Administracion y Sociales. (Diciembre de 2011). Universidad autónoma del Estado de Hidalgo . Obtenido de Escuela Superior de Tlahuelilpan:
  • http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/Auditoría_inf ormatica/Auditoría_informatica.pdf de la Peña Gutierrez, A. (2011). Auditoría, un enfoque practico. Madrid: Paraninlo .
  • Ellasondo, C. L. (s.f.). UNICEN . Obtenido de UNICEN:
  • econ.unicen.edu.ar/monitorit/index.php?option=com
  • Inc., C. d. (s.f.). Cuadernos digitales . Obtenido de Cuadernos digitales :
  • www.quadernsdigitals.net/index.php?accionMenu=secciones…
  • Martinez, M. (julio de 2012). Universidad Internacional de Andalucía. Obtenido de Universidad Internacional de Andalucía:
  • http://www.uae.ma/portail/FR/Document_telechargeable/cours-ete_UNIA/divers/8-
  • %20Sistemas%20Informacion%20-%20Auditoría.%20Marivi%20Martinez.pdf
  • MUÑOZ RAZO, C. (2002). Auditoría EN SISTEMAS COMPUTACIONALES. MEXICO: PEARSON EDUCACION .
  • Rojas, X. D. (1998). Auditoría informatica . EUNED.
  • TAMAYO, A. (2001). Auditoría DE SISTEMAS: UNA VISION PRACTICA . JULIO : UNIVERSIDAD NACIONAL DE COLOMBIA.

Hazle saber al autor que aprecias su trabajo

1+
Tu opinión vale, comenta aquí

Comentarios

Compártelo con tu mundo

Cita esta página
Luna Lagunes Xochitl Abigail. (2016, marzo 2). Auditoría de los sistemas de información organizacional. Recuperado de https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/
Luna Lagunes, Xochitl Abigail. "Auditoría de los sistemas de información organizacional". GestioPolis. 2 marzo 2016. Web. <https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/>.
Luna Lagunes, Xochitl Abigail. "Auditoría de los sistemas de información organizacional". GestioPolis. marzo 2, 2016. Consultado el 7 de Diciembre de 2019. https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/.
Luna Lagunes, Xochitl Abigail. Auditoría de los sistemas de información organizacional [en línea]. <https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/> [Citado el 7 de Diciembre de 2019].
Copiar
Imagen del encabezado cortesía de nicmcphee en Flickr