Auditoría de los sistemas de información organizacional

Toda empresa tiene establecidos criterios, condiciones y obligaciones que deben ser cumplidas y respetadas por todos los miembros de la organización. En cualquier ámbito laboral existe normas y requisitos que cumplir. El manejo de información es sumamente importante para toda empresa, con la información contenida se puede tomar diversas decisiones importantes en todas las áreas de la organización por lo tanto es sumamente importante tener plena confianza en la información con que se cuenta.

auditoria-de-los-sistemas-de-informacion-organizacional

CONCEPTO DE AUDITORIA:

La palabra auditoria tiene un origen antiguo de la misma manera que el audito; es decir la personas que “oía” las rendiciones de cuentas de los funcionarios y agentes reales quienes como no sabían cómo hacerlo no las presentaban por escrito. A continuación, se muestran algunos conceptos de auditoria de diversos autores:

Auditoria: “Procedimientos formales para la revisión periódica completa del sistema de gestión desde todos los puntos de vista: el técnico, el operativo, el de gestión, el comercial, el legal y el organizativo.” (Martinez, 2012)

Auditoria: “Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.”

El vocablo auditoria es sinónimo de examinar, verificar, investigar, consultar, revisar, comprobar y obtener evidencias sobre informaciones, registros, procesos, etc.

CLASIFICACION DE AUDITORIA:

La auditoría económica se puede clasificar de diversas maneras:

a) Según la naturaleza del profesionalAuditoria externa
Auditoria Interna
Auditoria gubernativa
b) Según la clase de objetivos perseguidosAuditoría financiera o contable
Auditoria operativa
c) Según la amplitud del trabajo y el alcance de los procedimientos aplicados

Auditoria completa o convencional

Auditoria parcial o limitada

d) Según su obligatoriedadAuditoria obligatoria
Auditoria voluntaria
e) Según la técnica utilizadaAuditoria por comprobantes
Auditoria por controles

Según la naturaleza del profesional:

  • Auditoria interna: “Auditoria interna es una actividad independiente, objetiva y de consultoría diseñada para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistémico, disciplinado para evaluar y mejorar, la efectividad de la administración del riesgo, el control y los procesos de conducción.” (Ellasondo).

Esta actividad es realizada por personal del seno de la empresa, por lo regular en un departamento staff. Básicamente es una valoración independiente establecida en el seno de la organización para poder examinar y evaluar sus actividades con el fin de garantizar la integridad de su patrimonio, la veracidad de su información y la eficacia de sus sistemas de gestión.

  • Auditoria gubernativa: Es la actividad de fiscalización realizada por diversos órganos del estado sobre organismos de derecho público y/o sobre distintos procesos que afectan el patrimonio nacional o al bien común.
  • Auditoria externa: también se le llama independiente y es un servicio prestado por auditores independientes a la entidad según los términos de un contrato establecido.

Según los objetivos perseguidos:

  • Auditoría financiera: esta actividad se realiza con el fin de emitir un juicio sobre la fiabilidad y razonabilidad de una empresa por medio de la comprobación y examinación de las cuentas anuales y estados financieros.
  • Auditoria operativa: Se realiza para incrementar la eficiencia por medio de examinación y evaluación de los procedimientos de los sistemas de gestión internos de la organización.
  • Según la amplitud del trabajo y el alcance de los procedimientos aplicados:
  • Auditoria completa o convencional: expresa una opinión sobre la razonabilidad de las cuentas anuales tomadas en su conjunto.
  • Auditoria parcial o limitada: emite informes sobre los documentos contables por medio de su revisión parcial.

Según su obligatoriedad:

  • Auditoria obligatoria: se realiza cuando el derecho comunitario o la legislación nacional lo exigen y se realiza sobre las cuentas anuales o algunas cuentas acordada.
  • Auditoria voluntaria: la empresa realiza un procedimiento de revisión de manera discreta.

Según la técnica utilizada:

  • Auditoria por comprobantes: se basa en la revisión de los documentos que sustentan los hechos objeto de la auditoria.
  • Auditoria por controles: se basa en la confianza que el sistema de control interno merece al auditor y la evaluación del sistema de control interno.

 Existen algunos otros tipos de auditorías como son:

  • Auditoria económico-social: Mide el cumplimiento de la responsabilidad social de la organización por medio de la evaluación de las aportaciones que realiza la empresa al entorno especifico que la rodea.
  • Auditoria socio-laboral: determina el clima socio-laboral existente y las relaciones laborales dentro de la empresa.
  • Auditoría medioambiental: determina el impacto que tienen los procesos productivos de las empresas sobre el medio ambiente.
  •  Auditoria ética: en base al código de conducta ética que la empresa establece se determina el comportamiento de la empresa y los distintos órganos de la empresa.
  •  Auditoria de procesos: es realizada por personas ajenas a la organización. Su fin es el de verificar el grado de cumplimiento, desarrollo y mejora de los procesos y procedimientos. Por lo regular se realiza para poder obtener una acreditación o certificación.

 “Auditoria informática: tiene por objetivo determinar el grado de eficacia del sistema informático de proceso de datos de la entidad auditad.” (de la Peña Gutierrez, 2011)

 “Auditoria informática es un examen que se realiza con carácter objetivo, critico sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática del uso adecuado de recursos informáticos, de la gestión informática y si estas brindando el soporte adecuado a los objetivos y metas del negocio” (Academia de Administracion y Sociales, 2011)

“La auditoría informática involucra la realización de pruebas de todas las áreas del departamento de computo e incluyen evaluaciones tanto alrededor del computador como evaluaciones dentro del computador” (Rojas, 1998)

La auditoría informática, de sistemas de información o de sistemas es el tema central de este articulo; sin embargo, antes de entrar de lleno a él tenemos que analizar otros conceptos importantes como los que se muestran a continuación.

SISTEMA DE INFORMACION:

Un sistema de información es un conjunto de elementos orientados al tratamiento y administración de datos e datos e información, organizados para su explotación de cara a cubrir una necesidad u objetivo.

También se puede definir como un conjunto de elementos interrelacionados cuyo cometido es capturar datos, almacenarlos y transformarlos de manera adecuada y distribuir la información obtenida mediante este proceso.

El objetivo de un sistema de información dentro de una organización es entregar la información oportuna y precisa para poder tomar una decisión o la realización de alguna operación y justo en el momento en que se requiera dicha información.

La información útil para cada organización debe cumplir con ciertos requisitos como son:

  • Exactitud: la información debe ser precisa y sin errores.
  • Economicidad: el beneficio que proporciona la información a la organización debe ser mayor que el costo de obtenerla información.
  • Verificabilidad: la información debe poder ser comprobada siempre.
  • Completitud: la información debe estar completa con todos los hechos relevantes.
  • Confianza: Se debe garantizar la calidad de los datos y las fuentes de información.
  • Nivel de detalle: la información debe proporcionarse con el formato idóneo para que sea sencilla y fácil de manejar.
  • Relevancia: La información no debe ser superflua o sin valor, por el contrario, debe ser útil para la toma de decisiones.

La información y el conocimiento que acumulan las organizaciones deben considerarse como un recurso más y por lo tanto protegerlo y controlarlo de manera adecuada para que pueda contribuir a la realización de los objetivos y metas que fije la organización.

ESTRUCTURA DE LOS SISTEMAS DE INFORMACION:  

Existen 5 componentes fundamentales de los sistemas de información:

  1. Personas: propietarios del sistema (patrocinadores y promotores del desarrollo de los sistemas), usuarios (directivos, ejecutivos medios, jefes de equipo, personal administrativo), diseñadores y desarrolladores.
  2. Actividades: procesos realizados en la organización y actividades de procesamiento de datos y generación de información.
  3. Datos: materia prima para crear información.
  4. Redes: se analiza la descentralización de la organización, la distribución de los restantes componentes elementales en lugares mas útiles, así como la comunicación y coordinación entre dichos lugares.  
  5. Tecnología: Hardware y Software de un sistema de información.

PROCESO DE LOS SISTEMAS DE INFORMACION:

Primero se transforman los datos de entrada al sistema en información útil. Todo esto se realiza mediante operaciones de cálculo, agregación, comparación, filtrado, presentación, etc. Estas operaciones son realizadas con la ayuda de sistemas informáticos.

Posteriormente la información útil se coloca en documentos, informes y gráficos, para así pueda ser distribuida al personal adecuado en la organización. Toda esta información, al igual que los datos de partida son colocados en un soporte informático para poder utilizarlos si es necesario posteriormente.

CLASIFICACION DE LOS SISTEMAS DE INFORMACION:

  • Soporte a las actividades operativas: da lugar a sistemas de información para actividades más estructuradas como son aplicaciones contables, ventas, adquisición y por lo regular se denomina “gestión empresarial” o sistemas que permiten el manejo de información menos estructurada como son aplicaciones ofimáticas, programas técnicos para funciones de ingeniería, etc.

Estos sistemas de soporte a las actividades operativas surgen para automatizar actividades operacionales intensivas de manejo de datos. Estas se centran en áreas como gestión de personal y administración; a su vez se extienden a otras actividades como venta, compra o producción.

Estos sistemas permiten recolectar los datos básicos de las operaciones y son denominados sistema de procesamiento transaccional.  Estos sistemas forman parte del “sistema de gestión empresarial” de cada organización.

  • Soporte a las decisiones y el control de gestión: se pueden proporcionar desde las propias aplicaciones de gestión empresarial o a través de aplicaciones específicas. Estos sistemas permiten sacar provecho a los datos obtenidos de los sistemas transaccionales, permiten generar informes para los directivos de la organización, con el propósito de mejorar el control de gestión de las distintas áreas funcionales.

AUDITORIA DE SISTEMAS

“La auditoría de sistemas de información está definida como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o alguna porción) de los sistemas automatizados de procesamiento de información, incluyendo procedimientos relacionados no automáticos, y las interfaces entre ellos” (Inc.)

La auditoría de sistemas también puede ser llamada auditoria informática o auditoria de sistemas de información. Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

La auditoría de sistemas de información es el examen objetivo, critico, sistemático, posterior y selectivo que se hace a la administración informática de una organización para así poder proporcionar una opinión sobre la eficiencia en la adquisición y utilización de los recursos informáticos; la confiabilidad, integridad, seguridad y oportunidad de información y la efectividad de los controles en los sistemas de información.

La auditoría de los sistemas de información se enfoca en determinar los riesgos que son relevantes para los activos de información y en la evaluación de los controles a fin de reducir o mitigar estos riesgos.

OBJETIVOS DE LA AUDITORIA DE SISTEMAS:

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

Algunos objetivos específicos son:

  1. Participación en el desarrollo de nuevos sistemas.
  2. Evaluación de políticas de orden administrativo.
  3. Evaluación de la seguridad en el área de informática
  4. Evaluación de políticas de orden técnico
  5. Evaluación de suficiencia en los planes de contingencia
  6. Evaluación de políticas sobre seguridad física y lógica
  7. Opinión de la utilización de los recursos informáticos.
  8. Evaluación de políticas sobre recursos informáticos
  9. Control de modificación a las aplicaciones existentes.
  10. Participación en la negociación de contratos con proveedores
  11. Revisión de la utilización del sistema operativo y los programas
  12. Auditoria de la base de datos
  13. Auditoria de la red de datos
  14. Desarrollo de software de auditoria.

RAZONES     Y         JUSTIFICACION    PARA            AUDITAR UN      SISTEMA      DE INFORMACION:

  • Toma de decisiones incorrectas
  • Fraude informático
  • Control del uso de las TIC
  • Valor del hardware, del software y del personal
  • Reducir el costo de los errores
  • Privacidad de los datos personales
  • Consecuencias de las pérdidas de datos

ORGANISMOS INTERNACIONALES QUE SE OCUPAN LAS AUDITORIAS DE SISTEMAS DE INFORMACION:

  • ISACA – Asociación de Auditoria y Control de Sistemas de información.
  • ISO – Organización Internacional para la estandarización.
  • NIST – Instituto Nacional de Estándares y Tecnología

ACTIVIDADES        PROPIAS      DE      LA      AUDITORIA DE      SISTEMAS   DE INFORMACION:

  • Controles administrativos de los recursos informáticos
  • Desarrollo de sistemas de aplicación
  • Operación de los sistemas de aplicación
  • Revisión de las aplicaciones
  • Administración de las bases de datos
  • Administración de las bases de datos
  • Procesamiento distribuido y redes Ambiente de microcomputadoras.

PLANEACION DE LA AUDITORIA DE SISTEMAS:

La auditoría de sistemas debe entenderse como la proyección del trabajo de auditoria, definiendo su norte e indicando las pautas a seguir para lograr su desarrollo.

PASOS DEL PROGRAMA DE AUDITORIA (TAMAYO, 2001):

  1. El objeto de la auditoria se debe determinar con mucha claridad al igual que el tipo de auditoria que se va a realizar.
  2. Soporte legal: se debe conocer la normativa tanto interna como externa, así como los procedimientos y reglamentos que afectan a la organización para así proyectar un plan más eficiente.
  3. Alcance: este es determinado por el auditor de acuerdo con las condiciones que se presentan en el momento y las normas o regularizaciones existentes.
  4. Metodología a aplicar: Aquí se debe determinar los pasos a seguir durante la auditoria.
  5. Tiempo estimado: Se debe realizar un estimado del tiempo requerido para auditar considerando todos los factores posibles.
  6. Domicilio: el lugar donde se va a desarrollar la auditoria.
  7. Conformación del equipo: el director de proyecto de auditoria conforma su equipo de trabajo de acuerdo a sus necesidades y criterio. Este equipo debe tener la capacidad de aplicar el enfoque sistémico y debe estar conformado por profesionales de diferentes áreas de conocimiento.
  8. Recursos logísticos y técnicos necesarios para su desarrollo: Se debe definir los horarios de trabajo, equipos de trabajo, elementos de oficina necesarios, recursos informáticos, perfiles de usuario, etc.
  9. Cronograma de actividades: en este se deben contemplar fechas probables de inicio y de terminación de las actividades

METODOLOGIA DE AUDITORIA DE SISTEMAS:

Esta metodología tiene tres etapas fundamentales:

  1. Etapa 1: Planeación de la auditoria de sistemas
    • Identificar el origen de auditoria
    • Realizar una visita preliminar al área que será evaluada
    • Establecer los objetivos de la auditoria
    • Determinar los puntos que serán evaluados en la auditoria
    • Elaborar planes, programas y presupuestos para realizar la auditoria
    • Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria
    • Asignar los recursos y sistemas computacionales
  1. Etapa 2: Ejecución de la auditoria de sistemas
    • Realizar las acciones programadas para la auditoria
    • Aplicar los instrumentos y herramientas para la auditoria
    • Identificar y elaborar los documentos de desviaciones encontradas
    • Elaborar el dictamen preliminar y presentarlo a discusión  Integrar el legado de papeles de trabajo de la auditoria
  1. Etapa 3: Dictamen de la auditoria de sistemas
  • Analizar la información y elaborar un informe de situaciones detectadas
  • Elaborar el dictamen final
  • Presentar el informe de auditoria

INSTRUMENTOS DE RECOPILACION DE INFORMACION APLICABLES EN UNA AUDITORIA DE SISTEMAS:

  • Entrevistas: a través de estas el auditor obtiene información sobre lo auditara, además si es bien aplicada se pueden obtener guías que serán importantes en el trabajo de auditoria.

“La entrevista podría entenderse como la recopilación de información que se realiza en forma directa, cara a cara y a través de algún medio de captura de datos, es decir, el auditor interroga, investiga y confirma directamente con el entrevistado sobre los aspectos que está auditando, en la aplicación de esta técnica, el auditor utiliza una guía de entrevista, la cual contiene una serie de preguntas preconcebidas que va adaptando conforme recibe la información del entrevistado, de acuerdo con las circunstancias que se le presentan y en busca de obtener más información útil para su trabajo.” (MUÑOZ RAZO, 2002)

  • Cuestionarios: es la recopilación de datos mediante preguntas impresas en cedulas o fichas, en las que el encuestado responde de acuerdo con su criterio: de esta manera, el auditor obtiene información útil que puede concentrar, clasificar e interpretar por medido de su tabulación y análisis, para evaluar lo que está auditando y emitir una opinión sobre el aspecto investigado.  
  • Encuestas: Son útiles para averiguar opiniones sobre aspectos de la informática tales como el servicio, comportamiento y utilidad del equipo, la actuación del personal y los usuarios. Las encuestas son la recopilación de datos concretos sobre un tema específico, mediante el uso de cuestionarios o entrevistas diseñadas con preguntas precisas para obtener opiniones de los encuestado que permiten realizar después una tabulación, análisis e interpretación dela información.
  • Observación: es el hecho de examinar, analizar, advertir o estudiar algo; en este caso, cuando el auditor de sistemas aplica esta técnica, lo que hace es observar todo lo relacionado con los sistemas de una empresa, con el propósito de percibir, examinar o analizar lo relacionado con los eventos que se presentan en el desarrollo de las actividades de un sistema.
  • Inventarios: Consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha determinada y compararla con la que debería haber según los documentos en la misma fecha. Esta técnica se utiliza principalmente en las auditorias de carácter financiero. El auditor de sistemas puede examinar las existencias de los elementos disponibles para el funcionamiento del área de informático o del propio sistema, contabilizando para ello los equipos componentes de los sistemas de cómputo, la información y datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos y los demás aspectos cuya existencia real se requiere conocer.
  • Muestreo: una aplicación correcta de los métodos y procedimientos estadísticos ayuda bastante a seleccionar la parte representativa del universo que se tiene que revisar, el propósito es obtener la misma información o parecida que se obtendría de analizar todo el universo. El auditor se apoya en los propios sistemas computacionales para diseñar la muestra, seleccionar la probabilidad de capturar los datos y después procesar la información para elaborar cuadros y graficas representativas de los resultados.
  • Experimentación: es la observación de un fenómeno de estudio, el cual se le van adaptando o modificando sus variables conforme a un plan determinado, con el propósito de analizar sus posibles cambios de conducta como respuesta a las modificaciones que sufre dentro de su propio ambiente o en un ambiente ajeno. Todo ello con el fin de estudiar su comportamiento bajo diversas circunstancias y sacar conclusiones.

CONCLUSIONES:

En la actualidad los sistemas de información forman parte de toda la información pues estos contienen información de todas las áreas de esta. Si se hace un buen uso de la información puede ser una gran ventaja competitiva. Por lo consiguiente es importante auditar los sistemas de información para tener certeza de que la información con la que contamos es completamente real y verdaderamente útil.

La auditoría de sistema de información es un tema muy amplio que requiere de toda la atención para su estudio.

Agradecimientos:

Le agradezco a mi alma mater el Instituto Tecnológico de Orizaba, al profesor Fernando Aguirre y Hernández quien imparte la materia de Fundamentos de la Ingeniería Administrativa por demostrarnos que somos capaces de escribir artículos de diversos temas, por fomentarnos el habito de la lectura y sobre todo por ayudarnos a darnos cuenta de lo que somos capaces de lograr.

Bibliografía

  • Academia de Administracion y Sociales. (Diciembre de 2011). Universidad autonoma del Estado de Hidalgo . Obtenido de Escuela Superior de Tlahuelilpan:
  • http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_inf ormatica/auditoria_informatica.pdf de la Peña Gutierrez, A. (2011). Auditoria, un enfoque practico. Madrid: Paraninlo .
  • Ellasondo, C. L. (s.f.). UNICEN . Obtenido de UNICEN:
  • econ.unicen.edu.ar/monitorit/index.php?option=com
  • Inc., C. d. (s.f.). Cuadernos digitales . Obtenido de Cuadernos digitales :
  • www.quadernsdigitals.net/index.php?accionMenu=secciones…
  • Martinez, M. (julio de 2012). Universidad Internacional de Andalucia. Obtenido de Universidad Internacional de Andalucia:
  • http://www.uae.ma/portail/FR/Document_telechargeable/cours-ete_UNIA/divers/8-
  • %20Sistemas%20Informacion%20-%20Auditoria.%20Marivi%20Martinez.pdf
  • MUÑOZ RAZO, C. (2002). AUDITORIA EN SISTEMAS COMPUTACIONALES. MEXICO: PEARSON EDUCACION .
  • Rojas, X. D. (1998). Auditoria informatica . EUNED.
  • TAMAYO, A. (2001). AUDITORIA DE SISTEMAS: UNA VISION PRACTICA . JULIO : UNIVERSIDAD NACIONAL DE COLOMBIA.

Hazle saber al autor que aprecias su trabajo

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Cita esta página
Luna Lagunes Xochitl Abigail. (2016, marzo 2). Auditoría de los sistemas de información organizacional. Recuperado de https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/
Luna Lagunes, Xochitl Abigail. "Auditoría de los sistemas de información organizacional". GestioPolis. 2 marzo 2016. Web. <https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/>.
Luna Lagunes, Xochitl Abigail. "Auditoría de los sistemas de información organizacional". GestioPolis. marzo 2, 2016. Consultado el 16 de Marzo de 2019. https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/.
Luna Lagunes, Xochitl Abigail. Auditoría de los sistemas de información organizacional [en línea]. <https://www.gestiopolis.com/auditoria-los-sistemas-de-informacion-organizacional/> [Citado el 16 de Marzo de 2019].
Copiar
Imagen del encabezado cortesía de nicmcphee en Flickr
DACJ