Los sistemas de información tratan el desarrollo, uso y administración de la infraestructura de la tecnología de la información en una organización.
En la era post-industrial, la era de la información, el enfoque de las compañías ha cambiado de la orientación hacia el producto a la orientación hacia el conocimiento, en este sentido el mercado compite hoy en día en términos del proceso y la innovación, en lugar del producto. El énfasis ha cambiado de la calidad y cantidad de producción hacia el proceso de producción en sí mismo, y los servicios que acompañan este proceso.
El mayor de los activos de una compañía hoy en día es su información, representada en su personal, experiencia, conocimiento, innovaciones (patentes, derechos de autor, secreto comercial). Para poder competir, las organizaciones deben poseer una fuerte infraestructura de información, en cuyo corazón se sitúa la infraestructura de la tecnología de información. De tal manera que el sistema de información se centre en estudiar las formas para mejorar el uso de la tecnología que soporta el flujo de información dentro de la organización. Un sistema de información debe brindar la totalidad de los elementos que conforman los datos, en una estructura robusta, flexible ante los futuros cambios y homogénea.
Concepto de auditoria
Para Franklin una auditoria administrativa es la revisión analítica total o parcial de una organización con el propósito de precisar su nivel de desempeño y perfilar oportunidades de mejora para innovar valor y lograr una ventaja competitiva sustentable. (Franklin, 2007)
Mientras que para Rodríguez, la auditoria es un examen detallado, metódico y completo practicado por un profesional de la administración sobre la gestión de un organismo social. Consiste en la aplicación de diversos procedimientos, con el fin de evaluar la eficiencia de sus resultados en relación con las medidas fijadas; los recursos humanos, financieros y materiales empleados; la organización, utilización y coordinación de dichos recursos; los métodos y controles establecidos y su forma de operar. (Rodríguez, 2003)
Se puede resumir la conceptualización de la auditoría así:
- La auditoría es un examen de un sistema de información.
- Para garantizar la imparcialidad de los resultados del examen, este debe ser realizado por una persona diferente del elaborador de la información y el usuario.
- El examen es realizado en forma crítica, sistemática y detallada.
- El propósito del examen es determinar la autenticidad, integridad y calidad de la información que produce el sistema.
- Para evaluar y valorar el sistema de información se deben poseer conocimientos profundos de la estructura y funcionamiento de la entidad auditada, del medio ambiente y las normas legales que la rigen.
- La opinión del auditor es emitida de manera independiente.
- El examen requiere de la utilización de técnicas profesionales determinadas.
Objetivo de la auditoria
El objetivo primordial de la auditoría consiste en descubrir deficiencias e irregularidades en alguna función del organismo social examinado e indicar sus probables correcciones.
En otras palabras, el objetivo básico es ayudar a la dirección superior, a fin de que logre una administración eficaz y eficiente.
La intención de la auditoría es examinar y evaluar los métodos y desempeño en todas las áreas y valorar el panorama administrativo y económico (lo apropiado de los objetivos y planes, políticas y procedimientos, organización, recursos, exactitud y confiabilidad de los controles, etc.).
En términos generales, la auditoría proporciona una evaluación cuantificada de la eficiencia con la que cada órgano de la institución desarrolla sus funciones administrativas y las diferentes etapas del proceso administrativo.
En otras palabras, nos presenta un panorama administrativo general de la institución auditada y señala aquellas áreas cuyos problemas exigen una mayor atención de parte de la dirección del organismo.
Características de la auditoria
- La auditoría debe ser realizada en forma analítica, sistémica y con un amplio sentido crítico por parte del profesional que realice el examen. Por tanto no puede estar sometida a conflictos de intereses del examinador, quien actuará siempre con independencia para que su opinión tenga una verdadera validez ante los usuarios de la misma.
- Todo ente económico puede ser objeto de auditaje, por tanto la auditoría no se circunscribe solamente a las empresas que posean un ánimo de lucro como erróneamente puede llegar a suponerse. La condición necesaria para la auditoría es que exista un sistema de información. Este sistema de información puede pertenecer a una empresa privada u oficial, lucrativa o no lucrativa.
- La Auditoría es evaluación y como toda evaluación debe poseer un patrón contra el cual efectuar la comparación y poder concluir sobre el sistema examinado. Este patrón de comparación obviamente variará de acuerdo al área sujeta a examen.
- Para realizar el examen de auditoría, se requiere que el auditor tenga un gran conocimiento sobre la estructura y el funcionamiento de la unidad económica sujeta al análisis, no sólo en su parte interna sino en el medio ambiente en la cual ella se desarrolla así como de la normatividad legal a la cual está sujeta.
- El diagnóstico o dictamen del auditor debe tener una intencionalidad de divulgación, pues solo a través de la comunicación de la opinión del auditor se podrán tomar las decisiones pertinentes que ella implique. Los usuarios de esta opinión pueden ser internos o externos a la empresa. (Cuellar, s.f.)
Tipos de auditoria
Existen muchos tipos de auditorías que se pueden realizar en una organización.
Algunas de ellas son:
Auditoría de dirección. Como una extensión de la función de supervisión de la alta gerencia.
Auditoría fiscal. Para determinar si los tributos al fisco se efectúan en la cantidad debida y dentro de los plazos y formas establecidos.
Auditoría informática. Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información mantiene la integridad de los datos y utiliza eficientemente los recursos.
Auditoría de seguridad. Valida las medidas de protección que se llevan a cabo, sobre la base de la política de seguridad, verificando que cada regla se aplique correctamente
Auditoría operativa. Valoración de todas las operaciones de una empresa para determinar si se llevan a cabo políticas y procedimientos aceptables, si se siguen las normas restablecida; si se utilizan los recursos de forma eficaz y económica; si los objetivos de la organización se han alcanzado.
Auditoría de seguridad y salud en el trabajo. Conocer los antecedentes que permitan identifica los riesgos a los procesos productivos, de servicios, la tecnología y la organización.
Auditoría de auditoría social. Proceso que una empresa realiza para presentar el balance de su acción social y su comportamiento.
Sistemas de información
Por definición es un conjunto de elementos que interactúan entre sí con un fin común; que permite que la información esté disponible para satisfacer las necesidades en una organización, un sistema de información no siempre requiere contar con recuso computacional aunque la disposición del mismo facilita el manejo e interpretación de la información por los usuarios.
Los elementos que interactúan entre sí son: el equipo computacional (cuando esté disponible), el recurso humano, los datos o información fuente, programas ejecutados por las computadoras, las telecomunicaciones y los procedimientos de políticas y reglas de operación.
Los usuarios de los sistemas de información tienen diferente grado de participación dentro de un sistema y son el elemento principal que lo integra, así se puede definir usuarios primarios quienes alimentan el sistema, usuarios indirectos que se benefician de los resultados pero que no interactúan con el sistema, usuarios gerenciales y directivos quienes tienen responsabilidad administrativa y de toma de decisiones con base a la información que produce el sistema.
Proceso de los sistemas de información
Entrada de Información: Es el proceso mediante el cual el sistema de información toma los datos que requiere para procesar la información. Las entradas pueden ser manuales o automáticas. Las manuales son aquellas que se proporcionan en forma directa por el usuario, mientras que las automáticas son datos o información que provienen o son tomados de otros sistemas o módulos. Esto último se denomina interfaces automáticas. Las unidades típicas de entrada de datos a las computadoras son las terminales, las cintas magnéticas, las unidades de diskette, los códigos de barras, los escáners, la voz, los monitores sensibles al tacto, el teclado y el mouse, entre otras.
Almacenamiento de información: El almacenamiento es una de las actividades o capacidades más importantes que tiene una computadora, ya que a través de esta propiedad el sistema puede recordar la información guardada en la sección o proceso anterior. Esta información suele ser almacenada en estructuras de información denominadas archivos. La unidad típica de almacenamiento son los discos magnéticos o discos duros, los discos flexibles o diskettes y los discos compactos (CD-ROM).
Procesamiento de Información: Es la capacidad del sistema de información para efectuar cálculos de acuerdo con una secuencia de operaciones preestablecida. Estos cálculos pueden efectuarse con datos introducidos recientemente en el sistema o bien con datos que están almacenados. Esta característica de los sistemas permite la transformación de datos fuente en información que puede ser utilizada para la toma de decisiones, lo que hace posible, entre otras cosas, que un tomador de decisiones genere una proyección financiera a partir de los datos que contiene un estado de resultados o un balance general de un año base.
Salida de Información: La salida es la capacidad de un sistema de información para sacar la información procesada o bien datos de entrada al exterior. Las unidades típicas de salida son las impresoras, terminales, diskettes, cintas magnéticas, la voz, los graficadores y los plotters, entre otros. Es importante aclarar que la salida de un Sistema de Información puede constituir la entrada a otro Sistema de Información o módulo. En este caso, también existe una interface automática de salida. (Duany, 2010)
Ciclo de vida de los sistemas de información
Existen pautas básicas para el desarrollo de un sistema de información para una organización:
Codificación: con el algoritmo ya diseñado, se procede a su reescritura en un lenguaje de programación establecido (programación) en la etapa anterior, es decir, en códigos que la máquina pueda interpretar y ejecutar.
Conocimiento de la organización: analizar y conocer todos los sistemas que forman parte de la organización, así como los futuros usuarios del sistema de información. En las empresas (fin de lucro presente), se analiza el proceso de negocio y los procesos transaccionales a los que dará soporte el SI.
Determinar las necesidades: este proceso también se denomina licitación de requerimientos. En el mismo, se procede identificar a través de algún método de recolección de información (el que más se ajuste a cada caso) la información relevante para el sistema de información que se propondrá.
Diagnóstico: en este paso se elabora un informe resaltando los aspectos positivos y negativos de la organización. Este informe formará parte de la propuesta del sistema de información y, también, será tomado en cuenta a la hora del diseño.
Diseño del sistema: una vez aprobado el proyecto, se comienza con la elaboración del diseño lógico del sistema de información; la misma incluye: el diseño del flujo de la información dentro del sistema, los procesos que se realizarán dentro del sistema, el diccionario de datos, los reportes de salida, etc. En este paso es importante seleccionar la plataforma donde se apoyará el SI y el lenguaje de programación a utilizar.
Identificación de problemas y oportunidades: el segundo paso es relevar las situaciones que tiene la organización y de las cuales se puede sacar una ventaja competitiva (Por ejemplo: una empresa con un personal capacitado en manejo informático reduce el costo de capacitación de los usuarios), así como las situaciones desventajosas o limitaciones que hay que sortear o que tomar en cuenta (Por ejemplo: el edificio de una empresa que cuenta con un espacio muy reducido y no permitirá instalar más de dos computadoras).
Implementación: este paso consta de todas las actividades requeridas para la instalación de los equipos informáticos, redes y la instalación de la aplicación (programa) generada en la etapa de Codificación.
Mantenimiento: proceso de retroalimentación, a través del cual se puede solicitar la corrección, el mejoramiento o la adaptación del sistema de información ya creado a otro entorno de trabajo o plataforma. Este paso incluye el soporte técnico acordado anteriormente.
Propuesta: contando ya con toda la información necesaria acerca de la organización, es posible elaborar una propuesta formal dirigida hacia la organización donde se detalle: el presupuesto, la relación costo-beneficio y la presentación del proyecto de desarrollo del sistema de información.
Auditoria de Sistemas de Información
Cuando se generalizó el uso de las nuevas tecnologías, surgió también la necesidad de realizar auditorías sobre los sistemas de tratamiento de información. En este sentido se podría decir que la auditoria informática comprende el conjunto de actividades encaminadas a la validación y verificación de los sistemas, procesos y resultados en los que se utilicen tecnologías automatizadas, ya sea en cumplimiento de la legislación, como garantía de la integridad de la información aportada por un sistema o por alineamiento con determinados estándares relacionados con el buen uso (best practices) de los sistemas.
La Auditoría de Sistemas de Información es un examen y validación del cumplimiento de los controles y procedimientos utilizados para la confidencialidad, integridad y disponibilidad de los sistemas de información.
Realizada por personal externo a la empresa, proporciona al negocio una evaluación independiente y objetiva de los hechos que, en ocasiones es difícil de obtener cuando se está inmerso en la operación y en presión de la problemática del día a día.
Determinar si los controles implementados son eficientes y suficientes, identificar las causas de los problemas existentes en los sistemas de información y a su vez las áreas de oportunidad que puedan encontrarse, determinando las acciones preventivas y correctivas necesarias para mantener a los sistemas de información confiables y disponibles.
Identificar causas y soluciones a problemas específicos de los sistemas de información, que pueden estar afectando a la operación y a las estrategias del negocio.
Tipos de auditorias Informáticas
Regular Informática: Se refiere a las que se realizan a la calidad de la información existente en las bases de datos de los sistemas informáticos que se utilizan para controlar los recursos, su entorno y los riesgos asociados a esta actividad.
Especial Informática: Consiste en el análisis de los aspectos específicos relativos a las bases de datos de los sistemas informáticos en que se haya detectado algún tipo de alteración o incorrecta operatoria de los mismos.
Recurrente Informática: Son aquellas donde se examinan los Planes de Medidas elaborados en auditorias informáticas anteriores donde se obtuvo la calificación de Deficiente o Malo, ya sea en una Regular o Especial.
Herramientas para realizar auditorias
Cuestionarios:
El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.
Entrevistas:
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:
- Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
- Mediante «entrevistas» en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
- Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. El auditor conversará y hará preguntas «normales», que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.
El auditor pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El auditor pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación.
Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas «Trazas» se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.
Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante.
Del mismo modo, el Sistema genera automáticamente exacta información sobre el tratamiento de errores de maquina central, periféricos, etc.
Software de Interrogación:
Hasta hace ya algunos años se han utilizado productos software, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los Software para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.
Conclusión
La auditoria de los sistemas de información es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.
Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
Estas auditorias aunque no son implementadas a cabalidad en todas las empresas, son de gran importancia para garantizar y fiscalizar el buen uso de los sistemas de información, dando mayor certeza de la confiabilidad de estos y propiciando más y mejores resultados, reducción de costos a futuro y de inconvenientes.
Referencias
Cuellar, G. (s.f.). Concepto Universal de Auditoria. Obtenido de http://members.tripod.com/~Guillermo_Cuellar_M/uno.html
Duany, A. (2010). Sistemas de Información. Obtenido de http://www.econlink.com.ar/sistemasinformacion/definicion
Franklin, B. (2007). Auditoria Administrativa: Gestión Estratégica del cambio. Pearson.
Rodríguez, J. (2003). Sinopsis de auditoría administrativa. Obtenido de http://www.uaeh.edu.mx/nuestro_alumnado/icea/licenciatura/documentos/9%20La%20 auditoria%20administrativa.pdf
Este Artículo fue elaborado por Ing. Josué Pacheco Ortiz, bajo auspicio del Maestro
Fernando Aguirre y Hernández, de la materia Fundamentos de Ingeniería
Administrativa, de la Maestría en Ingeniería Administrativa, del Instituto Tecnológico Nacional de México, Campus Orizaba. Y apoyado bajo beca Conacyt.