Introducción
La auditoría
informática la podemos definir como el conjunto de procedimientos y técnicas
para evaluar y controlar un sistema informático a fin de constatar si las
actividades que se realizan dentro del mismo,
son correctas y de acuerdo a las normas informáticas de la organización;
en otras palabras, podemos decir que la auditoría en informática es la revisión
y evaluación de los controles, sistemas, procedimientos de informática, de los
equipos, su utilización, eficiencia y seguridad, referente a la organización
que participan en el proceso de la auditoria,
para que se logre una utilización más eficiente y segura de la
información que servirá para la adecuada toma de decisiones en un momento
determinado y en el lugar indicado.
Para hacer una adecuada planeación de la auditoría
en informática hay que seguir una serie de pasos que permitan establecer el
tamaño y características del área dentro del organismo a auditar, sus sistemas,
organización y equipo. Con ello podremos determinar el número y características
del personal de auditoría, las herramientas necesarias, el tiempo y costo, así
como definir los alcances de la auditoría. En el desarrollo de este tema de
investigación se explica las fases que abarca la auditoría, la planeación y
desarrollo que debe seguirse en la auditoría informática , así como también, el
examen y evaluación, culminando con el informe y cierre de la auditoria.
Un sistema de información se puede definir técnicamente
como un conjunto de elementos relacionados que recolectan (o recuperan),
procesan, almacenan y distribuyen información para apoyar la toma de decisiones
y el control en una organización.
ACTIVIDADES DE UN SISTEMA DE INFORMACIÓN:
Hay tres actividades en un sistema de información que
producen la información que esas organizaciones necesitan para tomar
decisiones, controlar operaciones, analizar problemas y crear nuevos productos
o servicios. Estas actividades son:
·
Entrada: captura o
recolecta datos en bruto tanto del interior de la organización como de su
entorno externo.
·
Procesamiento:
convierte esa entrada de datos en una forma más significativa.
·
Salida: transfiere la
información procesada a la gente que la usará o a las actividades para las que
se utilizará.
Los sistemas de información también requieren
retroalimentación, que es la salida que se devuelve al personal adecuado de la
organización para ayudarle a evaluar o corregir la etapa de entrada.
La auditoría en informática es la revisión y la evaluación
de los controles, sistemas, procedimientos de informática; de los equipos de
cómputo, su utilización, eficiencia y seguridad, de la organización que
participan en el procesamiento de la información, a fin de que por medio del
señalamiento de cursos alternativos se logre una utilización más eficiente y
segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la
evaluación de los equipos de cómputo, de un sistema o procedimiento específico,
sino que además habrá de evaluar los sistemas de información en general desde
sus entradas, procedimientos, controles, archivos, seguridad y obtención de
información.
La auditoría en informática es de vital importancia para el
buen desempeño de los sistemas de información, ya que proporciona los controles
necesarios para que los sistemas sean confiables y con un buen nivel de
seguridad. Además debe evaluar todo (informática, organización de centros de
información, hardware y software).
Se requieren varios pasos para realizar una auditoría. El
auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un
programa de auditoria que consta de objetivos de control y procedimientos de
auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige
que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de
los controles existentes basado en la evidencia recopilada, y que prepare un
informe de auditoría que presente esos temas en forma objetiva a la gerencia.
Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y
asignación adecuada de recursos para realizar el trabajo de auditoria además de
las revisiones de seguimiento sobre las acciones correctivas emprendidas por la
gerencia.
Para hacer una adecuada planeación de la auditoria en
informática, hay que seguir una serie de pasos previos que permitirán
dimensionar el tamaño y características de área dentro del organismo a auditar,
sus sistemas, organización y equipo.
En el caso de la auditoria en informática, la planeación es
fundamental, pues habrá que hacerla desde el punto de vista de los dos
objetivos:
·
Evaluación de los
sistemas y procedimientos.
·
Evaluación de los
equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se
requiere es obtener información general sobre la organización y sobre la
función de informática a evaluar. Para ello es preciso hacer una investigación
preliminar y algunas entrevistas previas, con base en esto planear el programa
de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación
dentro de la organización, si existe la información solicitada, si es o no
necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y
revisando la información de cada una de las áreas basándose en los siguientes
puntos:
ADMINISTRACIÓN
Se recopila la información para obtener una visión general
del departamento por medio de observaciones, entrevistas preliminares y
solicitud de documentos para poder definir el objetivo y alcances del
departamento.
Para analizar y dimensionar la estructura por auditar se
debe solicitar a nivel del área de informática
·
Objetivos a corto y
largo plazo.
·
Recursos materiales y
técnicos
·
Solicitar documentos
sobre los equipos, número de ellos, localización y características.
·
Estudios de viabilidad.
·
Número de equipos,
localización y las características (de los equipos instalados y por instalar y
programados)
·
Fechas de instalación
de los equipos y planes de instalación.
·
Contratos vigentes de
compra, renta y servicio de mantenimiento.
·
Contratos de seguros.
·
Convenios que se tienen
con otras instalaciones.
·
Configuración de los
equipos y capacidades actuales y máximas.
·
Planes de expansión.
·
Ubicación general de
los equipos.
·
Políticas de operación.
·
Políticas de uso de los
equipos.
SISTEMAS
Descripción general de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de información.
·
Manual de formas.
·
Manual de
procedimientos de los sistemas.
·
Descripción genérica.
·
Diagramas de entrada,
archivos, salida.
·
Salidas.
·
Fecha de instalación de
los sistemas.
·
Proyecto de instalación
de nuevos sistemas.
·
En el momento de hacer
la planeación de la auditoria o bien su realización, debemos evaluar que pueden
presentarse las siguientes situaciones.
·
Se solicita la
información y se ve que:
·
No tiene y se necesita.
·
No se tiene y no se
necesita.
·
Se tiene la información
pero:
·
No se usa.
·
Es incompleta.
·
No está actualizada.
·
No es la adecuada.
·
Se usa, está
actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar
la causa por la que no es necesaria. En el caso de No se tiene pero es
necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y
con el uso que se le va a dar. En el caso de que se tenga la información pero
no se utilice, se debe analizar por qué no se usa. En caso de que se tenga la
información, se debe analizar si se usa, si está actualizada, si es la adecuada
y si está completa.
El éxito del análisis crítico depende de las
consideraciones siguientes:
·
Estudiar hechos y no
opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
·
Investigar las causas,
no los efectos.
·
Atender razones, no
excusas.
·
No confiar en la
memoria, preguntar constantemente.
·
Criticar objetivamente
y a fondo todos los informes y los datos recabados.
PERSONAL PARTICIPANTE
Una de las partes más importantes dentro de la planeación
de la auditoria en informática es el personal que deberá participar y sus
características.
Uno de los esquemas generalmente aceptados para tener un
adecuado control es que el personal que intervengan esté debidamente
capacitado, con alto sentido de moralidad, al cual se le exija la optimización
de recursos (eficiencia) y se le retribuya o compense justamente por su
trabajo.
Con estas bases se debe considerar las características de
conocimientos, práctica profesional y capacitación que debe tener el personal
que intervendrá en la auditoria. En primer lugar se debe pensar que hay
personal asignado por la organización, con el suficiente nivel para poder
coordinar el desarrollo de la auditoria, proporcionar toda la información que
se solicite y programar las reuniones y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el
apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el
cual estén presentes una o varias personas del área a auditar, sería casi
imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los
usuarios para que en el momento que se solicite información o bien se efectúe
alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se
está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar
no sólo el punto de vista de la dirección de informática, sino también el del
usuario del sistema.
Para completar el grupo, como colaboradores directos en la
realización de la auditoria se deben tener personas con las siguientes
características:
·
Técnico en informática.
·
Experiencia en el área
de informática.
·
Experiencia en
operación y análisis de sistemas.
·
Conocimientos de los
sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal
con conocimientos y experiencia en áreas específicas como base de datos, redes,
etc. Lo anterior no significa que una sola persona tenga los conocimientos y
experiencias señaladas, pero si deben intervenir una o varias personas con las
características apuntadas.
Una vez que se ha hecho la planeación, se hace la descripción
de la actividad, el número de personas participantes, las fechas estimadas de
inicio y terminación, el número de días hábiles y el número de días/hombre
estimado. El control del avance de la auditoria nos permitirá cumplir con los
procedimientos de control y asegurarnos que el trabajo se está llevando a cabo
de acuerdo con el programa de auditoria, con los recursos estimados y en el
tiempo señalado en la planeación.
El hecho de contar con la información del avance nos permite
revisar el trabajo elaborado por cualquiera de los asistentes.
Consiste
de la revisión de los diagramas de flujo de procesos (muestra gráficamente los
pasos o procesos a seguir para alcanzar la solución de un problema),
realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones
de las áreas críticas, revisión de procesos históricos, revisión de
documentación y archivos, entre otras actividades. Con las fases anteriores el
auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis
profundo en los que definirá concretamente su grupo de trabajo y la
distribución de carga del mismo, establecerá los motivos, objetivos, alcance recursos
que usará, definirá la metodología de trabajo, la duración de la auditoria, presentará
el plan de trabajo y analizará detalladamente cada problema encontrado con todo
lo anteriormente analizado.
Los
auditores internos deberán obtener, analizar, interpretar y documentar la
información para apoyar los resultados de la auditoria. El proceso de examen y
evaluación de la información es el siguiente:
·
Se debe tener la
información de todos los asuntos relacionados con los objetivos y alcances de
la Auditoria.
·
La información deberá
ser suficiente, competente, relevante y útil para que proporcione bases sólidas
en relación con los hallazgos y recomendación de la auditoria.
·
Los procedimientos de auditoria deberán ser elegidos con
anterioridad, cuando esto sea posible, modificarse cuando las circunstancias lo
requieran.
·
El proceso de recabar, analizar, interpretar y documentar
la información deberá supervisarse para proporcionar una seguridad razonable de
que la objetividad del auditor se mantuvo y que las metas de la auditoría se
cumplieron.
·
Los documentos de trabajo de la auditoría deberán ser
preparados por los auditores y revisados
por la gerencia de auditoría.
El
director de auditoria en informática deberá establecer un programa para
seleccionar y desarrollar los recursos, el cual debe contemplar:
·
Descripciones de puestos por cada nivel de Auditoria Informática.
·
Selección de individuos calificados y competentes.
·
Entrenamiento y oportunidad de capacitación profesional
para todos y cada uno de los auditores.
·
Evaluación del trabajo de cada uno de los auditores por
lo menos una vez al año.
·
Asesoría a los auditores en lo referente a su trabajo y a
su desarrollo profesional.
El director de auditoria informática deberá establecer y
mantener un programa de control de la calidad para evaluar las operaciones de
su equipo de trabajo.
Una
vez recogidas las evidencias, el auditor pasa a estudiar toda esa información
para la realización del informe final de auditoría.
Identificación de no-conformidades
Si
durante la auditoría el auditor ha llegado a la conclusión objetiva de que
existe un incumplimiento, deberá documentarlo y elaborar una nota de no
conformidad.
Estas
notas deben ser elaboradas con cuidado manifestando solamente los hechos encontrados
y cuál es el requerimiento que incumplen, para lo que se necesita cierto tiempo
de reflexión.
La
nota estará redactada de forma clara y concisa, con el fin de que además de
evidencia para el incumplimiento, sirva también para decidir cuáles son los
pasos a seguir por la empresa para solucionar o corregir la no-conformidad.
Cada
nota de no-conformidad deberá contener la siguiente información:
·
Numeración correlativa
·
Fecha
·
En qué área se hizo la
observación
·
La actividad de que se
trate
·
El número de revisión
de los documentos
·
El texto de la
no-conformidad observada
·
El nombre de la persona
con quién trató el asunto
·
Las firmas del auditor
y el representante responsable de la empresa
Redacción
del informe final
Una
vez redactadas las notas de no-conformidad y estudiadas todas las observaciones
recogidas a lo largo de la auditoría se pasará a redactar un informe final con
las conclusiones de las auditorías.
Un
informe tendrá los siguientes contenidos:
Datos
generales de la auditoria
·
Empresa
·
Área de la empresa
·
Alcance.
·
Motivos de la Auditoria
·
Objetivos
·
Fecha
·
Lugar
·
Estructura
Orgánico-Funcional del área Informática
·
Configuración del
Hardware y Software instalado
·
Control Interno
·
Resultados de la
Auditoría
·
Auditores.
El informe
se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las
recomendaciones de la Auditoria.
Reunión de cierre
Debería
haber una reunión de cierre con los mismos componentes que en la reunión
inicial.
En
esta reunión se explicará el informe, detallando las no-conformidades
encontradas y las observaciones sugeridas.
Algunas
no-conformidades se podrán subsanar, y para otras se establecerá un plazo para
su corrección.
La
reunión también servirá para contestar a las posibles dudas que se tengan.
Se
finalizará la reunión de cierre, y con ella la auditoria, con la aprobación del
informe final con la firma del representante responsable de la empresa.
Conclusión
La auditoria en informática es
muy importante para el adecuado desempeño de los sistemas de información,
debido a que nos brinda los controles suficientes y necesarios para que los
sistemas sean de alta confiabilidad y con alto nivel de seguridad. Además este
tipo de auditorías debe evaluar todo el sistema de información.
Con este tema, lo importante es que toda empresa, que posea
un sistema de información debe ser sometida a un control detallado con una
evaluación eficiente y eficaz. Ya que es de vital importancia que los sistemas
de información funcionen correctamente. Cabe mencionar que el éxito de
cualquier empresa, siempre dependerá de la eficiencia de sus sistemas de
información, es por tal motivo que la auditoría a estos sistemas debe ser
realizada de manera correcta.
Debe existir un balance entre
un equipo de trabajo y el sistema informático, para que la empresa funcione,
sea exitosa y saldrá a adelante.
Debemos tomar en cuenta el
trabajo de la auditoría, con conocimiento de Informática, seriedad, capacidad y
responsabilidad; la auditoría de sistemas de información siempre debe
realizarse por medio de gente con una adecuada capacitación, una auditoría de
sistemas de información mal realizada puede atraer consecuencias para la
empresa, y más que nada económicas.