AUDITORIA DEL CONTROL INFORMATICO

Los Sistemas Informáticos se han constituido en las herramientas más poderosas

para materializar uno de los conceptos más vitales y necesarios para cualquier
organización empresarial. La Informática hoy, está subsumida en la gestión
integral de la empresa, y por eso las normas y estándares propiamente
informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En
consecuencia, las organizaciones informáticas forman parte de lo que se ha
denominado la gestión de la empresa. Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoría Informática, donde esta se ha empleado
incorrectamente con frecuencia ya que se ha considerado como una evaluación
cuyo único fin es detectar errores y señalar fallas.

El auditor informático ha de velar por la correcta utilización de los amplios recursos

que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de
Información. Claro está, que para la realización de una auditoría informática eficaz,
se debe entender a la empresa en su más amplio sentido, ya que una Universidad,
un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o
empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de
forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.

La auditoría informática es un órgano de control de algunas instituciones estatales

y privadas. Su función inicial es estrictamente económica o financiera, y los casos
inmediatos se encuentran en las peritaciones judiciales y las contrataciones de
contables expertos por parte de Bancos Oficiales. La función auditora debe ser
absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus
conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La
auditoría contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de
acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias
plasmadas en el Informe final reciben el nombre de Recomendaciones.

Las funciones de análisis y revisión que el auditor informático realiza, puede

chocar con la psicología del auditado, ya que es un informático y tiene la
necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del
auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es
a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Estos son, llamados Check List, los cuales se guardan celosamente
por las empresas auditoras, ya que son activos importantes de su actividad. Las
Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si
son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos
a los esperados por la empresa auditora. La Check List puede llegar a explicar
cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar
subordinado a la regla, a la norma, al método. Sólo una metodología precisa
puede desentrañar las causas por las cuales se realizan actividades teóricamente
inadecuadas o se omiten otras correctas, las cuales se debe hacer una adecuada
planeación de la auditoría en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características del área dentro del
organismo a auditar, sus sistemas, organización y equipo; con ello podremos
determinar el número y características del personal de auditoría, las herramientas
necesarias, el tiempo y costo, así como definir los alcances de la auditoría para,
en caso necesario, poder elaborar el contrato de servicios.

En el caso de la auditoría en informática, la planeación es fundamental, pues

habrá que hacerla desde el punto de vista de los tres objetivos:

 Evaluación administrativa del área de procesos electrónicos.

 Evaluación de los sistemas y procedimientos.
 Evaluación de los equipos de cómputo.

La función de auditoría informática ha pasado de ser una función meramente de

ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá
haciendo en el futuro, más acorde con la importancia que para las organizaciones
tienen los sistemas informáticos y de información que son su objeto de estudio y
análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial,
en el que va a ser analista, auditor y asesor en: Seguridad, Control interno
operativo, Eficiencia y eficacia, Tecnología informática, Continuidad de
operaciones, Gestión de riesgos.

No solamente de los sistemas informáticos objeto de su estudio, sino de las

relaciones e implicaciones operativas que dichos sistemas tienen en el contexto
empresarial.

La función de auditoría en informática en un nivel organizacional que le asegure la

independencia y soporte requerido de la alta dirección, a fin de contar con una
entidad confiable y eficiente. La falta de una posición organizacional adecuada a
las características especificas que la rodean, puede convertirla en foco de
frustración e incertidumbre con el paso del tiempo. El control y la seguridad no
pueden establecerse ni supervisarse desde los niveles inferiores de una empresa;
su posición debe ser estratégica o por perfiles especiales del negocio, táctico.
Nunca se ejercerán desde un nivel operativo; la alternativa es que los haga
personal profesional externo.

El Control Interno Informático puede definirse como el sistema integrado al

proceso administrativo, en la planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección de todos los recursos
informáticos y mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados.

 En el ambiente informático, el control interno se materializa fundamentalmente

en controles de dos tipos:
 Controles manuales; aquellos que son ejecutados por el personal del área
usuaria o de informática sin la utilización de herramientas computacionales.
 Controles Automáticos; son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación

Recordemos que un auditor informático es un profesional especializado en ramas

de la auditoría informática, principalmente dedicado al análisis de sistemas de
información, que tiene conocimientos generales de los ámbitos en los que ésta se
mueve, además de contar con conocimientos empresariales generales.

El auditor puede actuar como consultor con su auditado, dándole ideas de cómo
enfocar la construcción de los elementos de control y administración que le sean
propios. Además, puede actuar como consejero con la organización en la que está
desarrollando su labor. Un entorno informático bien controlado puede ser
ineficiente si no es consistente con los objetivos de la organización en tanto en sus
relaciones con el auditado como con terceras personas, deberá, en todo momento,
actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y
de corrección en el trato personal. Para ello deberá cuidar la moderación en la
exposición de sus juicios u opiniones evitando caer en exageraciones o
atemorizaciones innecesarias procurando, en todo momento, transmitir una
imagen de precisión y exactitud en sus comentarios. El comportamiento
profesional exige del auditor una seguridad en sus conocimientos técnicos y una
clara percepción de sus carencias, debiendo eludir las injerencias no solicitadas
por él, de profesionales de otras áreas, en temas relacionadas o que puedan
incidir en el resultado da la auditoría. •El debe asimismo guardar un escrupuloso
respecto por la política empresarial del auditado, aunque ésta difiera
ostentablemente de las del resto el sector en las que desarrolla su actividad.
Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos
ficticios, encubran comportamientos no profesionales o den publicidad a
metodologías propias o ajenas insuficientemente contrastadas y garantizadas.

Para concluir las auditorias informáticas se conforman obteniendo información

y documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor consiste en lograr obtener toda la
información necesaria para emitir un juicio global objetivo, siempre amparando las
evidencias comprobatorias.

El auditor debe estar capacitado para comprender los mecanismos que se

desarrollan en un procesamiento electrónico. También debe estar preparado para
enfrentar sistemas computarizados en los cuales se encuentra la información
necesaria para auditar.

Toda empresa, pública o privada, que posean Sistemas de Información

medianamente complejos, deben de someterse a un control estricto
de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de
las empresas tienen toda su información estructurada en Sistemas Informáticos,
de aquí, la vital importancia que los sistemas de información funcionen
correctamente.. El éxito de una empresa depende de la eficiencia de sus sistemas
de información. Una empresa puede contar con personal altamente capacitado,
pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la
empresa nunca saldrá a adelante.

La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria

mal hecha puede acarrear consecuencias drásticas para la empresa auditada,
principalmente económicas.

En conclusión la auditoria informática es la indicada para evaluar de manera

profunda, una determinada organización a través de su sistema de información
automatizado, de aquí su importancia y relevancia.

www.Gerencie.com.co