Está en la página 1de 10

www.monografias.

com

Auditora Interna de la Informacin


Ramn E. Ynfante T. - careimy@hotmail.com

1. Introduccin 2. Definicin de auditora 3. Tipos de auditora 4. Auditora de la informacin 5. Similitudes y diferencias con la auditora tradicional 6. Objetivos generales de una auditora de informacin 7. Objetivos especficos de la auditoria de informacin 8. Razones para la existencia de la funcion de auditoria de informacion 9. Justificativos para efectuar una auditora de la informacin 10. Requerimientos del auditor 11. Control para la auditora de informacin 12. Clasificacin general de los controles 13. Metodologas para la auditora de informacin 14. Papel de la auditoria en los controles de informacin 15. Tendencias que afectan a los sistemas de informacin 16. Base conceptual 17. Conclusin INTRODUCCIN
La naturaleza especializada de la auditoria de los sistemas de informacin y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren el desarrollo y la promulgacin de Normas Generales para la auditoria de los Sistemas de Informacin. La auditoria de los sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. A continuacin, la descripcin de los dos principales objetivos de una auditoria de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cmputo, con controles, tipos y seguridad.

DEFINICIN DE AUDITORA
Se define como un proceso sistemtico que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carcter econmico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.

TIPOS DE AUDITORA
Existen algunos tipos de auditora entre las que la Auditora de Sistemas integra un mundo paralelo pero diferente y peculiar resaltando su enfoque a la funcin informtica. Es necesario recalcar como anlisis de este cuadro que Auditora de Sistemas no es lo mismo que Auditora Financiera. Entre los principales enfoques de Auditora tenemos los siguientes:

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

AUDITORA DE LA INFORMACIN
Es la verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia. El examen y evaluacin de los procesos del rea de Procesamiento automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de la informacin es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. El objetivo final que tiene el auditor es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa

La Auditoria de Informacin es un proceso sistemtico de determinacin de la informacin que una organizacin necesita para satisfacer sus objetivos, y as funcionar correctamente. Su objetivo es asegurar que la informacin que circular por el sistema sea la ms apropiada para la organizacin. Mediante la Auditoria de la Informacin se pretende que la organizacin solamente reciba aquella informacin que sea relevante para sus intereses, reduciendo de esta manera el silencio (no obtencin de informacin relevante) y el ruido (obtencin de informacin no relevante) y los requerimientos de informacin de la organizacin (o sea, de la informacin que precisa para poder funcionar correctamente). Uno de los pasos previos que se debe tener presente antes de realizar una auditora de la informacin consiste en el conocimiento de los objetivos y las prioridades de la organizacin, la estructura que sta posee, los estilos de gestin que se llevan a cabo y las relaciones con el entorno.

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Cuando la auditora se produce desde el exterior de la organizacin, es fundamental que su labor venga respaldada por la direccin de la organizacin. Sin este apoyo, cualquier medida fracasar irremediablemente. El principal problema es que la informacin tiende a ser acaparada por los miembros de la organizacin como si se tratase de un recurso a atesorar. Ante esto, se deben disear polticas de intercambio informativo de manera que el hecho de facilitar la circulacin de la informacin se vea compensada de alguna forma. Con la auditora debe identificarse el uso, los recursos y el flujo de la informacin. Para esto, deberemos conocer cules son los recursos informativos de los que la organizacin dispone, qu uso se hace de ellos y los resultados que se obtienen, de qu equipamiento se dispone y quin lo tiene, el costo, el valor que aporta a la organizacin y qu tipo de personal desempea estas funciones. Adems, es fundamental que los miembros del despacho estn informados de todo lo que estn haciendo para que as puedan colaborar al mximo.

SIMILITUDES Y DIFERENCIAS CON LA AUDITORA TRADICIONAL


Similitudes: No se requieren nuevas normas de auditora, son las mismas. Los elementos bsicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones. Los propsitos principales del estudio y la evaluacin del control contable interno son la obtencin de evidencia para respaldar una opinin y determinar la base, oportunidad y extensin de las pruebas futuras de auditora. Diferencias: Se establecen algunos nuevos procedimientos de auditora. Hay diferencias en las tcnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control interno.

OBJETIVOS GENERALES DE UNA AUDITORA DE INFORMACIN


Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin

OBJETIVOS ESPECFICOS DE LA AUDITORIA DE INFORMACIN


1. Participacin en el desarrollo de nuevos sistemas: Evaluacin de controles Cumplimiento de la metodologa. 2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia. Respaldos, proveer qu va a pasar si se presentan fallas. 4. Opinin de la utilizacin de los recursos informticos.

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Resguardo y proteccin de activos. 5. Control de modificacin a las aplicaciones existentes. Fraudes Control a las modificaciones de los programas. 6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas Utilitarios. Control sobre la utilizacin de los sistemas operativos Programas utilitarios. 8. Auditora de la base de datos. Estructura sobre la cual se desarrollan las aplicaciones... 9. Auditora de la red de teleprocesos. 10. Desarrollo de software de auditora. Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos.

RAZONES PARA LA INFORMACION

EXISTENCIA

DE

LA

FUNCION

DE

AUDITORIA

DE

1. La informacin es un recurso clave en la empresa para: Planear el futuro, controlar el presente y evaluar el pasado. 2. Las operaciones de la empresa dependen cada vez ms de la sistematizacin. 3. Los riesgos tienden a aumentar, debido a: Prdida de informacin Prdida de activos. Prdida de servicios/ventas. 4. La sistematizacin representa un costo significativo para la empresa en cuanto a: hardware, software y personal. 5. Los problemas se identifican slo al final. 6. El permanente avance tecnolgico.

JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORA DE LA INFORMACIN


o o o o o o o Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados

REQUERIMIENTOS DEL AUDITOR


Entendimiento global e integral del negocio, de sus puntos claves, reas crticas, entorno econmico, social y poltico. Entendimiento del efecto de los sistemas en la organizacin. Entendimiento de los objetivos de la auditora. Conocimiento de los recursos de computacin de la empresa. Conocimiento de los proyectos de sistemas.

CONTROL PARA LA AUDITORA DE INFORMACIN


En una auditora de informacin se deben establecer tambin los procesos de control y verificacin.

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de informacin, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditora de informacin. En el caso del mapa documental, ste detalla qu documentos se encuentran dentro de la organizacin, a qu tipo de funciones se encuentran vinculados y dan respuesta, quin tiene la responsabilidad y el acceso a esos documentos, en qu soporte estn disponibles, dnde y cmo se encuentran accesibles y qu relacin o nivel de integracin tienen con el resto de los sistemas de informacin de la organizacin. Tambin se establece la localizacin de todos los documentos dentro de los estndares y los procedimientos de la organizacin, as como su valor para el conocimiento corporativo.

CLASIFICACIN GENERAL DE LOS CONTROLES


Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero No fumar para salvaguardar las instalaciones Sistemas de claves de acceso.

Controles detectivos Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin Controles Correctivos Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores. Principales Controles fsicos y lgicos Controles particulares tanto en la parte fsica como en la lgica se detallan a continuacin Autenticidad: Permiten verificar la identidad Passwords Firmas digitales Exactitud: Aseguran la coherencia de los datos Validacin de campos Validacin de excesos Totalidad: Evitan la omisin de registros as como garantizan la conclusin de un proceso de envi Conteo de registros Cifras de control Redundancia: Evitan la duplicidad de datos Cancelacin de lotes Verificacin de secuencias Privacidad: Aseguran la proteccin de los datos Compactacin Encriptacin Existencia: Aseguran la disponibilidad de los datos Bitcora de estados Mantenimiento de activos Proteccin de Activos: Destruccin o corrupcin de informacin o del hardware

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Extintores Passwords

Efectividad: Aseguran el logro de los objetivos Encuestas de satisfaccin Medicin de niveles de servicio Eficiencia: Aseguran el uso ptimo de los recursos Programas monitores Anlisis costo-beneficio Controles automticos o lgicos Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso No es conveniente que la clave este compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave. Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Confidenciales De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de las claves. No significativas Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas.

Utilizar software de seguridad en los microcomputadores El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo. Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que estn autorizados. Programas de este tipo son: WACHDOG, LATTICE, SECRET DISK, entre otros.

METODOLOGAS PARA LA AUDITORA DE INFORMACIN


Debemos decir que hoy en da no existe una metodologa estndar para realizar una auditora de informacin, sin embargo podemos desarrollar una serie de actividades y tcnicas que nos pueden ayudar a realizarlas:

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Inventario fsico Es el proceso de identificacin y categorizacin de los recursos de informacin de una forma sistemtica. De esta forma, se proporciona una fotografa de lo que la organizacin posee en trminos de recursos de informacin en un momento determinado. Masificacin de la informacin Constituye una forma grfica de representar los recursos de informacin que hay en la organizacin y las interrelaciones entre stos. El mapa de recursos indica hasta qu punto los recursos de informacin son bsicos, de qu modo se encuentran posicionados (geogrficamente, departamentalmente, desde un punto de vista tcnico), cmo interactan, quin los utiliza, quin es el responsable ect. Anlisis de las necesidades de informacin Tiene como finalidad principal determinar qu informacin requieren los empleados y la direccin de la organizacin para desarrollar sus papeles y alcanzar los objetivos. Grficos de procesos y flujos de trabajo Los grficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el mbito de las auditoras de la informacin.

PAPEL DE LA AUDITORIA EN LOS CONTROLES DE INFORMACIN


El principal papel de la auditoria en el sistema de informacin de una entidad cualesquiera es de suma importancia, a continuacin hacemos mencin de algunos de mayor importancia. Lo que hay que mejorar Las enormes posibilidades que nos brindan los actuales sistemas informticos de acceder a grandes cantidades de informacin y de procesar grandes volmenes de documentacin no han tenido siempre respuesta equivalente en la productividad de una gran parte de los despachos profesionales ni tampoco se han traducido en visibles mejoras en la gestin documental de las organizaciones. Esto ocurre porque la mayor parte de las veces, las inversiones en sistemas de informacin (hardware y software informtico y de comunicaciones) se hacen sin el necesario anlisis previo de las necesidades reales de informacin de la asesora o despacho profesional. Muy pocos despachos contratan expertos en archivos y documentacin o dedican a profesionales capacitados a la tarea de identificar: Necesidades de informacin de los profesionales o departamentos clave de la asesora. Documentacin generada por la propia organizacin. Los recursos o fuentes de informacin externa existentes en el mercado. Flujos o circuitos documentales. Se constata una tendencia a que las funciones y responsabilidades que conlleva la gestin documental se hallen repartidas entre distintas personas o departamentos, sin que ninguno de ellos asuma la misin de aprovechar adecuadamente las sinergias que se producen entre todas y cada una de las funciones afectadas. Indicios de problemas Se ha de iniciar el anlisis del problema percibiendo aquello que tiene un inters ms acuciante y que habitualmente es lo ms prximo. Es comn detectar una serie de indicios: La inexistencia de respuesta a la peticin de documentos durante periodos de tiempo imprecisos (no se encuentran documentos o cuando se produce la respuesta sta llega con excesiva demora).

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

La informacin que se utiliza no alcanza el nivel de calidad requerido (se trabaja con documentacin insuficiente, poco fiable o mal presentada). La acumulacin de documentacin es muy elevada, tanto en los depsitos de archivo como en las mesas de trabajo (la documentacin se halla desperdigada por toda la oficina sin que se sepa dnde encontrarla). Todo el mundo coincide en que la gestin de la documentacin no funciona correctamente y que es necesario poner remedio a esa situacin. Insuficiencias Algunos de los problemas de gestin de la documentacin administrativa pueden radicar en: La tradicin administrativa. La gestin de los documentos administrativos es llevada por distintas personas y cada una de ellas lo hace a su manera. Es comn que el relevo de un jefe de departamento o del responsable de un rea de negocio provoque cambios drsticos en el tratamiento de los documentos. La falta de conciencia de que la gestin documental es una parte ms de la gestin administrativa. Esta carencia acarrea la inconsistencia de los circuitos documentales, la falta de coordinacin entre el personal que comparte la tramitacin de un documento, cargas de trabajo desiguales, prioridades de trabajo mal establecidas. Estas insuficiencias se reflejan en la necesidad particular e inmediata de resolver asuntos apremiantes en detrimento de una gestin integral de la documentacin que abarque toda la asesora (en el da a da me organizo).

TENDENCIAS QUE AFECTAN A LOS SISTEMAS DE INFORMACIN


Al considerar un Sistema de Informacin como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema as por ejemplo: Actualizaciones Se refiere a que los sistemas de informacin de cualquier empresa, debe ser revisado peridicamente; no con una frecuencia continua, si no mas bien espaciada, se recomienda las revisiones bi anuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadsticos, es recomendable dentro de un ao cambiarlo, todo lo que es mquinas y software; por que si no realizaramos esto, se cambiara toda la estructura organizacional de la misma). Reestructuracin Organizacional (Puede ser una reestructuracin con los mismos puestos). Una reestructuracin organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trmites o procesos, la reestructuracin puede ser de varios tipos, as por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuracin de objetivos, etc. Siempre la reestructuracin afecta a los sistemas de informacin de la empresa.

Revisin y Valorizacin del escalafn (No es para bien si no tambin para mal) La revisin y la revalorizacin del escalafn se espera que afecte a favor de los sistemas de informacin de las empresas, si el efecto es contrario el auditor deber emitir un informe del empleado a los empleados (Especficamente de departamentos), que estn boicoteando la informacin de la empresa. Cambios en el flujo de Informacin (Datos para el sistema de Informacin)

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto afecta directamente en sistema informtico y por tanto al sistema de informacin. En lo que respecta a la Auditora informtica, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup). As por ejemplo: Se ha cambiado el flujo de informacin en el rea contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los datos a un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte, los cheques y el contador solo aprueba este reporte). (Un ejemplo es cuando existe migracin de datos, la informacin migra o se cambia a otro sistema ms sofisticado).

BASE CONCEPTUAL
Sobre la base del sistema de informacin el auditor realizar su estudio y anlisis siguiendo cualquier metodologa de trabajo, pero sin desviarse de la base conceptual del sistema de informacin de la empresa auditada. Si por cualquier circunstancia el auditor percibe y por lo menos tiene la idea de que tom parmetros de que no estn presentes en el sistema de informacin necesariamente deber volver a empezar. Conceptualmente los Sistemas de Informacin, tienen sus base en algunos aspectos importancia dentro de cualquier empresa: 1. Aspectos econmicos Se deben considerar los recursos de la empresa, las crisis, el control, etc. 2. Aspectos tecnolgicos Se refiere al equipo fsico dentro de la empresa, se debe considerar el incremento, los cambios, ya sea de software o hardware 3. Aspectos sociales Se refiere a mejoras orientadas hacia los empleados de la empresa, as por ejemplo, cursos, capacitacin, etc. 4. Aspecto poltico legal Se refiere a las normas y leyes vigentes para las empresas, tanto internas como externas, se debe cuidar, el aspecto legal, especialmente en el Software 5. Aspecto Administrativo Se refiere a la relacin a nivel de gerencias, mayor confianza en la tona de posiciones, decisiones o fortunas, siempre a favor de las empresas

CONCLUSIN
Principalmente, con la realizacin de este trabajo, la principal conclusin a la que hemos podido llegar, es que toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de informacin debe hacerse por gente altamente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com

www.monografias.com

Autor: Ramn E. Ynfante T. careimy@hotmail.com

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com