Auditoria De La Informacion

Auditoria De La Informacion

INTRODUCCION

La auditoria más que una evaluación es asegurar que la información que circule por el sistema sea correcta para tener como éxito el logro de los objetivos de la empresa.

La auditoria está siendo utilizada como una herramienta que permitirá abrir puertas en la estratégica función de la gestión de la información integrada dentro de la organización.

Los objetivos principales de la auditoria de la información son; identificar las necesidades de la información en la empresa, comparando estas necesidades con las realidad existente en el mercado, el como desarrollar las y como aplicarlas.

CONCEPTO DE AUDITORIA Y CONCEPTO DE INFORMATICA

Auditoria. Con frecuencia la palabra auditoria se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado la frase “tiene auditoria” como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por .lo tanto se esta haciendo la auditoria. El concepto de auditoria es más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una selección o de un organismo.

La palabra auditoria viene del latín auditorius, esta proviene, que tiene la virtud de oír, y el diccionario lo define como “revisor de cuentas colegiado”. El auditor tiene la virtud de oír y revisar cuentas, pero cuentas, pero debe estar encaminado a un objetivo especifico que es el de avaluar la eficiencia y eficacia con que se esta operando para que por medio del señalamiento de cursos alternativos de acción., s e tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

“la auditoria no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a acabo, son de carácter indudable. La auditoria requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar lo procedimientos que deben de seguirse y estimar lo resultados obtenido”

Así como existen y procedimientos específicos para la realización de auditorias contables, deben haber también normas y procedimientos para la realización de auditorias en informática como parte de una profesión. Puede estar basada en las experiencias de otras profesiones pero con algunas características propias y siempre guiándose por el concepto de que la auditoria debe ser más amplia que la simple detección de errores, y además la auditoria debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución.

Informática. El concepto de informática es más amplio que el simple uso de equipos de cómputo o bien de procesos electrónicos. Veamos lo que de dijo en la conferencia presentada del 5 al 9 de diciembre de 1983 en el centro de información de la Facultad de Contaduriíta y Administración (CIFCA) de la universidad autónoma de México.

No existe ni una sola concepción acerca de que es informática; etimológicamente, la palabra informática, deriva del francés informatique. Este neologismo proviene de la comunicación de information (información), y automatique (automática). Su creación fue estudiada por la intención de dar una alternativa menos tecnocratita y menos mecanicista al concepto de “proceso de datos”.

En 1996, la Academia Francesa reconoció este nuevo concepto y lo definió del modo siguiente:

“Ciencia del tratamiento sistemático y eficaz, realizado especialmente mediante maquinas automáticas, de la información contemplada como vehículo del saber humano y de la comunicación de lo ámbitos técnicos, económicos y social”. DIVERSOS TIPOS DE AUDITORIA Y SU RELACIÓN CON LA AUDITORIA INFORMÁTICA

AUDITORIA INTERNA Y AUDITORIA CONTABLE/FINANCIERA

El Boletín E-02 de Instituto Mexicano de Contadores, señala con respecto al control interno:

“El estudio y evaluación del control interno se efectúa con el objeto de cumplir con la norma de ejecución del trabajo que requiere que: el auditor debe efectuar un estudio y evaluar adecuados del control interno existente, que la sirva de base para determinar el grado de confianza que va a depositar en el, así mismo. Que le permitan determinar la naturaleza, extensión y oportunidad que va a los procedimientos de auditoria”.

Definición y objetivos del control interno

“el control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada en un negocio para salvaguardar sus activos, verificar la racionabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la administración”.

OBJETIVOS BÁSICOS DEL CONTROL INTERNO

De lo anterior se desprende que lo cuatro adjetivos básicos del control interno son:

a)La protección de los activos de la empresa.

b)La operación de i9nformacion financiera veraz, confiable y oportuna.

c)La promoción de la eficacia en al operación del negocio.

d)Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la empresa.

Se ha definido que los dos primeros objetivos abarcan aspecto de controles internos contables y los últimos se refieren a controles internos administrativos.

OBJETIVOS GENERALES DEL CONTROL INTERNO

El control interno contable comprende el plan de organización y los procedimientos y registros que se refieren a la protección de los activos y ala confiabilidad de los registros financieros. Por lo tanto, l control interno contable esta diseñado en función de los objetivos de la organización para ofrecer seguridad razonable de que: las operaciones se realizan de acuerdo con las normas y políticas señaladas por la administración.

Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles:

a)objetivos generales del control interno aplicables a todos los sistemas y

b)Objetivos de control interno aplicaciones a ciclos de transacciones

Los objetivos generales de control aplicables en todos lo sistemas se desarrollan a partir de los básicos de control interno enumerados d anteriormente siendo mas Específicos para facilitar su aplicación. Los objetivos de control de ciclos se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transmisiones agrupadas en un ciclo.

Los objetivos generales de control interno de sistemas pueden resumirse a continuación

OBJETIVOS DE AUTARIZACION

Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administración.

Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administración.

OBJETIVOS DEL OPROCESAMIENTO Y CLASIFICACION DE TRANSACCIONES

Todas las operaciones deben registrarse para emitir la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados o cualquier otro criterio aplicable a los estados financieros y para mantener en archivos apropiados los datos relativos a los activos sujetos a custodia.

Las transacciones deben clasificarse en forma tal que permita la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados y el criterio de la administración.

Las transacciones deben quedar registradas en el mismo periodo contabl4e cuidándose específicamente que se registren aquellas que afectan más de un ciclo.

CONCEPTO DE AUDITORIA CON INFORMATICA

Los procedimientos de auditoria con informática varían de acuerdo con la filosofía y técnica de cada departamento de auditoria en particular .Sin embargo, existen ciertas técnicas y procedimientos que con compatibles en la mayoría de los ambientes de informática. Estas técnicas caen en dos categorías: métodos manuales y métodos asistidos por computadora.

UTILIZANDO DE LAS TECNICAS DE AUDITORIAS AISTIDAS POR COMPUTADORA

En general, el auditor debe utilizar la computadora en la ejecución de la auditoria ya que esta herramienta permitirá ampliar la cobertura del examen reduciendo el tiempo y costo de las pruebas y procedimientos de muestreo que de otra manera tendrían que efectuarse manualmente. Además el empleo de la computadora por medio del auditor le permite familiarizarse con la operación del equipo en el centro de cómputo de la institución una computadora puede ser empleada por el auditor en:

Verificación de cifras totales y cálculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informática. Pruebas de los registros de los archivos para verificar la consistencia lógica la validación de condiciones y la racionabilidad de los montos de las operaciones.

Clasificación de datos y análisis de la ejecución de procedimientos

Selección e impresión de datos mediante técnicas de muestreo y confirmaciones

Llevar a cabo en forma independiente una simulación del proceso de transacciones.

CONCEPTO DE AUDITORIA EN INFORMATICA

Despides de analizar los conceptos de auditoria y de informática los diferentes tipos de auditoria así como su interrelación con informática nos hacemos las preguntas: ¿Que es auditoria en informática? ¿Y cual es su campo de acción?

Auditoria en informática es la revisión y evaluación de los controles, sistemas procedimientos de informática, de los equipos de computo, su utilización eficiencia y seguridad de la organización que participan en el procesamiento de la información a fin que por medio del señalamiento de cursos alternativos se logre una utilización mas eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoria en informática deberá comprender no solo la evaluación de los equipos de cómputo o de un sistema o procedimiento especifico sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Ello debe incluir los equipos de cómputo como la herramienta que permite obtener la información adecuada y la organización especifica. Que hará posible el uso de los equipos de cómputo.

Su campo de acción será:

La evaluación administrativa del departamento de procesos electrónicos.

La evlacucion de los sistemas y procedimientos y la eficiencia que se tiene en el uso de la información

La evaluación del proceso de datos y de los equipos de cómputo para logra los puntos antes señalados necesita:

Evaluación administrativa del departamento de informática

La interrelación que debe existir entre la auditoria en informática y los diferentes tipos de auditoria es la siguiente:

El núcleo o centro de la informática son los programas los cuales pueden ser auditados por medio de la auditoria de programase estos programas se usan en las computadoras de acuerdo con la organización del centro de computo.

Laauditoria en informática debe evaluar el todo con auxilio de los principios de auditoria administrativa auditoria interna auditoria contable/financiera y a su vez pueden proporcionar información a esos tipos de auditoria y las computadoras deben ser una herramienta para la realización de cualquiera de las auditorias.

Como se ve la evaluación a desarrollar para la realización de la auditoria en informática deben hacerla personas con alto grado de conocimiento en informática y con mucha experiencia en el área.

CONCEPTO DE AUDITORIA EN PROGRAMAS

La auditoria en programas es la evaluación de la eficiencia técnica del uso de diversos recursos y del tiempo que utilizan los programas su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organización.

La auditoria en programas tiene como mayor grado de profundidad y de detalle que la auditoria en informática ya que analiza y evalúa la parte central del uso de las computadoras que es los programas aunque se puede considerar como parte de la auditoria e informática.

“La auditoría de la información se está convirtiendo en una excelente herramienta para evaluar el alineamiento que existe entre los distintos parámetros sobre los que se ha de construir el sistema de gestión de la información de las organizaciones”.

En el mundo anglosajón, especialmente en las grandes y medianas empresas, se está consolidando más que nunca un puesto estratégico del que hace años se viene hablando: el Gestor de Información, con una formación necesariamente multidisciplinar y muy integradora. Y no la están ocupando necesariamente los informáticos.

El conocimiento de en qué consiste y cuáles son los pasos precisos para realizar la auditoría permitirá a los documentalistas hacer suyos los argumentos de “venta” de los beneficios de la auditoría de información.

Es precisamente en la empresa donde existe un nicho de mercado, con una clara demanda de profesionales con este perfil, a donde ha de dirigirse el documentalista, pero utilizando un discurso distinto al percibido hasta ahora por los directivos españoles.

La auditoria de la información se convierte en una excelente herramienta para evaluar el alineamiento que existe entre los distintos parámetros sobre los que se ha de construir el sistema de gestión de la información de las organizaciones, a saber:

Necesidades de información,

Información disponible/generada,

Recursos de información disponibles/precisos

Misión y objetivos de la institución y del centro de información (o similar).

Nos resulta altamente preocupante comprobar cómo muchas organizaciones se lanzan a construir sus Intranets, por ejemplo, sin realizar un estudio previo que analice estos elementos previos, ya existentes en cualquier caso. Y más preocupante es aún ver cómo la implantación de sistemas de este tipo se realiza sin tener en cuenta el componente cultural de las organizaciones y de los departamentos que van a participar en el proceso, convirtiéndose el proceso en un proyecto más tecnológico que organizativo (el peor caos es el caos informatizado). Es así como se explica porqué las Intranets no están cumpliendo con las altísimas expectativas con las que se habían vendido.

La auditoria de información nos permitirá investigar aspectos de la gestión que habitualmente la empresa desconoce:

a)¿Qué recursos de Información estamos utilizando?

b)¿Cuáles son los resultados?

c)¿Se han contrastado otras fuentes externas?

d)¿Generamos algún producto comercializable externa o internamente?

e)¿Existen ineficiencias: (duplicaciones o carencias)?

f)¿Qué recursos tecnológicos/de comunicación se están utilizando?

g)¿Cuánto está costando?

h)¿Cuál es el valor para la Organización?

El plan de acción que se plantee nos ha de permitir, por una parte, reducir aquellas actividades o productos que no justifiquen su resultado final y, por otra, implantar aquellos otros que se estimen precisos.

En nuestra experiencia hemos podido confirmar que la auditoria de información es el soporte de programas que utilizan la información como elemento básico.

Algunos de estos programas son:

Análisis de la Competencia/Inteligencia Comercial,

Internacionalización/Exportación,

Análisis de Morosidad,

Política de Compras,

Negociación con Clientes,

Detección de nuevos clientes/targets/nichos de negocio,

Ventajas

No se requieren nuevas normas de auditoria, son las mismas.

Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones.

Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoria

Se establecen algunos nuevos procedimientos de auditoria.

Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable.

Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

Desventajas

 Complejidad de los sistemas.

 uso de lenguajes.

 metodologías, son parte de las personas y su experiencia.

 Centralización.

 departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.

 Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados).

onfiabilidad electrónica.

debilidades de las máquinas y tecnología.

Transmisión y registro de la información en medios magnéticos, óptico y otros.

almacenamiento en medios que deben acceder a través del computador mismo.

Centros externos de procesamiento de datos.

Dependencia externa.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

a)Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.

b)Entendimiento del efecto de los sistemas en la organización.

c)Entendimiento de los objetivos de la auditoria.

d)Conocimiento de los recursos de computación de la empresa.

e)Conocimiento de los proyectos de sistemas.

EJEMPLO PRÁCTICO:

La auditoria de la información se define como cualquier auditoria que abarca la revisión y evaluación, normas, controles, técnicas de todos los aspectos de los procesamientos de la información para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

El objetivo que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno. Supongamos que contratamos a un nuevo personal en el departamento de recursos financieros, por qué fue el mas adecuado en el examen de admisión a la empresa, pero solo vemos sus capacidades laborales mas no las personales, no sabemos si realizara bien su trabajo contable a través de los programas establecidos (sistemas de computo) por eso es la importancia de la auditoria ya que esta revisa y evalúa el trabajo otorgado por esta, el cual lo realiza una persona experta en el área.

Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en:

Rentabilidad

Seguridad

Eficacia. ¿Qué es la auditoría informática?

Es un proceso evolutivo “que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aportación al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”1.

Sus beneficios son:

Mejora la imagen pública.

Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en TI.

Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

REQUISITOS PARA LA AUDITORIA UNFORMATICA

Debe seguir una auditoria preestablecida

Se realizara en fecha precisa y fija

Sera personal extraño al servicio de informatica.

Los principales objetivos que constituyen a la auditoría Informática son:

el control de la función informática,

el análisis de la eficacia del Sistema Informático,

la verificación de la implantación de la Normativa,

y la revisión de la gestión de los recursos informáticos.

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.Síntomas de Necesidad de una Auditoría Informática:Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante]

Síntomas de mala imagen e insatisfacción de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:

Incremento desmesurado de costes.- Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).- Desviaciones Presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos

Seguridad Lógica- Seguridad Física - Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Crear una copia de seguridad del contenido de nuestro PC es una de esas cosas que, como alimentarnos bien o cambiar el aceite del auto, todos sabemos que hay que hacer, pero que pocos llevamos a cabo.

Durante años los expertos en computadoras nos han advertido que debemos hacer una versión de respaldo de nuestro disco duro regularmente, pero la mayoría no hemos hecho caso. Esto ocurre porque tradicionalmente se ha creído que esta tarea es tediosa, laboriosa o cara, dependiendo del método que se utilice.


Mis sitios nuevos:
Emprendedores
Politica de Privacidad