Auditoría de Sistemas de Información

Desde que una compañía, empresa o cualquier otro tipo de organización se formar genera y requiere información, cada proceso de las organizaciones generan datos día con día, así mismo se requieren esta información para realizar funciones administrativas como el desarrollo de pronósticos, planeación, programación de producción, diseño de áreas y muchas otras tareas.

Debido a la gran cantidad de datos que una empresa tiene que manejar se administran mediante el apoyo de herramientas tecnológicas que son los sistemas de información, estas herramientas facilitan el manejo de datos para convertirlos en información útil para la organización, y debido a sus ventajas que proporcionan se han diversificados en distintas áreas y conectado entre sí para una mayor eficiencia.

Los SI[1] son muy valiosos para las empresas ya que son parte importante de distintos procesos principales de cualquier organización, en el manejo de los recursos humanos, desarrollo de marketing, seguimiento de ventas, administración de las finanzas, planeación de producción y otras más. Sin embargo no siempre funcionan de forma correcta y eficaz, es por eso que necesitan ser auditadas.

Definición 

Para comprender de forma correcta el concepto de auditoría de sistemas de información se debe primeramente comprender algunos conceptos previamente.

Los cuales están definidos a continuación.

Auditoria

Según Alvin Arens (2007) auditoria es “la acumulación y evaluación de la evidencia basada en información para determinar y reportar sobre el grado de correspondencia entre la información y los criterios establecidos, se debe realizar por una persona independiente y competente”.

Sistema 

Del latín “systema”, un sistema es un módulo ordenado de componentes interrelacionados entre sí, con la finalidad de lograr un objetivo en conjunto por medio de los procesos que se originan de la interacción de cada elemento que lo componen.

Información  

Es el conjunto de datos organizados que forman un mensaje sobre cierto suceso o fenómeno, este conjunto de datos proporciona las bases para la resolución de problemas y la toma de decisiones. El uso racional de la información forma la base del conocimiento.

Auditorias de sistemas de información 

Se puede definir como la revisión sistémica organizada de los sistemas de información en una organización, para evaluar el correcto manejo de controles, seguridad, información, funcionalidad, procedimientos, políticas y normas. Para así emitir una evaluación profesional de la eficiencia de los sistemas de información. (Vieites, 2004)

Antecedentes 

Las auditorias de los sistemas en general, se han desarrollado a lo largo de la historia, diversos autores y personajes han contribuido para conceptualizar y desarrollar lo que hoy conocemos como auditorias. A continuación se presentan algunos de los acontecimientos más importantes.

  • 1988, Echenique

Establece las bases para el desarrollo de una auditoria de sistemas computacionales en su libro Auditorías de sistema, con un enfoque teóricopráctico.

  • 1992, Lee

Presenta los aspectos básicos a evaluar en una auditoria, realizo una guía donde se indica los puntos a evaluar en el proceso.

  • 1993, Rosalva Escobedo

Realizo una tesis resaltando los aspectos más importantes de las auditorias en la universidad UVM.

  • 1994, G. Haffes y F. Holguín

Profundiza en los aspectos de control de sistemas en su libro de auditorías de finanzas.

  • 1995, Guadalupe Buendia y Edith Campos

Exponen un tratado de auditoría informática en donde se muestran encuestas y metodologías de apoyo.

  • 1995, Yann Darrien

Presenta su enfoque personal sobre las auditorias de sistemas, en donde propone una metodología para su realización.

  • 1996, Albín Arenas

Púbica su libro “Auditorías de sistemas complejos” en donde expone un enfoque integral.

  • 1997, Francisco Ávila

Logra la mención honorifica en su tesis donde propone un caso práctico de auditoria desarrollado en una organización paraestatal.

  • 1998, Yann Darrien

Presenta su artículo técnicas de auditoria en donde propone diferentes herramientas y estrategias para la realización de la misma.

  • 1998, Mario Piattini y Emilio del Peso

Publican “auditorias informáticas” en donde se toma un enfoque práctico y se menciona distintas aplicaciones de las auditorias. (Razo C. , 2002)

Objetivos 

Los objetivos que se buscan en cada auditoría van a variar y dependerán del sector o sistema en que se realiza, sin embargo en general al realizar una auditoria se buscan lograr los siguientes objetivos:

Realizar una evaluación independiente de todas las áreas, actividades y funciones de una organización con el propósito de dar un dictamen profesional sobre la eficiencia en sus operaciones y resultados.

Desarrollar una revisión especializada en las áreas contables, financieras y operativas, con una perspectiva profesional y autónoma.

Evaluar el cumplimiento de los planes, programas, políticas y normas que regulan los funcionamientos y desempeños de los recursos de la organización.

Dictaminan de forma competente y profesional sobre los resultados generados de la evaluación de la empresa con respecto al cumplimiento de sus objetivos y operaciones.

Clasificación 

Las primeras auditorías que se realizaron fueron para evaluar el funcionamiento de las áreas contables de las organizaciones, para analizar las finanzas de las empresas, esto debido que los dueños consideraban a las finanzas como lo único interesante en la empresa. Durante mucho tiempo las organizaciones solo se preocupaban de ver por el buen funcionamiento de sus cuentas, sin embargo a lo largo del tiempo y al gran desarrollo tecnológico han tomado importancia otros aspectos, como los sistemas de información que manejan las empresas, por lo que se ha generado la siguiente clasificación de la ilustración dos de las auditorias.

Como se puede mostrar en la en la ilustración la auditoría se divide en área financieras y operativa, dentro de esta área se encuentra los enfoques de recursos humanos, sistema de información y ambientales. Dentro de los sistemas de información se encuentran los sectores de especialización en informática, en la información interna, externa y los sistemas que proporcionan información vertical.

¿Cuándo realizar una auditoria? 

Las auditorias en los sistemas de información de las organizaciones se pueden realizar en cualquier momento que se quiera revisar el funcionamiento de estos, sin embargo existen algunos indicadores que pueden señalan la necesidad de una auditoria en algunos sistemas, estos indicadores son los siguientes:

  • Un aumento desproporcionado e injustificado en gastos del sistema de información.
  • Una clara falta de información en las áreas que administra el sistema de información.
  • Falta de seguridad en las entradas lógicas y físicas del sistema, comprometiendo la integridad del equipo y personal.
  • Descubrimiento de acciones sospechosas o fraudes que involucren los sistemas informáticos.
  • Reclamación de los clientes por incumplimiento de calidad y plazos de entrega de los pedidos.
  • Falta de planificación por desinformación de los procesos administrativos y de producción.

(Yañez, 2011)

Aspectos a evaluar en las auditorias 

Existen ciertas áreas a las que se deben evaluar cuando se hace una auditoria de los sistemas de información, estos aspectos se pueden clasificar en las siguientes categorías.

Controles generales 

Son todos a aquellos aspectos que se relacionan con la estructura de la empresa, los procedimientos y políticas así como el control de los sistemas de información que se usan.

Operaciones de procesamiento de información 

Revisa todas aquellas operaciones que se realizan relacionadas con el proceso de información, también se deben tomar en cuenta todas las operaciones que se realizan en el entorno informático.

Seguridad 

Supervisa todos los accesos del medio informático, tanto la calidad del acceso lógico[2], acceso físico[3] y sus controles.

Sistema operativo 

Revisa los procedimientos y políticas de desarrollo, la adquisición de y reparación del sistema del sistema operativo.

Metodologías de sistemas de información 

Consta de revisar la metodología usada, las normas, políticas y estándares utilizados para la compra de equipo que apoye el desarrollo de sistemas de información.

Plan de contingencia 

Consta de asegurarse de la existencia y correcta aplicación de procedimientos, políticas y normas que aseguren la recuperación de información, así como el funcionamiento de sistemas en caso de desastres.  (Lardent, 2001)

Factores que influyen en una auditoría de SI

Algunos de los principales factores involucrados en el desempeño de una auditoria a los sistemas de información son:

Ilustración 3: Factores de una auditoría de sistemas de información. (Amador, 2008) (Ver PDF)

Selección del área a auditar

Realizar una auditoria requiere recursos valiosos para las organizaciones, son costosas y requieren de tiempo, es por eso que no siempre se pueden realizar a todos los sistemas de las empresas. Las organizaciones deben priorizar para determinar los sistemas que se evaluaran, es por eso que el catedrático Carlos Muños Razo (2002) da ciertos criterios para seleccionar los sistemas de mayor importancia.

Dentro de la jerarquización se encuentra en primer lugar de importancia está el número de recursos que se controlan por medio del sistema, los sistemas que se utilizan mayormente, los sistemas que tienen un mayor impacto en los procesos de la empresa, los sistemas que se utilizaran por un largo tiempo dentro de la organización y por último los sistemas que contienen información confidencial. En la ilustración cuatro se muestran un esquema con este modelo de importancia.

Ilustración 4: Criterios de selección de áreas a auditar. (Razo, 2002)

Proceso de la auditoria en SI 

Alberto Lardent (2001) propone un modelo de auditoria para los sistemas de información en su libro Sistemas de información, procedimientos y auditorias, el modelo consta de nueve pasos, los cuales se encuentran en la ilustración 1 a continuación.

  1. Planificación de auditoria. El primer paso para realizar una auditoria es la planeación, en esta fase se decidirá qué sector será auditado y se decidirá la estrategia a utilizar, además se recolectara toda la información posible del sistema a evaluar.
  2. Evaluación de riesgos globales. Una vez que se ha definido el área o sistema e auditar y con toda la información pertinente se pasa a considerar todos los posibles riesgos que puedan ocasionarse durante la auditoria.
  3. Desarrollo de un programa de auditoria. En este paso se definirá los pasos a seguir para realizar la auditoria, es decir la metodología a aplicar.
  4. Objetivos y procedimientos. Es importante definir cuáles serán los objetivos que se buscaran con la realización de la auditoria, además de una calara estipulación de los procedimientos a aplicar en la auditoría.
  5. Revisión de evidencias. En este paso se analizaran todas las evidencias que se obtengan del sistema evaluado, se desarrollaran los procedimientos previamente estipulados para el manejo y documentación de la evidencia.
  6. Localización de fortalezas y debilidades. Una vez que se halla analizado la evidencia se procederá a determinar las fortalezas y debilidades que tiene el sistema en su control.
  7. Preparación de informe. En este paso se determinara los puntos a tomar en el informe, así como la forma en que se elaborara; es importante mencionar que este informe debe elaborarse de forma clara y sencilla para que pueda ser comprendido por todo el personal involucrado en el sector auditado.
  8. Preparación de informe de alta gerencia. En la preparación y desarrollo del informe de alta tenencia se debe plasmar la información competente para este nivel jerárquico de la organización.
  9. Seguimiento de acciones. Una vez que se han emitido los reportes de la auditoria correspondiente y finalizada la misma, se debe llevar un seguimiento de las acciones correctivas a implementar.

Ilustración 5: Proceso de auditoría del sistema de información. Tomada de: (Lardent, 2001) (Ver PDF)

Informes de auditorias 

Todas las auditorias deben terminar con un posterior seguimiento, las acciones a implementar para realizar los cambios adecuados y principalmente con un correcto informe. Este documento deberá tener las conclusiones a las que se llegaron, la opinión personal del auditor con respecto al funcionamiento de la organización, las evidencias encontradas para así determinar en el informe las fortalezas y debilidades de la empresa o en este caso los sistemas de información.

Los informes de auditorías constituyen uno de los productos físicos que se entregan a la gerencia de la organización evaluada, en este documento se transfieren las observaciones y recomendaciones encontradas. Los informes pueden clasificarse en las siguientes categorías:

Informe sin salvedades 

Este informe se realiza cunado el auditor no registro ningún problema ni anomalía, es decir, que los sistemas de información funcionan de manera correcta. Los sistemas de información realizan funciones aceptables para los propósitos de los mismos.

Informe con salvedades 

Este informe se realiza cuándo los sistemas de información cumplen con las normas generales aceptadas, sin embargo se expone algún punto de excepción que debe de ser tomado en consideración, ya que representa algún riesgo para la organización.

Informe con opinión adversa 

Este informe no es de común utilización, pero se presenta cuando los sistemas evaluados no cumplieron con ninguna norma o cuando existen debilidades importantes en los procedimientos de control.

Informe sin opinión 

Este informe se emite cuando el auditor no emite ningún punto de vista, ya que el alcance planeado es limitado o muy corto, en este tipo de informes no se incluye información especializada, se realiza para que sea de fácil comprensión.  (Fincowsky, 2007)

Organizaciones que estandarizan las auditorias 

Algunos de los principales organismos que sirven como fuentes de estándares para realizar auditorías son:

ISACA  

La Information Systems Audit and Association[4] es una asociación internacional que fomenta el desarrollo de procedimientos y metodologías para la implementación de auditorías en sistemas de información. (ISACA, 2016)

ISO 

La Internacional Organization for Standardization[5] se encarga de la generación de estándares internacionales en conjunto de distintas organizaciones de distintos países, fue fundada en 1947 y desde entonces promueve el uso de estándares a nivel mundial. (ISO, 2016)

NIST  

El Nacional Institute of Standards and Technoloy[6] de los Estados Unidos se fundó en 1901 y se encarga de impulsar la innovación industrial mediante el desarrollo de normas y metodologías, entre estas los procedimientos para la realización de auditorías. (NIST, 2016)

Bibliografía 

  • Amador, A. (2008). Auditoría administrativa : proceso y aplicación. México : McGraw-Hill.
  • Betanzos, A. I. (Diciembre de 2011). Gestiopolis . Obtenido de Auditoría y control de sistemas de información en tecnología: https://www.gestiopolis.com/auditoria-control-sistemas-de-informacion-entecnologia/
  • Fincowsky, F. (2007). Auditoría administrativa : gestión estratégica del cambio. México: Pearson Education.
  • ISACA. (febrero de 2016). ISACA. Obtenido de Trust in, and value from, information systems: https://www.isaca.org/Pages/default.aspx?cid=1002083&Appeal=SEM&gclid=Cj0KEQjwhvbABRDOp4rahNjh-tMBEiQA0QgTGoowfjmWM2unMPmk1ygwF2JO_iHtG4_j9HCRnbSy1saAu1l8P8HAQ
  • ISO. (julio de 2016). International Organization for Standardization. Obtenido de http://www.iso.org/iso/home.html
  • Lardent, A. R. (2001). Sisitemas de infromación para la gestion empresarial . Buenos Aires : Prentice Hall.
  • NIST. (enero de 2016). National Institute of Standards and Technology. Obtenido de https://www.nist.gov/
  • Razo, C. (2002). Auditoría en sistemas. México: Prentice Hall.
  • Razo, C. M. (2002). Auditoría en sistemas computacionales. México : Pearson Education .
  • Vieites, Á. G. (2004). Sistemas de Información . Madrid : Alfaomega .
  • Yañez, C. (Octubre de 2011). Enfoque metodologíco de la audotoría a las tecnologias de información. Obtenido de http://www.olacefs.com/wpcontent/uploads/2014/08/1erlugar.pdf

Agradecimientos 

Le agradezco al Instituto Tecnológico de Orizaba por permitirme realizar el posgrado en Ingeniería Administrativa para mi preparación académica, así mismo al profesor Fernando Aguirre Hernández quien imparte la materia de fundamentos de la ingeniería administrativa por impulsarme a escribir artículos formales y de relevancia.

[1] Sistemas de Información

[2] Acceso a un sistema o red, de forma remota mediante la intranet

[3] Acceso a un sistema o red, de forma física mediante un equipo de computo

[4] Asociación de Auditoría y Control de Sistemas de Información

[5] Organización Internacional de estandarización  

[6] Instituto Nacional de Estándares y Tecnología

Cita esta página

San Juan Raúl Ponce. (2016, noviembre 17). Auditoría de Sistemas de Información. Recuperado de https://www.gestiopolis.com/auditoria-de-sistemas-informacion/
San Juan Raúl Ponce. "Auditoría de Sistemas de Información". gestiopolis. 17 noviembre 2016. Web. <https://www.gestiopolis.com/auditoria-de-sistemas-informacion/>.
San Juan Raúl Ponce. "Auditoría de Sistemas de Información". gestiopolis. noviembre 17, 2016. Consultado el . https://www.gestiopolis.com/auditoria-de-sistemas-informacion/.
San Juan Raúl Ponce. Auditoría de Sistemas de Información [en línea]. <https://www.gestiopolis.com/auditoria-de-sistemas-informacion/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de kewl en Flickr