Auditoria de la función informática
William Thomas Porter y John C. Burton definen la Auditoría
como el examen de la información por una tercera persona distinta de quien la
preparó y del usuario, con la intención de establecer su veracidad; y el dar a
conocer los resultados de este examen, con la finalidad de aumentar la utilidad
de tal información para el usuario... [Porter,
1983]
Arthur W. Holmes obtiene como conclusión en su concepto
moderno que la Auditoría es "el examen crítico y sistemático de la
actuación y los documentos financieros y jurídicos en que se refleja, con la
finalidad de averiguar la exactitud, integridad y autenticidad de los
mismos." [Holmes, 1984]
El Instituto Norteamericano de Contadores Públicos (AICPA),
tiene como definición de Auditoría la siguiente: Un examen que pretende servir
de base para expresar una opinión sobre la razonabilidad, consistencia y apego
a los principios de contabilidad generalmente aceptados, de estados financieros
preparados por una empresa o por otra entidad para su presentación al Público o
a otras partes interesadas. [AICPA,
1983]
Auditoría en Informática es la revisión y evaluación de los
controles, sistemas, procedimientos de informática, de los equipos de cómputo,
su utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de
cursos alternativos se logre una utilización más eficiente y segura de la información
que servirá para la adecuada toma de decisiones
Es el examen crítico y sistemático que hace un Contador
Público para evaluar el sistema de procesamiento electrónico de datos y sus
resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un
trabajo más selectivo y de mayor penetración sobre las actividades,
procedimientos que involucran un gran número de transacciones. [Echenique, 1990]
Se puede construir
entonces el siguiente concepto de auditoría informática:
El proceso que consiste
en el examen crítico, sistemático y detallado del sistema de información
automático de un ente, realizado con independencia y utilizando técnicas
específicas, con el propósito de emitir un informe profesional sobre la
eficacia eficiencia y economicidad en el manejo de los recursos informáticos y
los controles de seguridad de los mismos, para la toma de decisiones que
permitan el mejoramiento de los procesos de información automática y de la
productividad de estos.
Es fundamental mencionar que para el
auditor en informática conocer los productos de software que han sido creados
para apoyar su función aparte de los componentes de la propia computadora
resulta esencial, esto por razones económicas y para facilitar el manejo de la
información.
El auditor desempeña sus labores mediante la aplicación de
una serie de conocimientos especializados que vienen a formar el cuerpo técnico
de su actividad. El auditor adquiere responsabilidades, no solamente con la
persona que directamente contratan sus servicios, sino con un número de
personas desconocidas para él que van a utilizar el resultado de su trabajo
como base para tomar decisiones.
Políticas
de la Organización (Reglas de negocio)
Es importante que
al momento de formular las políticas de seguridad informática, se consideren
por lo menos los siguientes aspectos:
ü Efectuar un análisis de riesgos
informáticos, para valorar los activos y así adecuar las políticas a la
realidad de la empresa.
ü Reunirse con los departamentos dueños de los
recursos, ya que ellos poseen la experiencia y son la principal fuente para
establecer el alcance y definir las violaciones a las políticas.
ü Comunicar a todo el personal involucrado
sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos
relacionados con los recursos y bienes, y sus elementos de seguridad.
ü Identificar quién tiene la autoridad para
tomar decisiones en cada departamento, pues son ellos los interesados en
salvaguardar los activos críticos su área.
ü
Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
ü Detallar explícita y concretamente el
alcance de las políticas con el propósito de evitar situaciones de tensión al
momento de establecer los mecanismos de seguridad que respondan a las políticas
trazadas.
Como una política
de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la empresa para
lograr una visión conjunta de lo que se considera importante.
Las Políticas de
Seguridad Informática deben considerar principalmente los siguientes elementos:
ü Alcance de las políticas, incluyendo
facilidades, sistemas y personal sobre la cual aplica.
ü Objetivos de la política y descripción clara
de los elementos involucrados en su definición.
ü Responsabilidades por cada uno de los
servicios y recursos informáticos aplicado a todos los niveles de la
organización.
ü Requerimientos mínimos para configuración de
la seguridad de los sistemas que abarca el alcance de la política.
ü Definición de violaciones y sanciones por no
cumplir con las políticas.
·
Responsabilidades de los usuarios con
respecto a la información a la que tiene acceso.
Interpretación del manual de procedimientos de la
organización
El desarrollo de una auditoría se basa en la aplicación de
normas, técnicas y procedimientos de auditoría. Para nuestro caso, estudiaremos
aquellas enfocadas a la auditoría en informática.
Son los
requisitos mínimos de calidad relativos a la personalidad del auditor, al
trabajo que desempeña ya la información que rinde como resultado de este
trabajo.
Las normas de
auditoría se clasifican en:
ü
Normas
personales.
ü
Normas
de ejecución del trabajo.
ü
Normas
de información.
ü
Normas personales
Se define a
las técnicas de auditoría como “los métodos prácticos de
investigación y prueba que utiliza el auditor para obtener la evidencia
necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su
criterio o juicio, según las circunstancias”.
Al aplicar su
conocimiento y experiencia el auditor, podrá conocer los datos de la empresa u
organización a ser auditada, que pudieran necesitar una mayor atención.
Al conjunto
de técnicas de investigación aplicables a un grupo de hechos o circunstancias
que nos sirven para fundamentar la opinión del auditor dentro de una auditoría,
se les dan el nombre de procedimientos de auditoría en informática.
La
combinación de dos o más procedimientos, derivan en programas de auditoría, y
al conjunto de programas de auditoría se le denomina plan de auditoría, el cual
servirá al auditor para llevar una estrategia y organización de la propia
auditoría.
Dentro de
este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de
auditoría, de los cuales destacan el análisis de datos, ya que para las
organizaciones el conjunto de datos o información son de tal importancia que es
necesario verificarlos y comprobarlos, así también tiene la misma importancia
para el auditar ya que debe de utilizar diversas técnicas para el análisis de
datos, basados en [bib-solis-2002]
Dentro de las
organizaciones todos los procesos necesitan ser evaluados a través del tiempo
para verificar su calidad en cuanto a las necesidades de control, integridad y
confidencialidad, este es precisamente el ámbito de esta técnica, a
continuación se muestran los procesos de monitoreo:
ü
M1
Monitoreo del proceso.
ü
M2
Evaluar lo adecuado del control Interno.
ü
M3
Obtención de aseguramiento independiente.
ü
M4
Proveer auditoría independiente.
Referencias
GARCIA, J. A. (2001). AUDOTORIA EN INFORMATICA. DISTRITO FEDERAL.
Procesos. (07 de 09 de 2015). Obtenido de ujaen:
http://www10.ujaen.es/sites/default/files/users/archivo/Calidad/Criterio5.pdf
tiposde. (07 de 09 de 2015). Obtenido de tipos-de-manuales:
http://www.tiposde.org/cotidianos/568-tipos-de-manuales/
[PÉREZ, 1999] PÉREZ TORAÑO, Luis Felipe. Auditoría de Estados Financieros. Mc Graw Hill. México;
1999
[PIATTINI, 1998] PIATTINI, Mario y otros. Auditoría Informática. Un enfoque práctico. Alfa omega S.A...
Santafé de Bogotá D.C. D.C.: 1998
Referencias
GARCIA, J. A. (2001). AUDOTORIA EN INFORMATICA. DISTRITO FEDERAL.
Procesos. (07 de 09 de 2015). Obtenido de ujaen:
http://www10.ujaen.es/sites/default/files/users/archivo/Calidad/Criterio5.pdf
tiposde. (07 de 09 de 2015). Obtenido de tipos-de-manuales:
http://www.tiposde.org/cotidianos/568-tipos-de-manuales/
[PÉREZ, 1999] PÉREZ TORAÑO, Luis Felipe. Auditoría de Estados Financieros. Mc Graw Hill. México;
1999
[PIATTINI, 1998] PIATTINI, Mario y otros. Auditoría Informática. Un enfoque práctico. Alfa omega S.A...
Santafé de Bogotá D.C. D.C.: 1998
