Plan De Auditoría

Introducción:

El desarrollo a pasos agigantados de los medios de comunicación, nos lleva a concluir en que los sistemas informáticos, con el paso de los años se han convertido en herramientas muy poderosas para la organización en un nivel empresarial, materializando conceptos que son totalmente vitales, los cuales forman los Sistemas de Información de las Empresas, convirtiéndose a finales del último siglo en pilares fundamentales para el desarrollo empresarial en general.

La gestión empresarial cumple un rol muy importante hoy en día, estando la informática involucrada en todos los procesos que se requieren para una buena gestión, el “management” o gestión de la empresa se denomina así a la forma como las organizaciones están afrontando el mercado. La informática no es quién maneja las empresas, tiene un poder de decisión pero no decide por sí misma. Y de acuerdo cómo se tome su importancia dentro del ámbito empresarial, se da la existencia de la Auditoria de Información.

Hasta hace relativamente poco, el término Auditoria ha tenido un uso incorrecto, ya que se le encasilló en el concepto de evaluación el cual está equivocado, porque se considera que tiene un solo fin y es el de detectar errores y señalar fallos. Por ello se debe corregir y decir que la auditoria es un examen crítico que se lleva a cabo con la finalidad de evaluar la eficiencia y la eficacia de una sección, organismo, entidad, etc.

La auditoria de información se define como un diagnóstico global que ofrece una “fotografía aérea” del modo en que se utiliza la información en un sistema de interacción. Además permite tener una comprensión general del funcionamiento y características del sistema, antes de que éste sea utilizado. Puede evaluar elementos como recursos de información, usos que se pueden hacer del sistema, flujos de información, características del soporte y tipos de interacción que permite el sistema, entre otros.

A la hora de realizar una auditoria de información, debemos identificar el uso de la información que se hace en la organización y el flujo que sigue. Para ello debemos identificar los recursos de los que la organización a estudiar dispone, qué uso efectivo se hace de ellos y los resultados que se obtienen. También debemos tener en cuenta el equipamiento del que se dispone, quién hace uso de él, el coste, el valor que aporta a la organización y qué tipo de profesional desempeña estas funciones.

La auditoria de información debe relacionar lo que se encuentra con los objetivos de la organización, así como relacionarlos con la cultura organizativa, además de ayudar a decidir cómo la organización debe desarrollar una política informativa. Se persigue realizar una diagnosis de las carencias de la situación actual, ya se por duplicaciones de la información como falta de ésta, subutilización de recurso, incompatibilidad o/u obsolescencia de sistemas, carencias formativas dentro del conjunto de los miembros de la organización, necesidades extraordinarias de recursos e insuficiencia del personal.

Por ello y como consecuencia se ha convertido en una excelente herramienta que evalúa los parámetros sobre los que se ha de construir el sistema de gestión de la información de las organizaciones.

Concepto general de la auditoria de la información

Hasta hace relativamente poco tiempo, el termino Auditoria tenia un uso incorrecto, ya que se le asociaba al concepto de evaluación el cual está equivocado, porque se considera que tiene un solo fin que es el de detectar errores y señalar fallos. Por ello se debe corregir y decir que la auditoria es un examen crítico que se lleva a cabo con la finalidad de evaluar la eficiencia y la eficacia de una sección, organismo, etc.

La auditoria de información es un proceso interno al que se someten los sistemas de las organizaciones que optan por intentar mejorar sus circunstancias. La auditoria de la información ofrece una visión global o una “fotografía aérea” del modo en que se utiliza la información en un sistema de interacción.

Además este sistema también analiza el funcionamiento general y las características del sistema, antes de que éste sea utilizado. Puede evaluar elementos como recursos de información, usos que se pueden hacer del sistema, flujos de información, características del soporte y tipos de interacción que permite el sistema entre otros.

La función de la auditoria es independiente y sus conclusiones no son vinculantes, estas son plasmadas en el informe final y se las llama recomendaciones. En dicho informe final aparece el alcance de la auditoria (precisión del entorno y los limites en los que se desarrolla ésta), quedando así determinados no solo los puntos a los que se quiere llegar (objetivos) sino, que materias han sido eliminadas.

Perfil del auditor

El auditor informático ha de tener los conocimientos técnicos sobre el área a examinar.

Entonces podemos decir que el auditor informático ha de tener conocimientos que abarquen los siguientes temas:

Estructura del sistema de aplicación.

Esto incluye un conocimiento amplio del hardware (unidades de almacenamiento, terminales, periféricos, procesadores...); también de sistemas y técnicas de mantenimiento; programación y uso de tablas de decisión y matrices.

Controles y procedimientos del sistema de aplicaciones.

El método de aplicar los controles de aplicación y las técnicas para análisis del control interno. Las actividades en la aplicación del proceso de datos, comunicación de datos y otras áreas pertenecientes al procesamiento de aplicaciones, así como el uso de bases de datos y diccionario de datos. También la identificación de los terminales, los procesos de autorización (permisos) sobre los usuarios y terminales y transacciones que pueden ser realizadas por los usuarios. Las técnicas que empleadas para asistir en el control de acceso a los datos y los programas también son incluidas en los conocimientos necesarios.

Gerencia de datos.

En este campo debemos incluir el almacenamiento de datos en cinta y discos; sellos internos y externos, preparación de boletines de acceso, generación de archivo acceso y control; extracción de datos de las bases centrales de datos.

Controles de instalación.

Este área abarca controles de entrada y salida, inventario de producción, controles de instalación, manejo de los controles de producción, control sobre las cintas y otras bibliotecas de almacenamiento, respaldo(back-up) y recuperación, y almacenamiento fuera de sitio (off-site) y retención de archivos. También incluye el propósito y uso de lenguajes de control, sistemas de operación, software del sistema y programas de utilidad. Además, de la familiarización con aspectos de las operaciones computarizadas, funciones de biblioteca, sistema y programación, servicios técnicos, manejo de archivos y, el origen y autorización de las transacciones.

Desarrollo de sistemas y controles sobre los procesos de mantenimiento.

Ha de tener conocimiento sobre los controles de desarrollo y mantenimiento de los procesos y de su aplicación durante los proyectos. También incluimos la exposición para el diseño e implementación del estándar de sistemas. Controles específicos que se pueden implementar en nuevos sistemas: controles de entrada, procesamiento, salida, corrección de errores, cambios de sistema, recuperación de desastres, retención de OED (procesamiento Electrónico de Datos). En instalaciones complejas se debería de conocer la programación modular como el luso de técnicas de programación interactiva.

Controles de sistemas En-Línea y software.

Cuando los termínales, equipos de entrada remota, sistemas de transferencia electrónica de fondos u otros están en uso, el auditor necesita conocimiento adicional sobre un sistema en línea como de los controles que pueden ser usados con ellos.

Controles sobre el sistema manejador de base de datos y software.

Si hay un sistema manejador de base de datos (ODBMS), el auditor ha de conocer el diseño total y el uso del diccionario de datos. También ha de conocer los atributos específicos del DBMS en uso en la empresa y sobre los controles de manejo.

Minicomputadoras y procesamiento distribuido.

Conocimiento básico sobre el control de hardware y software en uso. Las minicomputadoras se usan para aplicaciones específicas. Por esto el auditor debe conocer los conceptos relacionados con el procesamiento distribuido y el control de procesamiento distribuido.

Aspectos específicos de las instalaciones u sistemas bajo auditoria.

El auditor necesita información adicional por cada una de las aplicaciones de software y hardware que la empresa emplea.

La pregunta que nos hacemos ahora es ¿Cómo formar a un auditor?

Lo principal para obtener estos conocimientos es identificar los aspectos del PED y su organización, que sean importantes dentro de la empresa. Después hay que saber el nivel de conocimiento necesario sobre estas áreas, para que el auditor del sistema pueda evaluar correctamente las sugerencias, que los usuarios del procesamiento de datos puedan ofrecerle. El auditor necesita una base de todos estos aspectos, no para trabajar si no para entender el funcionamiento.

Los aspectos que debe conocer el auditor son bastante amplios por

...