Rubrica

Generalidades

En primer lugar es importante definir el término de Auditoría, ya que el mismo se ha usado principalmente para referirse a una revisión cuyo único fin es detectar errores, fraudes, señalar fallas y como consecuencia recomendar el despido o remoción del personal, no obstante, la Auditoría es un concepto mucho más amplio que The American Accounting Association lo define claramente como "El proceso sistemático para evaluar y obtener de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados". El fin del proceso consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando los principios establecidos para el caso". Para Hernández García toda auditoría y cualquier tipo de auditoria "es una actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas."

Hasta hace poco tiempo, la comprobación de la gestión y control de la actividad económica y financiera de las organizaciones, se hacía solamente por medio de la Auditoría Financiera, sin embargo, por el grado de informatización de las empresas, la misma no era suficiente y se hizo necesario conocer qué ocurría dentro de los sistemas de información, ya que la Auditoría Financiera podía llegar a conocer la información de entrada al sistema y el resultado obtenido, pero no podía determinar lo que sucedía entre el momento de entrada de la información y los resultados o salida de la misma, es decir se conocían los "inputs" y los "outputs" pero no desconocía cómo se habían generado estos últimos y si habían sido objeto o no de alguna manipulación. El examen de lo que acontece realmente en los Sistemas de Información, se puede realizar gracias a la Auditoría Informática.

Pero, ¿Qué es la Auditoría Informática?. No existen definiciones oficiales sobre la misma, y algunas de las que aparecen en libros o se dan en cursos y seminarios tienen la influencia y criterio personal de su autor, no obstante, a continuación mencionamos las que consideramos más importantes:

Una definición podría ser la siguiente: "Se entiende por Auditoría Informática una serie de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa".

Ramos González propone la siguiente definición: "La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad, abarcando todo o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos".

Para Fernando Catacora Carpio, Especialista en Sistemas de Información Gerencial y profesor de esta cátedra en la Universidad Católica Andrés Bello de Caracas, Venezuela"La Auditoría Informática es aquella que tiene como objetivo principal la evaluación de los controles internos en el área de PED (Procesamiento Electrónico de Datos).

Otra definición nos indica que la Auditoría Informática es aquella que tiene como objetivos evaluar los controles de la función informática, analizar la eficiencia de los sistemas, verificar el cumplimiento de las políticas y procedimientos de la empresa en este ámbito y revisar que los recursos materiales y humanos de esta área se utilicen eficientemente. El auditor informático debe velar por la correcta utilización de los recursos que la empresa dispone para lograr un eficiente y eficaz Sistema de Información.

Finalmente, de forma sencilla y gráfica podemos decir que la Auditoría Informática es el proceso de recolección y evaluación de evidencia para determinar sí un sistema automatizado:

Salvaguarda activos

{

Daños

Destrucción

Uso no autorizado

Robo

Mantiene la Integridad

de los datos

{

Oportuna

Precisa

Confiable

Completa

Alcanza Metas

Organizacionales

{

Contribución de la función

Informática

Consume recursos

eficientemente

{

Utiliza los recursos adecuadamente

en el procesamiento de la información

Fuente:

Así pues, debemos reafirmar que la Auditoría Informática, también conocida en nuestro medio como Auditoría de Sistemas, surge debido a que la información se convierte en uno de los activos más importante de las empresas, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones físicas de cualquier organización, sin que sufran daños los ordenadores, servidores o equipo de cómputo, la entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo contrario. A raíz de esto, la información adquiere gran importancia en la empresa moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y tiempo en la creación de sistemas de información con el fin de obtener una mayor productividad.

Otro factor que influyó grandemente en el nacimiento de la Auditoría Informática fue el uso de la tecnología y sistemas computarizados para el procesamiento de la información, lo cual ha tenido una importante repercusión sobre la disciplina contable, pues la mayoría de las operaciones financieras han recibido la influencia de la informática.

b. Alcance de la Auditoría Informática

El alcance de la Auditoría Informática no es nada más que la precisión con que se define el entorno y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en el Informe Final, detallando no solamente los temas que fueron examinados, sino también indicando cuales se omitieron.

c. Importancia de la Auditoría Informática

A pesar de ser una disciplina cuya práctica ha aumentado en nuestro país durante los últimos años, la Auditoría Informática, es importante en las organizaciones por las siguientes razones:

•Se pueden difundir y utilizar resultados o información errónea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se provoque un efecto dominó y afecte seriamente las operaciones, toma de decisiones e imagen de la empresa.

•Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informático.

•La continuidad de las operaciones, la administración y organización de la empresa no deben descansar en sistemas mal diseñados, ya que los mismos pueden convertirse en un serio peligro para la empresa.

•Las bases de datos pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos.

•La vigencia de la Ley de Derecho de Autor, la piratería de softwares y el uso no autorizado de programas, con las implicaciones legales y respectivas sanciones que esto puede tener para la empresa.

•El robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.

•Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en plazos razonables, es decir, el usuario percibe que está abandonado y desatendido permanentemente.

•En el Departamento de Sistemas se observa un incremento desmesurado de costos, inversiones injustificadas o desviaciones presupuestarias significativas.

•Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

•Mantener la continuidad del servicio y la elaboración y actualización de los planes de contingencia para lograr este objetivo.

•Los recursos tecnológicos de la empresa incluyendo instalaciones físicas, personal subalterno, horas de trabajo pagadas, programas, aplicaciones, servicios de correo, internet, o comunicaciones; son utilizados por el personal sin importar su nivel jerárquico, para asuntos personales, alejados totalmente de las operaciones de la empresa o de las labores para las cuales fue contratado.

•El uso inadecuado de la computadora para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor y el acceso por vía telefónica a bases de datos a fin de modificar

...