Auditoría

Anuncio
Introducción
Hoy en día, las tecnologías de la información están presentes en todas las áreas de las organizaciones. Esta
implantación generalizada de SI se ha realizado en muchos casos sin la necesaria planificación, en parte
porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los sistemas
abiertos, la interconexión global y el deseo por parte de los consumidores de independizarse de los fabricantes
traen consigo la necesidad de un estudio más profundo de los SI antes de tomar decisiones. Por lo tanto, se
hace necesario mejorar la planificación de futuras implementaciones, la compatibilidad entre sistemas y la
organización del personal y de la empresa.
En los últimos tiempos el ejercicio en las actividades de auditoria y control en tecnologías informáticas, ha
auspiciado un desenvolvimiento mas que acelerado de todas las demás actividades inmersas en la economía
de un país. Esto, da pie a pensar que las tareas realizadas por ellas han de ser igualmente auditadas.
En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la información
es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una considerable cantidad de
recursos en personal, equipos y tecnología, además de los costos derivados de la posible organización
estructural que muchas veces conlleva la introducción de estas tecnologías. Esta importante inversión debe ser
constantemente justificada en términos de eficacia y eficiencia. Por tanto, el propósito a alcanzar por una
organización que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratégicos
son los mismos que los de la propia organización y que los sistemas prestan el apoyo adecuado a la
consecución de estos objetivos, tanto en el presente como en su evolución futura.
Definición de Auditoria
La auditoría puede definirse como el examen comprensivo y constructivo de la estructura organizativa de una
empresa de una institución o departamento gubernamental; o de cualquier otra entidad y de sus métodos de
control, medios de operación y empleo que dé a sus recursos humanos y materiales.
¿Qué es Auditoría en Informática?
Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática,
de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.
Bases sobre las que se sustenta la Auditoría en SI
En la actualidad los temas relativos a la auditoría informática cobran cada vez más relevancia, debido a que la
información se ha convertido en el activo más importante de las empresas, representando su principal ventaja
estratégica, por lo que estas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de
información, con el fin de obtener la mayor productividad y calidad posibles.
Hoy, a las puertas del siglo XXI, estamos inmersos en un profundo cambio, las empresas y organizaciones
dependen de las pautas económicos, industriales, y sociales en las que se encuentran inmersas, por lo tanto, si
las tendencias tecnológicas y los entornos económicos e industriales cambian, deben adaptarse rápidamente a
las nuevas circunstancias para sobrevivir.
Este cambio es muy rápido, está afectando al mundo entero, y su comprensión es fundamental para las
organizaciones de todo tipo, particularmente en el contexto de los sistemas y tecnologías de información.
1
Aunque los avances tecnológicos de los últimos veinte años han sido constantes y espectaculares, en los
últimos cinco se ha producido una verdadera revolución tecnológica de gran envergadura e impacto para la
propia industria informática, así como de consecuencias importantes para el resto de sectores.
Cada vez, con mayor frecuencia, un mayor número de organizaciones considera que la información y la
tecnología asociada a ella representan sus activos más importantes. Entonces, de igual modo que se exige para
los otros activos de la empresa, los requerimientos de calidad, controles, seguridad e información, son
indispensables. La gerencia, por ende, debe establecer un sistema de control interno adecuado y tal sistema
debe soportar debidamente los procesos del negocio.
Haciendo eco de estas tendencias, la Organización ISACA (Information Systems Audit and Control
Association), a través de su Fundación, publicó en diciembre de 1995 el COBIT, como resultado de cuatro
años de intensa investigación y del trabajo de un gran equipo de expertos internacionales. Siendo está
metodología el marco de una definición de estándares y conducta profesional para la gestión y el control de
los SI, en todos sus aspectos, unificando diferentes estándares, métodos de evaluación y controles anteriores.
Adicionalmente, esta metodología aporta la orientación hacia el negocio y está diseñada no solo para ser
utilizada por usuarios y auditores, sino también como una extensa guía para gestionar los procesos de
negocios.
Hacia la apertura interdisciplinaria de la Auditoria
Toda entidad tiene que hacer frente a riesgos de la más variada índole, que le pueden afectar de la más
diversas formas posibles dentro de la actividad de la empresa. Las empresas deben determinar cuáles son los
niveles de riesgo aceptables y tratar de evitar que sobrepasen esos límites.
Pero, antes de determinar los riesgos, hay que determinar los objetivos. Cada entidad debe determinar sus
objetivos, sus puntos fuertes y débiles y las oportunidades y amenazas del entorno. De esta manera obtendrá
un plan estratégico que identificará los factores de éxito o condiciones para alcanzar sus objetivos. Los
objetivos pueden clasificarse entre objetivos operacionales, objetivos relacionados con la información
financiera y objetivos de cumplimiento.
Una vez identificados los objetivos, podemos pasar a la identificación y el análisis de riesgos. La dirección
debe identificar los riesgos existentes en todos los niveles de la empresa, hay muchos procedimientos para
proceder a su identificación pero no es relevante cuál de ellos se use. Una vez identificados, la dirección debe
realizar un análisis de los factores que generan los riesgos, de manera que debe estimar la importancia de los
mismos, evaluar la probabilidad de que se den y analizar cómo han de gestionarse (estableciendo medidas que
tiendan a limitarlos o reducirlos).
Hay que tener en cuenta que los cambios producidos en la economía, el sector de actividad, la reglamentación
y las actividades de las empresas hacen que un sistema de control interno que se considera eficaz en un
contexto determinado quizás no lo será en otro. El análisis de riesgos es, por tanto, una actividad que debe
renovarse de forma continuada. La dirección debe estar permanentemente alerta para detectar las
circunstancias que van modificando el entorno y por consiguiente los riesgos a enfrentar.
Las actividades de control, junto con ciertas actividades de gestión, nos ayudarán a evitar que los riesgos a los
que está sujeta la entidad se lleguen a materializar y produzcan efectos negativos en ésta. Las actividades de
control se traducen en políticas (lo que debe de hacerse) y procedimientos (mecanismos concretos de control).
Conceptualmente, la auditoría, sea está de cualquier tipo, consistente en la emisión de una opinión profesional
sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y cumple las
condiciones que le han sido prescritas. Con base en lo anterior, podemos descomponer este concepto en los
siguientes elementos fundamentales:
2
contenido: una opinión
condición: una observación profesional
justificación: sustentada en determinados procedimientos
objeto: una determinada información obtenida de un soporte
finalidad: determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son
atribuidas, es decir, su fiabilidad
En todo caso es una función que se realiza luego, en relación con actividades ya realizadas, sobre las que hay
que emitir una opinión.
El objeto sometido a estudio, sea cual sea su soporte, por un lado, y la finalidad con que se realiza el estudio,
por otro, definen el tipo de auditoría que se esta manejando. De esta manera podríamos clasificar los tipos de
auditoria según la siguiente tabla:
Clase
Financiera
Gestión
Objeto a evaluar
Cuentas anuales
Sistemas de aplicación, recursos
informáticos, planes de contingencia, etc.
Dirección
Cumplimiento
Normas establecidas
Informática
Finalidad
Presentan realidad
Operatividad eficiente y según
normas establecidas.
Eficacia, eficiencia, económica
Las operaciones se adecuan a
estas normas
Modelo de metodología COBIT, para la implementación de la auditoría en cualquier negocio.
La misión y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de
control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y
auditores.
COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas
de control y seguridad de las TI, que provean un marco de referencia para la administración, los usuarios y los
auditores de cualquier tipo. Básicamente consta de 4 pasos, los cuales conforman el planeamiento y
realización de una auditoria, ellos son:
• Resumen Ejecutivo
El Resumen Ejecutivo se basa en una visión ejecutiva, la cual provee a la administración un entendimiento de
los principios y conceptos claves de COBIT, así como el marco que provee a la administración con más
detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en
total.
• Antecedentes y Marco de Referencia
El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los
requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo
de control.
Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para
3
la implementación de 302 objetivos de control específicos, a través de los 34 Procesos de TI.
• Guías de Auditoría
Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos, correspondientes a cada uno de los
34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos
de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y recomendar
sus mejoras.
• Herramientas de Implementación
Las Herramientas de implementación, las cuales contienen el conocimiento de la administración y diagnóstico
de control de TI, una guía de implementación. Esta nueva herramienta es diseñada para facilitar la
implementación de COBIT y relacionar sesiones aprendidas desde organizaciones que rápidamente y
exitosamente aplicaron COBIT en sus ambientes de trabajo.
Conclusiones
Los cambios en la tecnología influyen en qué auditar y en cómo auditar, por lo que inevitablemente, la
auditoría ha cambiado de manera drástica en los últimos años con el gran impacto que han generado las
técnicas informáticas en la forma de procesarla.
Los procesos de negocios, que se llevan a cabo dentro de las unidades de una organización, se coordinan en
función de los procesos de gestión básicos de planificación, ejecución y supervisión. El control que provee la
auditoria es parte de dichos procesos y está integrado en ellos, permitiendo su funcionamiento adecuado y
supervisando su comportamiento y aplicabilidad en cada momento, con lo que, constituye una herramienta útil
para la gestión, pero no un sustituto de ésta.
Esta conceptuación del control se aleja de la antigua perspectiva, que veía el control como un elemento
inmerso en las actividades de una entidad o como una carga inevitable, impuesta por los organismos
reguladores o por los dictados de burócratas excesivamente celosos. Los controles impuestos por la auditoria,
deben ser incorporados a toda la infraestructura de una entidad, no deben ser añadidos, de manera que no
deben entorpecer, sino favorecer la consecución de los objetivos de la entidad.
Bibliografía disponible.
De La Fuente, Reynaldo. "El carácter multidisciplinario de la Auditoría y el control en TI", p 32, Revista
Percepciones N° 3, Octubre 2000, Montevideo, Uruguay.
http://www.isacachile.cl/cobit.htm
http://members.tripod.com/~Guillermo_Cuellar_M/dos.html
http://www.inei.gob.pe/cpi/bancopub/libfree/lib605/n00.htm
Wiilliam P. Leonard. http://campus.uab.es/~2082564/indice2.htm
Echenique, José A. http://campus.uab.es/~2082564/indice2.htm
COBIT por sus siglas en ingles Control Objectives for Information and Related Technology
1
4
Descargar