AUDITORIA DEL CONTROL INFORMATICO
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática, donde esta se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.
La auditoría informática es un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económica o financiera, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos Oficiales. La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones.
Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.
Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Estos son, llamados Check List, los cuales se guardan celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas, las cuales se debe hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo; con ello podremos determinar el número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en caso necesario, poder elaborar el contrato de servicios.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los tres objetivos:
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
La función de auditoría informática ha pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia que para las organizaciones tienen los sistemas informáticos y de información que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en: Seguridad, Control interno operativo, Eficiencia y eficacia, Tecnología informática, Continuidad de operaciones, Gestión de riesgos.
No solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
La función de auditoría en informática en un nivel organizacional que le asegure la independencia y soporte requerido de la alta dirección, a fin de contar con una entidad confiable y eficiente. La falta de una posición organizacional adecuada a las características especificas que la rodean, puede convertirla en foco de frustración e incertidumbre con el paso del tiempo. El control y la seguridad no pueden establecerse ni supervisarse desde los niveles inferiores de una empresa; su posición debe ser estratégica o por perfiles especiales del negocio, táctico. Nunca se ejercerán desde un nivel operativo; la alternativa es que los haga personal profesional externo.
El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.
Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación
Recordemos que un auditor informático es un profesional especializado en ramas de la auditoría informática, principalmente dedicado al análisis de sistemas de información, que tiene conocimientos generales de los ámbitos en los que ésta se mueve, además de contar con conocimientos empresariales generales.
El auditor puede actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y administración que le sean propios. Además, puede actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado puede ser ineficiente si no es consistente con los objetivos de la organización en tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal. Para ello deberá cuidar la moderación en la exposición de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisión y exactitud en sus comentarios. El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias, debiendo eludir las injerencias no solicitadas por él, de profesionales de otras áreas, en temas relacionadas o que puedan incidir en el resultado da la auditoría. El debe asimismo guardar un escrupuloso respecto por la política empresarial del auditado, aunque ésta difiera ostentablemente de las del resto el sector en las que desarrolla su actividad. Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos ficticios, encubran comportamientos no profesionales o den publicidad a metodologías propias o ajenas insuficientemente contrastadas y garantizadas.
Para concluir las auditorias informáticas se conforman obteniendo información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor consiste en lograr obtener toda la información necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.
Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente.. El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.
La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.
En conclusión la auditoria informática es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, de aquí su importancia y relevancia.
www.Gerencie.com.co