UNIV UNIVER ERSI SIDA DAD D TEC TECNO NOL L GI GICA CA DE CAMPECHE INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN
EL AUDITOR Y LA ORGANIZACIÓN
INVESTIGACIÓN
MARÍA DE LOURDES CÁRDENAS MALDONADO
KARLA ALONDRA BAQUEIRO MAYO
10° “B”
SEPTIEMBRE/ DICIEMBRE 2017
2016-2018
SAN ANTONIO CÁRDENAS, CÁRDENAS, CARMEN, CAMPECHE, 5 SEPTIEMBRE 2017
INTRODUCCIÓN La Auditoria en informática es un proceso formal ejecutado por especialistas del área de auditoria y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se realicen de una manera oportuna y eficiente. El objetivo de la auditoria en informática comprende no solo de la evaluación de los equipos de cómputo, de un sistema o procedimiento específicos, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La Auditoria es una parte vital para un buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. En la medida en que la dirección establezca políticas claras que especifiquen que la función de Auditor es asegurar el control y la seguridad de los elementos relacionados con la informática y que responde a una necesidad de la alta dirección, el apoyo y participación de las áreas del negocio fluirá de manera natural; asimismo, se evitará que esta situación que convierta en un proceso tenso y complicado, o en una actividad burocrática e improductiva. Se recomienda ubicar la función de auditoria en informática en un nivel organizacional que le asegure la independencia y soporte requerido de la alta dirección, con la finalidad de contar con una entidad confiable y eficiente. En esta investigación se presentan temas sobre la Auditoria en informática como su organización, partiendo desde el concepto principal de la palabra Auditoria, hasta los manuales de organización para políticas y procedimientos.
TEMA 1. AUDITORIA DE LA FUNCION INFORMATICA La auditoría en informática se desarrolla en función de normas, procedimientos, técnicas definidas por institutos establecidos a nivel nacional e internacional. La Auditoria en informática es: a) Un proceso formal ejecutado por especialistas del área de auditoria y de informática; se orienta a la verificación y aseguramiento para que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se realicen de una manera oportuna y eficiente. b) Las actividades ejecutadas por los profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).Dicha información debería ser la pauta para la entrega del informe de auditoría en informática el cual debe contener las observaciones, recomendaciones y áreas de oportunidad
para el mejoramiento y
optimización permanente de las tecnologías de la información en el negocio. c) El conjunto de acciones que realiza el personal especializado en las áreas de auditoria y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficiente, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera. d) Proceso metodológico que tiene el propósito principal de evaluar los recursos humanos, materiales, financieros, tecnológicos, etc.) relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente
satisfactorios para que a su vez apoyen la productividad y rentabilidad de la organización. (Hernandez Hernandez, 2001)
1.1.
CONCEPTO DE AUDITORIA
El concepto Auditoria es más amplio; no solo detecta errores: es más un examen crítico que se realiza con objetivo de evaluar la eficiencia y eficacia de una sección o de un organismo, y determinar cursos alternativos de acción para mejorar la organización, y lograr los objetivos propuestos. La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos.
1.2.
AUDITORIA EN INFORMÁTICA
Es una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en forma eficaz y eficiente. Auditoria en informática es la verificación de los controles en las siguientes tres áreas de la organización (informática): -
Aplicaciones (programa de producción)
-
Desarrollo de sistemas
-
Instalación del centro de procesos
Por lo tanto, podemos decir que la Auditoría en informática es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización eficiencia y seguridad; de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de recursos alternativos se logre una utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática es el proceso de recolección y evaluación d e evidencias para determinar cuando son salvaguardados los activos de los sistemas computarizados, de qué manera se mantiene la integridad de los datos y como se logran los objetivos señalados sino también los de eficiencia y eficacia.
1.3.
ESTRUCTURA ORGANIZACIONAL Y FUNCIONES DE LA AUDITORIA EN INFORMÁTICA
La alta dirección de cualquier organización tiene que estar consciente de que la función de auditoria se debe ejercer con el criterio básico de independencia pe rsonal jerárquica, es decir, el desempeño de las actividades profesionales ni de auditoria emanados de los responsables e involucrados en el momento de la Auditoria. En la medida en que la dirección establezca políticas claras que especifiquen que la función de Auditor es asegurar el control y la seguridad de los elementos relacionados con la informática y que responde a una necesidad de la alta dirección, el apoyo y participación de las áreas del negocio fluirá de man era natural; asimismo, se evitará que esta situación que convierta en un proceso tenso y complicado, o en una actividad burocrática e improductiva. Se recomienda ubicar la función de auditoria en informática en un nivel organizacional que le asegure la independencia y soporte requerido de la alta dirección, con la finalidad de contar con una entidad confiable y eficiente. El control y la seguridad no pueden establecerse ni supervisarse desde los niveles inferiores de una empresa; su posición debe ser estratégica o
por perfiles
especiales del negocio, táctica. Nunca se ejercerán desde un nivel operativo. (Rodriguez Valencia, 2002)
Tipos de estructuras donde se ubica la auditoria en informática El objetivo primordial para la alta dirección del negocio es asegurar que el desempeño de las actividades de auditoria en informática se ejecuten oportuna y eficientemente, de forma que se logre que los auditores cuenten con:
Independencia funcional
Libertad de acción
Facultad para la toma de decisiones
Negociación con los niveles gerenciales
Involucramiento en proyectos de alto impacto en el negocio.
Las dimensiones de las estructuras antes mencionadas en dicha tabla prodran variar de acuerdo con el giro, el grado de penetración que tengan los servicios y productos de la función de auditoria en informática.
1.4.
RECONOCER LAS TECNOLOGÍAS DE LA INFORMACIÓN Y SUS CARACTERÍSTICAS
El conjunto de las tecnologías de la información constituye un gran laberinto de conceptos, técnicas, productos, dispositivos y sistemas. Por consiguiente, su consideración a vista de pájaro, para que no sea trivial, tiene que basarse en un modelo conceptual a la vez amplio y denso. La tecnología es un conjunto de conocimientos acerca de técnicas que pueden abarcar tanto el conocimiento en si como una materialización tangible en un proceso productivo, en un sistema operativo o en la maquinaria y el equipo físico de producción. Esta definición incluye la tecnología incorporada en un sistema operativo físico o intangible, asi como la tecnología incorporada, como
el
conocimiento y las técnicas (Fremman, 1974). La información es un conjunto organizado de datos que constituye un mensaje sobre un determinado ente o fenómeno. Por lo tanto, la tecnología de la información son las herramientas específicas, sistemas, programas informáticos, etc., utilizados para transferir información entre los interesados (PMBOK, 2012).
2. POLÍTICAS DE LA EMPRESA (REGLAS DE NEGOCIO) Las políticas son las líneas generales de conducta que deben establecerse con el fin de alcanzar sus objetivos; estas permiten al personal directivo de una
organización tomar decisiones en cualquier momento ante determinada situación, compensando así la imposibilidad en que se halla la dirección para tratar con cada empleado. La política es, entonces, una guía que indica el camino para facilitar las decisiones. Las políticas constituyen una orden indirecta por medio de la cual los niveles superiores de la organización tratan de determinar la conducta de los niveles inferiores. (Hernandez Hernandez, 2001)
2.1.
CONCEPTO DE POLÍTICA
Louis Allen la define como: “Una decisión permanente que se toma sobre ciertos asuntos y sus pro blemas”. Por
su parte, Samuel C. Certo la define como: “Un plan permanente que proporciona gu ías generales para canalizar el pensamiento administrativo en direcciones específicas”.
2.2.
IMPORTANCIA DEL MANUAL DE POLÍTICAS DE LA ORGANIZACIÓN
El conocer las políticas de un organismo social proporciona un marco de referencia en el que se basa toda acción administrativa. Las políticas proporcionan el antecedente para entender por qué las actividades se hacen en determinada forma. Un manual de políticas contiene por escrito las guías básicas para la acción de un organismo en general o una parte de este. G. R. Terry (Administración y control de oficinas ed. CECSA p. 647) dice que una política no existe en realidad hasta que esté por escrito. La importancia del manual de políticas radica en que representa un recurso técnico para ayudar a la orientación del personal. Puede ayudar a establecer políticas y procedimientos, o proporcionar soluciones rápidas a los malos entendidos y mostrar cómo puede contribuir el empleado al logro de los objetivos del organismo. Por otro lado, el manual de políticas libera a los administradores de tener que repetir información, explicaciones o instrucciones similares.
De lo anteriormente expuesto podemos concluir que en toda acción administrativa la comunicación tiene una importancia vital. Y los manuales administrativos constituyen una herramienta de comunicación muy importante en quehacer administrativo.
2.3.
CARACTERÍSTICAS DE LOS MANUALES DE POLÍTICAS DE LA ORGANIZACIÓN
Un manual no debe contener más que los apartados estrictamente necesarios para alcanzar los objetivos del manual previstos y mantener los contro les indispensables
Introducción: Tiene como propósito explicar al usuario del manual lo que es el documento, que se pretende cumplir a través de él, su alcance, como usar este manual y cuando se harán las revisiones y actualizaciones.
Índice: Es una lista de aportaciones en el manual, relación de los capítulos y páginas correspondientes que forman parte del documento.
Objetivos: Los objetivos son uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteración arbitraria; simplificar la responsabilidad por fallas o errores; facilitar las labores de auditoria; la evaluación del control interno y su vigilancia; que tanto los empleados como sus jefes conozcan si el trabajo se está realizando adecuadamente.
Alcance: Debe enfocarse a una explicación breve sobre la que abarca el manual de políticas.
Revisiones y recomendaciones: Indica con quien debe hacerse contacto para señalar cambios o correcciones, o hacer recomendaciones respecto al manual de políticas. Organigrama: En este apartado se representara gráficamente la
estructura orgánica que se pretende en las políticas. Declaraciones de Políticas: En este apartado se deberán presentar
por escrito, de manera narrativa las políticas por cada una de las unidades administrativas de que se trate.
3. INTERPRETACIÓN DEL MANUAL DE PROCEDIMIENTOS Un manual de procedimientos es un instrumento administrativo que apoya el quehacer cotidiano de las diferentes áreas de una empresa. En los manuales de procedimientos son consignados, metódicamente tanto las acciones como las operaciones que deben seguirse para llevar a cabo las funciones generales de la empresa. Además, con los manuales puede hacerse un seguimiento adecuado y secuencial de las actividades anteriormente programadas en orden lógico y en un tiempo definido.
,.
Los procedimientos, en cambio, son una sucesión cronológica y secuencial de un conjunto de labores concatenadas que constituyen la manera d e efectuar un trabajo dentro de un ámbito predeterminado de aplicación. Todo procedimiento implica, además de las actividades y las tareas del persona l, la determinación del tiempo de realización, el uso de recursos materiales, tecnológico y financiero, la aplicación de métodos de trabajo y de con trol para lograr un eficiente y eficaz desarrollo en las diferentes operaciones de una empresa.
3.1.
FUNCIONES, ROLES Y PROCEDIMIENTOS
Función: Es
una unidad especializada en la realización de una cierta actividad y es
la responsable del resultado. R ol: Es
un conjunto de actividades y responsabilidades asignadas a una persona o
un grupo. Una persona o grupo puede desempeñar simultáneamente más de un rol. Es un papel específico que juega un individuo o cosa especifica en un determinado contexto. Procedimiento:
Es un conjunto de actividades interrelacionadas orientadas a
cumplir un objetivo específico.
3.2.
CONCEPTO DE MANUAL
En nuestro país (México) los manuales son una técnica relativamente nueva, todavía no se sabe a ciencia cierta que es un manual administrativo, cuantos tipos de manual hay, para que pueden servir, como se elaboran, como se usan, etcétera. A continuación se dan algunas definiciones sobre lo que es un manual. Según Duhalt Kraus Miguel A., un manual es: “Un documento que contiene, en una forma ordenada y sistemática, información y/o
instrucciones sobre historia, organización, política y procedimiento de una empresa, que se consideran necesarios para la mejor ejecución del trabajo”.
Para Terry G.R., un manual como: “Un registro inscrito de información e instrucciones que conciernen al empleado y
pueden ser utilizados para orientar los esfuerzos de un empleado en un a empresa”. Continolo G. define al manual como: “Una expresión formal de todas las informaciones e instrucciones necesarias para
operar en un determinado sector; es una guía que permite encaminar en la dirección adecuada los esfuerzos del personal operativo”.
De acuerdo con las anteriores definiciones, un manual es un instrumento de co ntrol sobre la actuación del personal, pero también es algo más, ya que ofrece la posibilidad de dar una forma más definida a la estructura organizacional de la empresa, que de esta manera pierde su carácter nebuloso y abstracto, para convertirse en una serie de normas definidas. Según plantea Continolo G. (Dirección y organizaciones del trabajo administrativo, p. 432, ed. DEUSTO): “Un manual correctamente redactado puede ser un valioso instrumento
administrativo. Se puede comprobar esto si consideramos que, aun siendo unos simples puntos de llegada, los manuales vienen a ser las rutas por cuales opera todo el aparato organizacional, es decir, son la manifestación concreta de una
mentalidad directiva orientada hacia la relación sistemática de las diversas funciones y actividades”.
3.3.
TIPOS DE MANUALES DE LA ORGANIZACIÓN Y SUS APARTADOS
Este manual puede clasificarse de acuerdo a varios criterios tales como el área de ampliación, el contenido, el grado de detalle, el personal al que va dirigido. En este caso solo consideró el primer criterio enunciado. Manuales generales de organización. Son aquellos que abarcan toda una empre sa. Por lo común, los manuales generales de organización contienen una parte en la que en la que incluyen los antecedentes históricos de la empresa. Manuales específicos de organización. Son aquellos que se ocupan de una función operacional, un departamento en particular o una sección de la organización. Contiene un apartado referente a la descripción de puestos.
CONCLUSION Las actividades ejecutadas por los profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta dirección, etc.).Dicha información debería ser la pauta para la entrega del informe de auditoría en informática el cual debe contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización permanente de las tecnologías de la información en el negocio. El conjunto de acciones que realiza el personal especializado en las áreas de auditoria y de informática para el aseguramiento continuo de que los recursos de informática operen en un ambiente de seguridad y control eficiente, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la información que circula por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etcétera. Proceso metodológico que tiene el propósito principal de evaluar los recursos humanos, materiales, financieros, tecnológicos, etc.) Relacionados con la función de informática para garantizar al negocio que dicho conjunto opere con un criterio de integración y desempeño de niveles altamente. En esta investigación se mencionaron los conceptos relacionados a la Auditoria y su organización, como también los manuales de las políticas que deben cumplirse para que la Auditoria se lleve a cabo de una manera efectiva.
BIBLIOGRAFÍA Echenique Garca, J. A. (2001). AUDITORIA EN INFORMATICA. Mexico, D.F.: McGraw Hill. Hernandez Hernandez, E. (2001). Auditoria en Informatica segunda Edicion . Mexico, D.F. : CECSA. Rodriguez Valencia, J. (2002). Como elaborar y usar manuales administrativos tercera edición. Mexico D.F.: ECAFSA.
