Síntomas de necesidad de una auditoria informática

1.2.6. Auditoria informática

1.2.6.1. Síntomas de necesidad de una auditoria informática

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases.

 Síntomas de descoordinación y desorganización:

o No coinciden los objetivos de la informática de la empresa y de la propia compañía.

AUDITORIA

REAL

_IDEAL

COMPARACIONES DIFERENC IA OBSERVACION ES

Figura Nº 1: Esquema del concepto clásico de Auditoría

Fuente:http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf /auditoria.pdf

 Síntomas de mala imagen e insatisfacción de los usuarios:

o No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio de Software en los computadores.

o No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

o No se cumplen en todos los casos los plazos de entrega de resultados periódicos.

 Síntomas de debilidades económico-financiero:

o Incremento desmesurado de costes.

o Necesidad de justificación de inversiones informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

o Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizó el pedido).

 Síntomas de inseguridad: Evaluación de nivel de riesgos:

o Seguridad lógica.

o Seguridad física.

o Confidencialidad.

Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

 Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.

 Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. (Álvarez, 2015)

(Hernández Alonso, 2011) “conceptualmente la auditoría toda y cualquiera auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”.

De aquí se deduce la importancia de establecer una opinión objetiva fundada en las evidencias encontradas, sobre las diferencias existentes entre el planteamiento del

funcionamiento de cualquier área a auditar y su ejecución real en la organización, y comunicarlas a las personas correspondientes.

Se plantea que una de las formas de Auditoría Informática aplicado a Entidades Públicas es el proceso orientado a la identificación de riesgos y controles en la gestión de las tecnologías de información, para su efectivo apoyo al logro de los objetivos de la institución, para el cumplimiento de sus metas estratégicas, asociado a la nueva economía digital en la que se desenvuelve. (Ramírez & Álvarez, 2008)

Por un lado la identificación de riesgos nos sirve para determinar el nivel de exposición de la institución al inadecuado uso de los servicios que brinda la tecnología de la información, pero además permite gestionar los riesgos, implementando controles que están orientados a evitarlos, transferirlos, reducirlos o asumirlos gerencialmente. Por tanto, es necesario definir ambos conceptos: riesgos y controles:

 Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos establecidos como negocio y que en el tiempo dicha situación genere debilidades en el control interno

GESTIÓN DE LAS TECNOLOGÍAS

Gestión Ideal de las

Tecnologías de Información

Gestión Real de las

Tecnologías de Información Comparacione Diferencia s RIESGOS CONTROLE S

Figura Nº 2: Esquema de Auditoría Informática de la gestión de tecnologías de información

Fuente:http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria .pdf

 Control: Un control establece las medidas implementadas en las entidades con la finalidad de reducir los riesgos existentes y proteger los activos más importantes. (Álvarez, 2015)

En la siguiente figura se visualiza la estrategia utilizada para la implantación de las mejores prácticas de control. Es un proceso de benchmarking. Que toma en cuenta las mejores recomendaciones internacionales, como las contenidas en el cobit, las utilizadas por empresas de prestigio internacional, las normas internacionales de auditoría, entre otros; los que permiten obtener altos niveles de seguridad, fiabilidad y conformidad en la gestión de la tecnología de la información.

Los riesgos de tecnologías de información que afectan a las entidades Públicas están relacionados con 3 aspectos básicamente:

 Dependencia en el uso de tecnología de información: Relacionada con el uso que efectúa la entidad y la importancia que representa para el desarrollo de sus operaciones.

 Confiabilidad en el uso de tecnología de información: Relacionada con resultados del procesamiento de datos y que no requieren trabajo manual por los usuarios para complementar la información. Proceso de Benchmarking ¿Cómo eliminarlos, transferirlos y reducirlos? RIESGOS _CONTROLES MEJORES PRÁCTICAS Estándares Internacionales COBIT NAGU MAGU

Figura Nº 3: Esquema de implementación de controles

Fuente:http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/ pdf/auditoria.pdf

 Cambios en la tecnología de información: Relacionado con la automatización de los procesos principales de la entidad y la adecuación de esos procesos automatizados a nuevas necesidades de la entidad motivados por regulación o por modernización para mantenerse competitivos o lograr su acreditación. (Ramírez & Álvarez, 2008)

Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos y mejores controles, que permitan entregar servicios tecnológicos con calidad y eficiencia, que a su vez permitirá que cualquier empresa alcance un mejor posicionamiento y acreditación dentro de las instituciones de este ramo tanto dentro como fuera del país, apoyando de esta manera a los distintos procesos que está emprendiendo para alcanzar la visión que se ha planteado. (Ramírez & Álvarez, 2008)

Figura Nº 4: Visión sistemática de la auditoria informática

Fuente:http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/audito ria.pdf

Las etapas para establecer un sistema de control son las siguientes:

 Establecimiento de estándares: Es la acción de determinar el los parámetros sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de esos parámetros

considerado deseable. Este es el primer elemento a establecer para instrumentar un sistema de control. En esta especificación se deberán incluir, entre otros, la precisión con que se medirá el parámetro a verificar, el método de medición y el instrumento sensible que se aplicará, la periodicidad en la aplicación y hasta los responsables de esta tarea.

 Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables. En esta etapa se investiga (más o menos extensamente) acerca de las causas de las desviaciones que acompañarán un informe con las discrepancias detectadas, para ser fuente de información de la siguiente fase.

 La determinación de acciones correctivas es la tercera etapa. Lleva implícita una decisión: corregir o dejar como está. Obviamente será más certera y económica la solución de la discrepancia mientras más correcto sea el diagnóstico hecho en la etapa anterior.

 La ejecución de las acciones correctivas es el último paso. Sin éste, el control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una acción de control. (Castello, 2006)

In document Planificación informática para la gestión operativa en el Gobierno Municipal del cantón de Patate (página 31-36)