Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases.
1) Síntomas de descoordinación y desorganización:
No coinciden los objetivos de la informática de la empresa y de la propia compañía.
2) Síntomas de mala imagen e insatisfacción de los usuarios:
No se atienden las peticiones de cambios de los usuarios. Ejemplo: cambio de Software en los computadores.
No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
3) Síntomas de debilidades económico-financiero:
Incremento desmesurado de costes
Necesidad de justificación de inversiones informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones)
Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al órgano que realizó el pedido).
4) Síntomas de inseguridad: Evaluación de nivel de riesgos.
Seguridad lógica
Seguridad física
Confidencialidad
Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección requisitos
21
legales, protección de confidencialidad y cobertura ante errores y fraudes. (Ramírez & Álvarez, 2014)
Según Hernández (2014), “Conceptualmente la auditoría toda y cualquiera auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”.
De aquí se deduce la importancia de establecer una opinión objetiva fundada en las evidencias encontradas, sobre las diferencias existentes entre el planteamiento del funcionamiento de cualquier área a auditar y su ejecución real en la organización, y comunicarlas a las personas correspondientes. Se plantea que una de las formas de Auditoría Informática aplicado a Entidades Públicas es el proceso orientado a la identificación de riesgos y controles en la gestión de las tecnologías de información, para su efectivo apoyo al logro de los objetivos de la institución, para el cumplimiento de sus metas estratégicas, asociado a la nueva economía digital en la que se desenvuelve.
Por un lado, la identificación de riesgos nos sirve para determinar el nivel de exposición de la institución al inadecuado uso de los servicios que brinda la tecnología de la información, pero además permite gestionar los riesgos, implementando controles que están orientados a evitarlos, transferirlos, reducirlos o asumirlos gerencialmente. Por tanto, es necesario definir ambos conceptos: riesgos y controles:
Riesgos: Un riesgo impide que la entidad logre alcanzar los objetivos establecidos como negocio y que en el tiempo dicha situación genere debilidades en el control interno
Control: Un control establece las medidas implementadas en las entidades con la finalidad de reducir los riesgos existentes y proteger los activos más importantes.
En la siguiente figura se visualiza la estrategia utilizada para la implantación de las mejores prácticas de control. Que toma en cuenta las mejores recomendaciones internacionales, como las contenidas en el COBIT, las utilizadas por empresas de
22
prestigio internacional, las normas internacionales de auditoría, entre otros; los que permiten obtener altos niveles de seguridad, fiabilidad y conformidad en la gestión de la tecnología de la información.
Los riesgos de tecnologías de información que afectan a las entidades Públicas están relacionados con 3 aspectos básicamente:
Dependencia en el uso de tecnología de información: Relacionada con el uso que efectúa la Entidad y la importancia que representa para el desarrollo de sus operaciones.
Confiabilidad en el uso de tecnología de información: Relacionada con resultados del procesamiento de datos y que no requieren trabajo manual por los usuarios para complementar la información.
Cambios en la tecnología de información: Relacionado con la automatización de los procesos principales de la Entidad y la adecuación de esos procesos automatizados a nuevas necesidades de la Entidad motivados por regulación o por modernización para mantenerse competitivos o lograr su acreditación. Un proceso de Auditoría Informática tiene como objetivos la implantación de nuevos y mejores controles, que permitan entregar servicios tecnológicos con calidad y eficiencia.
Fuente: Guadalupe Ramírez R y Ezzard Álvarez D.(2003). Auditoría a la Gestión
de las Tecnologías y Sistemas de la Información. Industrial Data,6 (1) pag 102.
23
Las etapas para establecer un sistema de control son las siguientes:
Establecimiento de estándares: Es la acción de determinar el/los parámetro/s sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de esos parámetros considerado deseable. Este es el primer elemento a establecer para instrumentar un sistema de control. En esta especificación se deberán incluir, entre otros, la precisión con que se medirá el parámetro a verificar, el método de medición y el instrumento sensible que se aplicará, la periodicidad en la aplicación y hasta los responsables de esta tarea.
Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables. En esta etapa se investiga (más o menos extensamente) acerca de las causas de las desviaciones que acompañarán un informe con las discrepancias detectadas, para ser fuente de información de la siguiente fase. (CASTELLO Ricardo J., (2006))
La determinación de acciones correctivas es la tercera etapa. Lleva implícita una decisión: corregir o dejar como está. Obviamente será más certera y económica la solución de la discrepancia mientras más correcto sea el diagnóstico hecho en la etapa anterior.
La ejecución de las acciones correctivas es el último paso. Sin éste, el control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una acción de control.