Concepto de auditoria en informática y diversos tipos de auditoria AUDITORIA INTERNA/EXTERNA CONTABLE/FINANCIERA
Y
Control Interno: Comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la administración. Objetivos básicos del control interno.
Protección de los activos de la empresa Obtención de información financiera veraz, confiable y oportuna. La promoción de la eficiencia en la operación del negocio. Lograr que en la ejecución de las operaciones se cumplan las políticas establecidas por los administradores de la empresa.
Objetivos generales del control interno Objetivos de autorización Todas las operaciones deben realizarse de acuerdo con las autorizaciones establecidas según los criterios establecidos por el nivel apropiado de la administración. Objetivos del procesamiento y clasificación de transacciones Todas las operaciones deben registrarse para permitir la preparación de estados financieros en conformidad con los principios de contabilidad generalmente aceptados. Objetivo de la salvaguarda física El acceso a los activos solo debe permitirse de acuerdo con autorizaciones de la administración. Objetivo de verificación y evaluación Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a los intervalos razonables, y se deben tomar las medidas apropiadas respecto a las diferencias que existan. El área de informática puede interactuar de dos maneras en el control interno: La primera es servir de herramienta para llevar a cabo un adecuado control interno, y la segunda es tener un control interno del área y del departamento de informática.
AUDITORIA ADMINISTRATIVA/OPERACIONAL Se lleva a cabo una revisión y consideración de la organización de una empresa con el fin de precisar: Perdidas y deficiencias. Mejores métodos. Mejores formas de control. Operaciones más eficientes. Mejor uso de los recursos físicos y humanos. La auditoria administrativa debe llevarse a cabo como parte de la auditoria del área de informática. El departamento de informática se deberá evaluar de acuerdo con: Objetivos, metas, planes, políticas y procedimientos. Organización Estructura orgánica Funciones y niveles de autoridad y responsabilidad. Además es importante tener en cuenta los siguientes factores:
Elemento humano. Organización (manual de organización). Integración. Dirección. Supervisión Comunicación y coordinación. Delegación Recursos materiales Recursos técnicos. Recursos financieros. Control.
Los procedimientos de auditoria con informática varían de acuerdo con la filosofía y técnica de cada organización y departamento de auditoria en particular. Sin embargo existen ciertas técnicas y/o procedimientos que son compatibles en la mayoría de los ambientes de informática. Estas técnicas caen en dos categorías: métodos manuales y métodos asistidos por computadoras.
Técnicas asistidas por computadoras
El auditor utiliza la computadora en la ejecución de la auditoría, ya que le permite ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo. Existen paquetes de computadora que permiten elaborar auditorias a sistemas financieros y contables que se encuentran en medios informáticos. Una computadora puede ser empleada para: Transmisión de la información. Verificación de cifras totales y cálculos para comprobar la exactitud de los reportes de salida. Pruebas de los registros de los archivos para verificar la consistencia lógica. Clasificación de datos y análisis de la ejecución de procedimientos Selección e impresión de datos mediante técnicas de muestreo y confirmaciones. Simular procesos de transacciones para verificar conexiones y consistencia de los programas de computadora.
Técnicas avanzadas de auditoria con informática Cuando en una instalación se encuentran operando sistemas avanzados de cómputo, como procesamiento en línea, bases de datos y procesamiento distribuido, se puede evaluar el sistema empleando técnicas avanzadas de auditoria. Estos métodos requieren un experto y, por lo tanto, pueden no ser apropiados si el departamento de auditoría no cuenta con el entrenamiento adecuado.
Pruebas Integrales Simulación Revisiones de acceso Operaciones en paralelo Evaluación de un sistema con datos de prueba Registros extendidos Totales aleatorios de ciertos programas. Selección de determinado tipo de transacciones como auxiliar en el análisis de un archivo histórico. Resultados de ciertos cálculos para comparaciones posteriores.
Planeación de los procedimientos de auditoría con informática El propósito principal de la planeación de las medidas de auditoría es incluir dentro de las aplicaciones las facilidades que permitan realizar las actividades de auditoría de manera más fluida. Se requieren dentro de los programas rutinas que permitan accesar la información y sistemas independientes para la selección, sumarización, comparación y emisión de reportes.
Es de suma importancia la presencia del auditor interno en el diseño, desarrollo e implementación del sistema para evaluar que la información requerida por el usuario quede cubierta y se cumpla con el grado de control que necesita la información procesada por el sistema, de acuerdo con los objetivos y políticas de la organización.
CONCEPTO DE AUDITORIA EN INFORMÁTICA Es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el proceso de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización mas eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.
Influencia de la auditoría Factores que influyen en la organización a través de control y la auditoría en informática: Necesidad de controlar el uso evolucionado de las computadoras. Los altos costos que producen los errores en una organización. Abuso en las computadoras. Posibilidad de pérdida de capacidades de procesamiento de datos. Posibilidad de decisiones incorrectas. Valor del hardware, software y personal. Necesidad de mantener la privacidad individual. Posibilidad de pérdida de información o de mal uso de la misma. Necesidad de mantener la privacidad de la organización.
Pérdida de información Además de los datos, el hardware de computadora, el software y personal son recursos críticos de la organización. Aun con un seguro adecuado, las perdidas intencionales o no intencionales pueden causar daños considerables. El software corrompido o destruido puede impedir que la organización no pueda continuar con sus operaciones, si no es prontamente recobrado. Si el software es robado, se puede proporcionar información confidencial a la competencia, y si el software es de su propiedad, pueden tenerse pérdidas en ganancias o juicios legales. El personal siempre es un recurso valioso, sobre todo ante la falta de personal de informática bien entrenado.
CAMPO DE LA AUDITORIA EN INFORMATICA El campo de acción de la auditoría en informática es: La evaluación administrativa del área de informática. La evaluación de los sistemas y procedimientos, y de la eficiencia en el uso de la información.
La evaluación del proceso de datos, de los sistemas y equipos de cómputo. Seguridad y confidencialidad de la información. Aspectos legales de los sistemas y de la información.
AUDITORIA DE PROGRAMAS Es la evaluación de la eficiencia técnica, del uso de diversos recursos (cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad, con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organización. Para que la auditoria de programas se eficiente, las personas que la realicen han de poseer conocimientos profundos sobre sistemas operativos, sistemas de administración de bases de datos, lenguajes de programación, utilerías, medios de comunicación y acerca del equipo en que fue escrito el programa. Para optimizar los programas se deberá tener pleno conocimiento y aceptación del sistema o sistemas que usan ese programa, y disponer de toda la documentación detallada del sistema total.