|
|
Consiste en la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio de conocimientos profesionales se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para el control del cliente.
PROCESAMIENTO ELECTRÓNICO DE DATOS
Al evaluar la información automática, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del sistema y los controles que se diseñaron en el sistema de procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos que en los métodos manuales se basaron en juicios humanos y la división de labores.
Muchos de los controles en ambientes informáticos, pueden combinarse en los programas de computadoras con el proceso manual.
CARACTERÍSTICAS QUE DISTINGUEN AL PROCESAMIENTO CON COMPUTADORA DEL PROCESAMIENTO MANUAL
El sistema Procesamiento Electrónico de Datos (PED) puede producir una pista o huella de transacciones para fines de auditoria que tan solo sea aplicable por un breve periodo,(ventas por teléfono).
Con frecuencia existe menos evidencia documental de los procedimientos del control del sistema computarizado que en sistemas manuales.
La información dentro de los sistemas manuales es visible.
La menor participación humana en el PED puede ocultar errores que si pueden observarse con los sistemas manuales.
La información de los sistemas manuales puede ser más vulnerable a desastres físicos, manipulación no autorizada y mal funcionamiento mecánico
OBJETIVOS DE LA AUDITORÍA INFORMÁTICA:
La Auditoría del Sistema de Información en la empresa, a través de la evaluación y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la eficacia del sistema mecanizado de información en que se sustenta.
Los aspectos relativos al control de la Seguridad de la Información tienen tres líneas básicas en la auditoria del sistema de información:
Aspectos generales relativos a la seguridad: En este grupo de aspectos habría que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmósferas agresivas, agresiones y posibles sabotajes, seguridad físicos de las instalaciones, del personal informático, etc.
Aspectos relativos a la confidencialidad y seguridad de la información: Estos aspectos se refieren no solo a la protección del material, el logicial, los soportes de la información, sino también al control de acceso a la propia información (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).
Aspectos jurídicos y económicos relativos a la seguridad de la información: En este grupo de aspectos se trata de analizar la adecuada aplicación del sistema de información en la empresa en cuanto al derecho a la intimidad y el derecho a la información, y controlar cada vez más frecuentes delitos informáticos que se cometen en la empresa.
Las propias aplicaciones de las tecnologías de la información y cada vez más amplia aplicación en la empresa, ha propiciado la aparición de estos delitos informáticos. En general, estos delitos pueden integrarse en dos grandes grupos: delitos contra el sistema informático y delitos cometidos por medio del sistema informático. En el primer grupo se insertan figuras delictivas tipificadas en cualquier código penal, como hurto, robo, revelación de secretos, etc., y otro conjunto de delitos que ya no es tan frecuente encontrar, al menos con carácter general, perfectamente tipificados, como el denominado "hurto de tiempo", destrucción de logiciales y datos, delitos contra la propiedad (material, terminales, cintas magnéticas,...).
De la misma manera, a través de la auditoria del sistema de información será necesario controlar el adecuado equilibrio entre riesgos y costes de seguridad y la eficacia del propio sistema.
En cuanto a la Eficacia del Sistema, esta vendrá determinada, básicamente, por la aportación a la empresa de una información válida, exacta, completa, actualizada y oportuna que ayude a la adopción de decisiones, y todo ello medido en términos de calidad, plazo y coste. Sin el adecuado control, mediante la realización de auditorías al sistema de información.
ÁREAS DE APLICACIÓN DE LA AUDITORIA INFORMÁTICA
Algunos campos de aplicación de la informática son las siguientes:
Investigación científica y humanística: Se usan la las computadoras para la resolución de de cálculos matemáticos, recuentos numéricos, etc. Algunas de estas operaciones:
Resolución de ecuaciones.
Análisis de datos de medidas experimentales, encuestas etc.
Análisis automáticos de textos.
Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:
Análisis y diseño de circuitos de computadora.
Cálculo de estructuras en obras de ingeniería.
Minería.
Cartografía.
Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. Ejemplos de este campo de aplicación son:
Documentación científica y técnica.
Archivos automatizados de bibliotecas.
Bases de datos jurídicas.
Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. Existen programas que realizan las siguientes actividades:
Contabilidad.
Facturación.
Control de existencias.
Nóminas.
Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo haría una persona inteligente. Aplicaciones como:
Reconocimiento del lenguaje natural.
Programas de juego complejos (ajedrez).
Instrumentación y control: Instrumentación electrónica, electromedicina, robots industriales, entre otos.
OTRAS APLICACIONES
Otros campos de aplicación no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imágenes.
LA AUDITORÍA A TRAVÉS DEL COMPUTADOR (EJEMPLO)
Auditoría operacional: es la que se encarga de promover la eficiencia en las operaciones, además de evaluar la calidad de las operaciones.
La Auditoría Operacional es una actividad que conlleva como propósito fundamental el préstamo de un mejor servicio a la administración proporcionándole comentarios y recomendaciones que tiendan a mejorar la eficiencia de las operaciones de una entidad.
Aun cuando la costumbre ha asignado el nombre de Auditoría Operacional, en el ejercicio de su práctica el auditor operacional no únicamente debe revisar la operación en sí habrá de extenderse a la función de esa operación.
Ejemplo:
Si se revisa la operación de facturación, esta se inicia, en el departamento de embarques y concluye al enviarse la factura para su cobro, en este momento el auditor debe cerciorarse que efectivamente es recibida y automáticamente ya alcanzó la operación de crédito y cobranzas.
La Auditoría Operacional debe ser una función operacional dada, en el ejemplo se denominará Auditoría operacional a la función de Facturación. La Auditoría Operacional es un gran reto a la capacidad profesional del Contador Público como Auditor Operacional.
Para una buena ejecución de esta técnica requiere de: Introducirse en otras disciplinas como son: Análisis de sistemas, Ingeniería Industrial (para revisar costos y producción), Mercadotecnia (para revisar ventas), Relaciones Industriales, etc.
Con la conclusión anterior puede surgir la duda de cómo un individuo, como el auditor operacional, que no tiene ningún entrenamiento específico sobre cierta área, puede ser útil. La respuesta a esta duda descansa en los aspectos de control, es decir, que se requiere de una definición clara de los objetivos, así como contar con elementos para comparar lo que se está realizando contra esos objetivos con el propósito de determinar desviaciones y analizar y evaluar éstas para así poder tomar medidas correctivas acordes a las circunstancias.
El papel de la auditoría en el ambiente PED.
La incorporación tecnológica a las empresas requiere de políticas de control y sistemas de evaluación que protejan la información empresarial. Ésta variedad de tendencias tecnológicas e información, deben estar acompañadas de un buen sistema de control interno PED que minimice los riegos informáticos, ya que estos se han convertido en una de las causas más graves y peligrosas dentro de una organización; además de otros factores tales como: la resistencia al cambio, la mala definición de los requerimientos, el diseño inadecuado de estándares de seguridad, políticas de control y normatividad deficientes. Hoy en día, en el mercado se encuentran soluciones de Software Empresarial que incluyen base de datos middleware, infraestructura de hardware y servicios empaquetados y otros tipos de productos que ofrecen versiones ajustadas a las necesidades de los empresarios, como herramientas que realizan tareas financieras de rastrear cotizaciones y facturas para clientes, aceptar pagos y devoluciones, personalizar formas contables, centralización de la información de clientes, correos electrónicos y crear campañas de mercadotecnia por Internet.
Las tendencias tecnológicas y su relación con los procesos operativos y contables deben ubicar la auditoría en un lugar estratégico en la organización, donde el auditor debe apoyarse en la utilización de técnicas de auditoría a través del computador para poder llevar a cabo la evaluación del control PED. En concordancia con ésta nueva responsabilidad la auditoría exige un cambio conceptual, metodológico y de actitud profesional, donde su función genere de manera permanente un valor agregado en las organizaciones. Los nuevos enfoques permitirán plantear un marco de referencia para identificar el papel que podría tener la auditoría en este nuevo rol y la función de la auditoría informática como eje central del control interno en las empresas que llevan a cabo operaciones de procesamiento electrónico de datos e información, concepción que no es fácil.
En ese mismo sentido, Wand y Weber (1990:pp.87-107), consideran que los sistemas de
procesamiento de datos que los auditores examinan y evalúan se modifican con frecuencia, por tanto, el auditor debe decidir, cuál es el efecto de los cambios que el sistema tiene en los controles necesarios para garantizar que el sistema sea confiable, y sobre la auditoría, los procedimientos utilizados en determinar si los controles están en el lugar de trabajo2.
Entonces, los sistemas de control y procedimientos de auditoría, deben dejar una pista de auditoría, el diseño de un rastreo de auditoría para sistemas contables basados en computación no es tarea sencilla - Weber (1985), concluye además que “las capacidades operacionales de un sistema que soporta el rastro de auditoría debería proveer presuntamente la creación, supresión y las capacidades de recuperación dadas la necesidad del sistema. Este es un asunto que cobra mayor importancia en la implementación de sistemas avanzados por que se pueden generar más errores que atenten contra la integridad del rastro de auditoría. Diseñar un sistema que tenga la capacidad de ser modificado es una tarea compleja”.
Usando un modelo entidad-relación, se puede describir el diseño de un sistema de rastreo de auditoría que provee un completo paquete de capacidades para las entradas de un rastro de auditoría: creación, supresión, recuperación y modificación. En particular una estrategia de modificación denominada reparación generativa es desarrollada permitiendo un historial de modificaciones para que el rastro de auditoría se mantenga intacto”.
El rastro de auditoría en los sistemas de computación es una tarea principal en el papel de la auditoría, y la literatura sobre el diseño de rastro de auditoría para sistemas basados en computación podría dar la impresión de que el diseño es claramente delimitada y definida, Sin embargo, a pesar de las complejidades inherentes al concepto del rastro de auditoría su diseño e interacción funcional con la auditoría debe considerar el creciente número de sistemas avanzados como sistemas de transferencia electrónica de fondos, sistemas de administración de base de datos y sistemas distribuidos.
Por lo anterior, se considera importante al estudiar el papel de la auditoría y mencionar aquellos aspectos teóricos que dan cuenta de la relación entre la auditoría y el control interno.
