Control Interno Informático
El Control Interno Informatico controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales.
La misión del Control Interno Informatico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas.
Control Interno Informatico suele ser un órgano staff de la Dirección del Departamento de Informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
- Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijadas, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
- Asesorar sobre el conocimiento de las normas.
- Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorias externas al Grupo.
- Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informatico, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.
Realizar en los diferentes sistemas (centrales, departamentos, redes locales, PCS, etc y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas.
- El cumplimiento de procedimientos, normas y controles dictados. Merece resaltarse la vigilancia sobre el control de cambios y versiones del software.
- Controles sobre la producción diaria.
- Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informatico.
- Controles en las redes de comunicaciones.
- Controles en los sistemas microinformáticos.
- Controles sobre el software de base.
- La seguridad informática (su responsabilidad puede estar asignada a control interno o bien puede asignársele la responsabilidad de control dual de la misma cuando esta encargada a otro órgano):
- Usuarios, responsables y perfiles de uso de archivos y bases de datos.
- Normas de seguridad.
- Control de información clasificada.
- Control dual de la seguridad informática.
- Licencias y relaciones contractuales con terceros.
- Asesorar y transmitir cultura sobre el riesgo informatico.
-
- Auditoria Informática
La Auditoria Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoria informática sustenta y confirma la consecuencia de los objetivos tradicionales de la auditoria:
- Objetivos de protección de activos e integridad de datos.
- Objetivos de gestión que abarcan, no solamente los de protección de activos sino también los de eficacia y eficiencia.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informaticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoria y otras técnicas asistidas por ordenador.
El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informatico:
- Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes.
- Revisar y juzgar los controles implantados en los sistemas informaticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.
- Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
-
- Control Interno y Auditoria Informáticos
La evolución de ambas funciones ha sido espectacular durante la última década. Muchos controles internos fueron una vez auditores. De hecho, muchos de los actuales responsables de Control Interno Informatico recibieron información en seguridad informática tras su paso por la formación en auditoria. Numerosos auditores se pasan al campo de Control Interno Informatico debido a la similitud de los objetivos profesionales de control y auditoria, campos análogos que propician una transición natural.
Aunque ambas figuras tienen objetivos comunes, existen diferencias que convienen matizar:
CONTROL INTERNO
INFORMATICO |
AUDITOR INFORMATICO |
SIMILITUDES |
|
DIFERENCIAS | Análisis de los controles en el día a día.
Informe a la Dirección del Dpto.- de Informática. Solo personal interno. El alcance de sus funciones es únicamente sobre el Dpto. de Informática |
Análisis de un momento informatico determinado.
Informa a la Dir. General de la Organización. Personal interno / externo Tienen cobertura sobre todos los componentes de los sistemas de información de la organización. |
2. SISTEMA DE CONTROL INTERNO INFORMATICO
2.1 Definición y tipos de controles internos
Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto último habrá que analizar el costo – riesgo de su implantación.
Los controles internos que se utilizan en el entorno informatico continúan evolucionando hoy en día a medida que los sistemas informaticos se vuelven complejos. Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.
Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayoría de las cuales son automáticos. Resulta interesante observar, sin embargo, que hasta en los sistemas servidor / cliente avanzados, aunque algunos controles son completamente automáticos, otros son completamente manuales, y muchos dependen de una combinación de elementos de software y de procedimientos.
Históricamente, los objetivos de los controles informaticos se han clasificado en las siguientes categorías:
- Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
- Controles defectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
- Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Como el concepto de controles se originó en la profesión de auditoria, resulta importante conocer la relación que existe entre los métodos de control, los objetivos de control y los objetivos de auditoria. Se trata de un tema difícil por el hecho de que, históricamente, cada método de control ha estado asociado unívocamente con un objetivo de control (por ejemplo, la seguridad de ficheros de datos se conseguía sencillamente manteniendo La sala de ordenadores cerrada con llave.
Sin embargo, a medida que los sistemas informaticos se han vuelto más complejos, los controles informaticos han evolucionado hasta convertirse en procesos integrados en los que se atenúan las diferencias entre las categorías tradicionales de controles informaticos.
Por ejemplo, en los actuales sistemas informaticos puede resultar difícil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de métodos de control satisface casi totalmente los tres objetivos de control.
La relación que existe entre los métodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:
- Objetivo de Control de Mantenimiento: asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñadas, probadas, adoptadas e implantadas.
- Objetivo de Control de seguridad de programas: garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.
2.2 Implantación de un sistema de controles internos informaticos
Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, así como para identificar posibles riesgos.
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:
- Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
- Configuración del ordenador base: configuración del soporte físico, entorna del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y Conjunto de datos.
- Entorno de aplicaciones: procesos de transacciones, sistemas de gestión de bases de datos y entornos de procesos distribuidos.
- Productos y herramientas: software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
- Seguridad del ordenador base: identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informaticos habrá que definir:
-
- Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base para el diseño e implantación de los sistemas de información y de los controles correspondientes.
- Administración de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
- Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
- Gestión del cambio: separación de las pruebas y la producción en el ámbito de software y controles de procedimientos para la migración de programas software aprobados y probados.
CONTROL INTERNO Y AUDITORIA
Política de seguridad
Plan de seguridad
Normas y Procedimientos
Medidas Tecnológicas Implantadas
FORMACIÓN Y MENTALIZACIÓN
La implantación de una política y cultura sobre la seguridad requiere que sea realizada por fases y esta respaldada por la Dirección. Cada función juega un papel importante en las distintas etapas:
Dirección de Negocio o Dirección de Sistemas de Información: Han de definir la política y/o directrices para los sistemas de información sobre la base de las exigencias del negocio, que podrán ser internas o externas.
Dirección de Informática: Ha de definir las normas de funcionamiento del entorno informatico y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento.
Control Interno Informatico: Ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmaran en los oportunos procedimientos de control interno y podrán ser preventivos o de detección. Realizara periódicamente la revisión de los controles establecidos de Control Interno Informatico informando de las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles, así como transmitirá constantemente a toda la organización de informática la cultura y políticas del riesgo informático.
Auditor interno / externo informatico: Ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Dirección de Negocio y la Dirección de Informática.
Informara a la alta Dirección de los hechos observados al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que pueden originarse.
La creación de un sistema de control informatico es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informatico.
A continuación se indican algunos controles internos ( no todos los que deberían definirse) para sistemas de información, agrupados por secciones funcionales, y que serian los que Control Interno Informatico y Auditoria Informática deberían verificar para determinar su cumplimiento y validez:
- Controles generales organizativos
-
- Políticas: deberán servir de base para la planificación, control y evaluación por la Dirección de las actividades del Departamento de Informática.
- Planificación:
-
- Plan Estratégico de Información, realizado por los órganos de la Alta Dirección de la Empresa donde se definen los procesos corporativos y se considera el uso de las diversas tecnologías de información así como las amenazas y oportunidades de su uso o de su ausencia.
- Plan informatico, realizado por el Departamento de Informática, determina los caminos precisos para cubrir las necesidades de la Empresa plasmándolas en proyectos informaticos.
- Plan General de Seguridad (Fisica y lógica), que garantice la confidencialidad, integridad y disponibilidad de la información.
- Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos.
- Estándares: que regulen la adquisición de recursos, el diseño, desarrollo y modificación y explotación de sistemas.
- Procedimientos: que describan la forma y las responsabilidades de ejecutoria para regular las relaciones entre el Departamento de Informática y los departamentos usuarios.
- Organizar el Departamento de Informática en un nivel suficientemente superior de estructura organizativa como para asegurar su independencia de los departamentos usuarios.
- Descripción de las funciones y responsabilidades dentro del Departamento con una clara separación de las mismas.
- Políticas de personal: selección, plan de formación, plan de vacaciones, evaluación y promoción.
- Asegurar que la Dirección revisa todos los informes de control y resuelve las excepciones que ocurran.
- Asegurar que existe una política de clasificación de la información para saber dentro de la Organización que personas están autorizadas y a que información.
- Designar oficialmente la figura de Control Interno Informatico y de Auditoria Informática ( estas dos figuras se nombraran internamente sobre la base del tamaño del Departamento de Informática.
- Controles de desarrollo, adquisición y mantenimiento de sistemas de información.
Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones.
- Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá garantizar a la alta Dirección, que se alcanzaran los objetivos definidos para el sistema. Estos son algunos controles que deben existir en la metodología:
-
- La alta Dirección debe publicar una normativa sobre el uso de metodología de ciclo de vida del desarrollo de sistemas y revisar esta periódicamente.
- La metodología debe establecer los papeles y responsabilidades de las distintas áreas del Departamento de Informática y de los usuarios, así como la composición y responsabilidades del equipo del proyecto.
- Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes de que comience el proceso de desarrollo.
- Debe establecerse un estudio tecnológico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos del proyecto acompañadas de un análisis costo – beneficio —-de cada alternativa—–.
- Cuando se seleccione una alternativa debe realizarse el plan director del proyecto. En dicho plan deberá existir una metodología de control de costos.
- Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas de controles de seguridad, de pistas de auditoria, etc.
- Plan de validación, verificación y pruebas.
- Estándares de prueba de programas, de prueba de sistemas.
- Plan de conversión: prueba de aceptación final.
- Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la Organización y dichos productos deberían ser probados y revisados antes de pagar por ellos y ponerlos en uso.
- La contratación de programas de servicios de programación a medida ha de estar justificada mediante una petición escrita de un director de proyecto.
- Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.
- Explotación y mantenimiento: el establecimiento de controles asegura que los datos se tratan de forma congruente y exacta y que el contenido de sistemas solo será modificado mediante autorización adecuada. Estos son algunos de los controles que se deben implantar:
-
- Procedimientos de control de explotación.
- Sistema de contabilidad para asignar a usuarios los costos asociados con la explotación de un sistema de información.
- Procedimientos para realizar un seguimiento y control de los cambios de un sistema de información.
- Controles de explotación de sistemas de información.
- Planificación y Gestión de recursos: definir el presupuesto operativo del Departamento, plan de adquisición de equipos y gestión de la capacidad de los equipos.
- Controles para usar de manera efectiva los recursos en ordenadores:
- Calendario de carga de trabajo.
- Programación de personal.
- Mantenimiento preventivo del material.
- Gestión de problemas y cambios.
- Procedimientos de facturación a usuarios.
- Sistema de gestión de la biblioteca de soportes.
- Procedimientos de selección del software de sistemas, de instalación, de mantenimiento, de seguridad y control de cambios.
- Seguridad Fisica y Lógica:
-
- Definir un grupo de seguridad de la información, siendo una de sus funciones la administración y gestión del software de seguridad, revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes.
- Controles físicos para asegurar que el acceso a las instalaciones del Departamento de Informática quede restringido a las personas autorizadas.
- Las personas externas a la Organización deberán ser acompañadas por un miembro de la plantilla cuando tengan que entrar en las instalaciones.
- Instalación de medidas de protección contra el fuego.
- Formación y concienciación en procedimientos de seguridad y evacuación del edificio.
- Control de acceso restringido a los ordenadores mediante la asignación de un identificador de usuario con palabra clave personal e intransferible.
- Normas que regulen el acceso a los recursos informaticos.
- Existencia de un plan de contingencias para el respaldo de recursos de ordenador critico y para la recuperación de los servicios del Departamento Informatico después de una interrupción imprevista de los mismos.
- Controles en aplicaciones.
Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completos y exactos de los datos.
Las cuestiones más importantes en el control de los datos son:
- Control de entrada de datos: procedimientos de conversión y de entradas validación y corrección de datos.
- Controles de tratamientos de datos: para asegurar que no se dan de alta, modifican o borran datos no autorizados, para garantizar la integridad de los mismos mediante procesos no autorizados.
- Controles de salidas de datos: sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.
- Controles específicos de ciertas tecnologías Controles en Sistemas de Gestión de Bases de Datos:
-
- El software de gestión de bases de datos para prever el acceso a la estructuración de, y el control sobre los datos compartidos, deberá instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno.
- Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos, es decir, un administrador de datos.
- Que existen procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos.
- Controles sobre el acceso a datos y de consecuencia.
- Controles para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la caída y minimizar el tiempo necesario para la recuperación.
- Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces físicos – punteros – asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas.
- Controles en informática distribuida y redes:
-
- Planes adecuados de implantación, conversión y pruebas de aceptación para la red.
- Existencia de un grupo de control de red.
- Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando las redes son distribuidos.
- Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informática en conexión con la distribución del contenido de bases de datos entre los departamentos que usan la red.
- Que se identifican todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad.
- Existencia de inventario de todos los activos de la red.
- Procedimientos de respaldo del hardware y del software de la red.
- Existencia de mantenimiento preventivo de todos los activos.
- Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino validas.
- Controles de seguridad lógica: control de acceso a la red, establecimiento de perfiles de usuario.
- Procedimientos de cifrado de información sensible que se transmite a través de la red.
- Procedimientos automáticos para resolver cierres del sistema.
- Monitorización para medir la eficiencia de la red.
- Diseñar el trazado físico y las medidas de seguridad de las líneas de comunicación local dentro de la organización.
- Detectar la correcta o mala recepción del mensaje.
- Identificar los mensajes por una clave individual de usuario, por terminal y por él numero de secuencia del mensaje.
- Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor con objeto de obtener una cifra de control constante.
- Determinar si el equipo multiplexor / concentrador / procesador frontal remoto tiene lógica redundante y poder de respaldo con realimentación automática para el caso de que falle.
- Asegurarse de que haya procedimientos de recuperación y reinicio.
- Asegurarse de que existan pistas de auditoria que puedan usarse en la reconstrucción de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre la terminal y el usuario.
- Políticas de adquisición y utilización.
- Normativas y procedimientos de desarrollo y adquisición de software de aplicaciones.
- Procedimientos de control del software contratado bajo licencia.
- Controles de acceso a redes, mediante palabra clave, a través de ordenadores personales.
- Revisiones periódicas del uso de los ordenadores personales.
- Políticas que contemplen la selección, adquisición e instalación de redes de area local.
- Procedimientos de seguridad Fisica y lógica.
- Departamento que realice la gestión y soporte técnico de la red.
- Controles para evitar modificar la configuración de una red.
- Inventario actualizado de todas las aplicaciones de la Entidad.
- Política referente a la organización y utilización de los discos duros de los equipos, así como para la nomenclatura de los ficheros que contienen, y verificar que contiene al menos: obligatoriedad de etiquetar el disco duro con él numero de serie del equipo. Creación de un subdirectorio por usuario en el que se almacenaran todos sus ficheros privados, así como creación de un subdirectorio publico que contendrá todas las aplicaciones de uso común para los distintos usuarios.
- Implantar herramientas de gestión de la red con el fin de valorar su rendimiento, planificación y control.
- Adoptar los procedimientos de control y gestión adecuados para la integridad, privacidad, confidencialidad y seguridad de la información contenida en redes de area local.
- Cuando exista conexión PC-Host, comprobar que opera bajo los controles necesarios para evitar la carga / extracción de datos de forma no autorizada.
- Contratos de mantenimiento ( tanto preventivo como correctivo o detectivo.
- Cuando en las acciones de mantenimiento se requiera la acción de terceros o la salida de los equipos se los limites de la oficina, se deberán establecer procedimientos para evitar la divulgación de información confidencial o sensible.
- Mantener un registro documental de las acciones de mantenimiento realizadas, incluyendo la descripción del problema y la solución dada al mismo.
- Los ordenadores deberán estar conectados a equipos de continuidad ( UPS’s, grupo, etc..
- Protección contra incendios, inundaciones o electricidad estática.
- Control de acceso físico a los recursos microinformáticos: Llaves de PCS. Áreas restringidas. Ubicación de impresora (propias y de red) prevención de robos de dispositivos. Autorización para desplazamientos de equipos. Acceso físico fuera de horario normal.
- Control de acceso físico a los datos y aplicaciones: almacenamiento de disquete con copias de backup u otra información o aplicación, procedimientos de destrucción de datos e informes confidenciales, identificación de disquetes / cintas, inventario completo de disquetes almacenados, almacenamiento de documentación.
- Implantar en la red local productos de seguridad así como herramientas y utilidades de seguridad
- Controlar las conexiones remotas in/out (CAL): Modems, Gateways, Mapper.
- Controles para evitar la introducción de un sistema operativo a través de disquete que pudiera vulnerable el sistema de seguridad establecido.
- ANTECEDENTES
El concepto de auditoria informática ha estado siempre ligado al de auditoria en general y al de auditoria interna en particular, y este ha estado unido desde tiempos históricos al de contabilidad, control, veracidad de operaciones, etc. En tiempo de los egipcios ya se hablaba de contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Years of Progress). Hago esta referencia histórica a fin de explicar la evolución de la corta pero intensa historia de la auditoria informática, para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditoria informática desde un punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo de las organizaciones actuales, los sistemas de información y la arquitectura que los soporta desempeñan un importante papel como uno de los soportes básicos para la gestión y el control del negocio, siendo así uno de los requerimientos básicos de cualquier organización. Esto da lugar a los sistemas de información de una organización.
Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una función de gestión de dichos sistemas, de los recursos que los manejan y de las inversiones que se ponen a disposición de dichos recursos para que el funcionamiento y los resultados sean los esperados. Esto es lo que llamamos el Departamento de Sistemas de Información, finalmente y en función de lo anterior, aunque no como algo no enteramente aceptado aun, debe existir una función de control de la gestión de los sistemas y del departamento de sistemas de información. A esta función la llamamos Auditoria Informática.
El concepto de la función de auditoria informática, en algunos casos llamada función de control informatico y en los menos, llamadas y conocidas por ambos términos, arranca en su corta historia, cuando en los años cincuenta las organizaciones empezaron a desarrollar aplicaciones informáticas. En ese momento, la auditoria trataba con sistemas manuales. Posteriormente, en función de que las organizaciones empezaron con sistemas de cada vez mas complejos, se hizo necesario que parte del trabajo de auditoria empezara a tratar con sistemas que utilizaban sistemas informaticos.
En ese momento, los equipos de auditoria tanto externos como internos, empezaron a ser mixtos, con involucracion de auditores informaticos junto con auditores financieros. En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunos casos converjan.
- Trabajos en los que el equipo de auditoria informática trabajaba bajo un programa de trabajo propio, aunque entroncado sus objetivos con los de la auditoria financiera; este era el caso de trabajos en los que se revisaban controles generales de la instalación y controles específicos de las aplicaciones bajo conceptos de riesgo pero siempre unido al hecho de que el equipo de auditoria financiera utilizaría este trabajo para sus conclusiones generales sobre el componente financiero determinado.
- Revisiones en las que la auditoria informática consistía en la extracción de información para el equipo de auditoria financiera. En este caso el equipo o función de auditoria interna era un exponente de la necesidad de las organizaciones y departamentos de auditoria de utilizar expertos en informática para proveer al personal de dicho departamento de información extraída del sistema informatico cuando la información a auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de cómo se había creado.
Esta situación convive hoy en día con conceptos mas actuales y novedosos de lo que es la función y de lo que son los objetivos de la auditoria informática.
En mi opinión, y es algo que vamos a desarrollar a continuación, la tendencia futura de al auditoria informática radicara en los siguientes principios:
- todos los auditores tendrán que tener conocimientos informaticos que les permiten trabajar en la cada vez mas fluctuante entorno de las tecnologías de la información dentro de las organizaciones empresariales, culturales y sociales.
- este aspecto no eliminará la necesidad de especialidades en auditoria informática; antes al contrario los especialistas necesitaran cada vez mas, unos conocimientos muy específicos que al igual que sucede en el entorno de los sistemas de información les permitan ser expertos en las diferentes ramas de la tecnología informática: comunicaciones, redes, oficinas, comercio electrónico, seguridad, gestión de bases de datos, etc.
- el auditor informatico dejará de ser un profesional procedente de otra area con su consiguiente reciclado, para pasar a ser un profesional formado y titulado en auditoria informática que tendrá a su alcance diferentes medios de formación externa fundamentalmente y que tendrá que formar una red de conocimientos compartidos con otros profesionales, tanto en su organización como con profesionales de otras organizaciones.
El futuro de la auditoria informática estará en la capacidad de cubrir adecuadamente, en cuanto a experiencia y especialización, todas las áreas de los sistemas informaticos y de información de una empresa y en saber de forma propia o con ayuda interna y externa, adecuarse a los cambios que suceden en la Tecnología de la Información. Para adecuarse a estos cambios, el auditor informatico tendrá que auto generar su propia filosofía de gestión del cambio.
- CLASES Y TIPOS DE AUDITORIA INFORMATICA
Como he tratado de mencionar anteriormente, existe un gran confusión sobre lo que es auditoria informática y la relación que tiene con otras ramas organizativas de las empresas y organizaciones. Aun hoy en día, si preguntásemos a diferentes agencias empresariales y sociales, nos contestarían con diferentes respuestas sobre lo que es y / o no es auditoria informática.
Voy a tratar de resumir las diferentes acepciones de auditoria informática que existen en nuestro país:
- Auditoria informática como soporte a la auditoria tradicional, financiera, etc.
- Auditoria informática con el concepto anterior, pero añadiendo la función de auditoria de la función de gestión del entorno informatico.
- Auditoria informática como función independiente, enfocada hacia la obtención de la situación actual de un entorno de información e informatico en aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.
- Las acepciones anteriores desde un punto de vista interno y externo.
- Auditoria como función de control dentro de un departamento de sistemas.
Ante esta situación déjenme expresar cual es mi visión sobre lo que es y debe ser la función de auditoria informática.
- FUNCION DE AUDITORIA INFORMATICA
-
- Definición
Esta claro a estas alturas que la auditoria, revisión, diagnostico y control de los sistemas de información y de los sistemas informativos que soportan estos deben ser realizados por personas con experiencia en ambas disciplinas, informática y auditoria (en principio llamemos a nuestro amigo el Auditor Informatico General: AIG) a esto yo le añado que además nuestro amigo debe completar su formación con conocimiento de gestión del cambio y de gestión empresarial.
¿Como definimos entonces a nuestro amigo AIG? Para tratar de definir su perfil, la definición mas exacta es quizás que es un profesional dedicado al análisis de sistemas de información e informaticos que esta especializado en alguna de las múltiples ramas de la auditoria informática, que tiene conocimientos generales de los ámbitos en los que esta se mueve, que tiene conocimientos empresariales generales y que además:
Posea las características necesarias para actuar ente consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y de gestión que le sean propios.
Y que pueda actuar como consejero con la organización en la que esta desarrollando su labor. Un entorno informatico bien controlado, puede ser un entorno ineficiente si no es consistente con los objetivos de la organización.
El eterno problema que se ha suscitado durante mucho tiempo es si el auditor informatico, al no existir tal formación académica en nuestro país, tenía que ser un auditor convertido en informatico, o por el contrario un informatico reciclado como auditor informatico. En mi larga experiencia, he visto de todo, personal de desarrollo o de explotación convenidos en auditores informaticos en menos de un mes, auditores financieros reciclados, primero como extractores de información, mediante la formación en el adecuado software de interrogación de ficheros, y posteriormente convertirlos en auditores de la función informática.
En ambos casos, los éxitos y los fracasos se acumulan por igual. ¿Qué hace en estos casos? ¿Cuál debe ser el perfil correcto de un auditor informatico? Esta es mi visión y opinión del perfil del futuro auditor informatico y consecuentemente de las funciones que la función de auditoria informática debe tener.
-
- Perfiles profesionales de la función de Auditoria Informática.
A tenor de lo que hemos dicho hasta ahora se ve claramente que el auditor informatico debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día. De esta forma, dentro de la función de auditoria informática, se deben contemplar las siguientes características para mantener un perfil profesional adecuado y actualizado.
- La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoria financiera y de informática general. Estos últimos deben contemplar conocimientos básicos en cuanto a:
-
- Desarrollo informatico; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo,
- Gestión del departamento de sistemas.
- Análisis de riesgos en un entorno informatico.
- Sistema operativo (este aspecto dependerá de varios factores, pero principalmente de si va a trabajar en un entorno unico – auditor interno – o por el contrario, va a tener posibilidades de trabajar en varios entornos como auditor externo)
- Telecomunicaciones.
- Gestión de bases de datos.
- Redes locales.
- Seguridad Fisica.
- Operaciones y planificación informática; efectividad delas operaciones y del rendimiento de los sistemas.
- Gestión de la seguridad delos sistemas y de la continuidad empresarial a través de planes de contingencia de la información.
- Gestión de problemas y de cambios en entornos informaticos.
- Administración de datos.
- Ofimática
- Comercio electrónico.
- Encriptación de datos.
Citar este texto en formato APA: _______. (2012). WEBSCOLAR. Funciones de control interno y auditoría informática. https://www.webscolar.com/funciones-de-control-interno-y-auditoria-informatica. Fecha de consulta: 23 de noviembre de 2024.