Para
comenzar a plantear la definición y los conceptos de la Auditoria de
Sistemas e Informática, debemos posicionarnos en ¿Que es AUDITORIA?, El
término de Auditoría mucha veces se ha empleado incorrectamente y con
frecuencia solo se le considera como una evaluación cuyo único fin es
detectar errores y señalar fallas. Pero la auditoría y el control va mas
allá de detectar fallas. La palabra auditoría proviene del latín
auditorius, y de ella se deriva la palabra auditor, que se refiere a todo
aquel que tiene la virtud de oír.
Concepto
de Auditoría.- Es
un examen crítico que se realiza con el fin de evaluar la eficacia y
eficiencia de una sección, un organismo, una entidad, etc.
Función
del Control.- Una
definición que es correcta y a la cual representa el valor de la Función
del Control es la de ayudar a los Funcionarios que tienen responsabilidad
Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es
por ello que aquí el Control es Creativo - Inteligente, y Constructivo de
asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la
Toma de Decisiones sea acertada, segura y se logren los objetivos, con la
máxima eficiencia.
de
que, en dicha entidad, antes de realizarse la auditoría, ya se habían
detectado fallas. El concepto de auditoría es mucho más que esto.
El
Control de Sistemas e Informática, consiste en examinar los recursos,
las operaciones, los beneficios y los gastos de las producciones
(servicios y/o productos de los Sistemas Informáticos), de los Organismos
sujetos a control, con al finalidad de evaluar la eficacia y eficiencia
Administrativa Técnica y/u Operacional de los Organismos, en concordancia
con los principios, normas, técnicas y procedimientos normalmente
aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos,
Diseño, Software, Hardware, Seguridad, Respaldos y otros) adoptados
por la Organización para su dinámica de Gestión en salvaguarda de los
Recursos del Estado.
Existe
otra definición sobre el "control técnico" en materia de
Sistemas e Informática, y esta se orienta a la revisión del Diseño de
los Planes, Diseños de los Sistemas, la demostración de su eficacia, la
Supervisión compulsa de rendimientos, Pruebas de Productividad de la
Gestión - Demanda llamada "Pruebas intermedias", el análisis
de resultados, niveles y medios de seguridad, respaldo, y el
almacenamiento. Así mismo medición de la vida útil del Sistema
Informático adoptado por la Organización bajo control.
Objetivos
de la Auditoría y Control de Sistemas e Informática.-
Los principales objetivos que constituyen a la auditoría Informática
son:
-
El
control de la función informática (Sistema de Información - SI y la
Tecnología de la Información -TI).
-
El
análisis de la eficiencia de los SI y la TI.
-
La
verificación del cumplimiento de la Normativa General de la
Organización.
-
La
verificación de los Planes, Programas y Presupuestos de los Sistemas
Informáticos.
-
La
revisión de la eficaz gestión de los recursos materiales y humanos
informáticos.
-
La
revisión y verificación de Controles Técnicos Generales y Específicos
de Operatividad.
-
La
revisión y verificación de las Seguridades.
-
De Cumplimiento de normas y estándares.
-
De Sistema Operativo.
-
De Seguridad de Software.
-
De Seguridad de Comunicaciones.
-
De Seguridad de Base de Datos.
-
De Seguridad de Proceso.
-
De Seguridad de Aplicaciones.
-
De Seguridad Física.
-
De
Suministros y Reposiciones.
-
De Contingencias.
-
El
análisis del control de resultados.
-
El
análisis de verificación y de exposición de debilidades y
disfunciones.
El
auditor informático.- Es el profesional que ha de cuidar y
velar por la correcta utilización de los diversos recursos que la
organización y debe comprobar que se este llevando acabo un eficiente y
eficaz Sistema de Información y la Tecnología de la Información. Pues
estas dos puntos en la actualidad soporta la Auditoría y Control de los
Sistemas e Informática en la Gestión moderna.
Cuando
se aplica el CIPOD en la Auditoría y Control de Sistemas e Informática.-
Nos encontramos que en ella no da "Indicios, anomalías y síntomas"
que nos permite percibir que la Organización bajo control esta con
problemas de resultados como de eficacia y eficiencia en los Sistemas
Informáticos y en la Tecnología de la Información. Vamos a citar
algunos ejemplos que se encuentran:
-
Creatividad.-
-
Sistemas
Informáticos de Baja Perfomance creativa.
-
Deficiente
manejo de Imaginación y Creatividad para las Producciones de
Servicios.
-
No
permite variabilidad y atención a Usuarios.
-
Falta
de una buena Integración de la Información y Difusión del
Organismo con la Sociedad, a través de medios y del internet.
-
Pocos
Servicios Creativos, donde el usuario manifiesta su descontento.
-
Exceso
de monotonía y rutina de procesos administrativos y técnicos.
-
Deficiente
nivel de Proceso de la Investigación y Desarrollo Creativo.
-
Usuarios
se quejan por engorrosos procedimientos Informáticos.
-
Inteligencia.-
-
La
Organización no cuenta con Formación de Conocimientos en
Sistemas y Tecnología Informática.
-
Exceso
de averías en los Sistemas Informáticos.
-
No
hay Capacitación ni entrenamiento de nuevas Tecnologías.
-
Tratamiento
de la Tecnología para la Inteligencia Empresarial muy deficiente.
-
Los
Estándares de Productividad son bajos.
-
Bajo
Índice de Producción de Servicio (Planificación, Producción y Soporte Técnico),
-
Usuarios
salen conformes con la resolución de problemas (Relacionados a
los Sistemas Informáticos).
-
Informática
de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra
Integrado a los Procesos Intranet, Extranet e Internet.
-
Los
Controles Inteligentes de procesos son deficientes.
-
Deficiente
nivel de Investigación y Desarrollo Tecnológico.
-
Alto
Índice de desatendidos y asuntos pendientes (Relacionados a
Tecnologías de la Información).
-
Personalidad.-
-
Carencia
de Identidad, Rumbo y de Mística Laboral y Personal.
-
Síntomas
de mala Imagen.
-
Baja
Productividad de Trabajo.
-
Alto
Índice de estrés laboral.
-
Perdida
de credibilidad del Organismos.
-
Usuarios
manifiestan su descontento con el trato y atención.
-
Organización.-
-
Desorganización
estructural y Funcional.
-
Descoordinación
Funcional Horizontal - Vertical.
-
Demasiado
Centralismo Funcional y Operativo de los Sistemas Informáticos.
-
Alto
riesgo de Inseguridad Operativa, de Tecnología y de Información.
-
Las
áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad
en estado Critico.
-
Usuarios
manifiestan excesiva desubicación en los desplazamientos por la
organización.
-
Usuarios
manifiestan descontento porque no se cumplen con los plazos de
entrega de resultados periódicos.
-
Dirección.-
-
Carencia
de Objetivos, Estrategias y Planes de los Sistemas e Informática.
-
Toma
de Decisiones deficientes por Tecnologías de la Información
inadecuadas.
-
Los
Programas de Auditorías y Control no logra recomponer fallas.
-
Descoordinación
en la Toma de decisiones.
-
Desviaciones
Presupuestarias significativas.
-
Incremento
desmesurado de costos y gastos.
-
Carencia
de Proyectos de Sistemas e Informática.
-
Baja
adopción de Medidas del Plan de Contingencias.
-
Usuarios
se quejan por ineficacias de Resoluciones en Niveles Directivos.
Herramientas y Técnicas para la Auditoría Informática:
-
Cuestionarios.
-
Entrevistas.
-
Formularios
Checklist.
-
Formularios Virtuales,
-
Pruebas de
Consistencias.
-
Inventarios
y Valorizaciones.
-
Historias de cambios y mejoras.
-
Reporte
de Bases de Datos y Archivos
-
Reportes
de Estandares.
-
Compatibilidades e Uniformidades.
-
Software de Interrogación:
-
Certificados,
Garantías, otros del Software.
-
Fotografías
o Tomas de Valor (Imágenes).
-
Diseño
de Flujos y de la red de Información.
-
Planos
de Distribución e Instalación (Para Estudio y Revisión).
-
Listado
de Proveedores.
-
Otros.
Metodología de Trabajo de Auditoría Informática.
-
Diseño
del Plan y método de trabajo.
-
Alcance y Objetivos de la Auditoría Informática.
-
Estudio inicial del entorno
u medio auditable.
-
Determinación de los recursos necesarios para realizar la auditoría.
-
Elaboración del plan y de los Programas de Trabajo.
-
Actividades propiamente dichas de la auditoría.
-
Confección y redacción del Informe Final.
-
Determinación
de las Conclusiones y recomendaciones.
-
Fijación
del Pliego de Responsabilidades y valoración de Gestión.
-
Redacción de la Carta
del Informe final.
|