MARCO TEORICO

La auditoría ha cambiado notablemente en los últimos años con el enorme impacto que ha venido obrando las técnicas informáticas en la forma de procesar la información para la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informáticos devuelve cada vez más acuciante.

Los auditores informáticos aportan conocimientos especializados, así como su familiaridad con la tecnología informática. Se siguen tratando las mismas cuestiones de control de auditoría, pero los especialistas en auditoría informática de sistemas basados en ordenadores prestan ayuda valiosa a la organización y a los otros auditores en todo lo relativo a los controles sobre dichos temas.

En muchas organizaciones el auditor ha dejado de centrarse en la evaluación y la comprobación de resultados de procesos, desplazando su atención a la evaluación de riesgos y comprobación de controles.

Muchos de los controles se incorporan en programas de sistemas o se realizan por parte de la función informática de la organización, representado por el control interno informático.

El enfoque centrado en controles normalmente exige conocimientos informáticos a nivel de la tecnología utilizada en el área o la organización que se examina.

LAS FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA

CONTROL INTERNO INFORMÁTICA (C.I.I.)

Control Interno Informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales.

La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

La función se le asigna a una unidad orgánica perteneciente a los órganos de apoyo de la Gerencia de Informática y debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su misión.

En los tratados de auditoría se le denomina CONTROL INTERNO INFORMATICO (CII), definición que a nuestro concepto debe ser reemplazado por el título de ADMINISTRACION DE LA SEGURIDAD Y CONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y conceptos actualizados de las funciones especializadas de control y administración de riesgos.

PRINCIPALES OBJETIVOS

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías externas.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático

PRINCIPALES FUNCIONES

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, Peces, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:

• Cumplimiento de diferentes procedimientos, normas y controles dictados. Ejemplo. Control de cambios y versiones de software.

• Controles sobre la producción diaria.

• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.

• Controles en las redes de comunicaciones.

• Controles sobre el software de base.

• Controles en los sistemas microinformáticos.

• La seguridad informática:

              Usuarios, responsables y perfiles de uso de archivos y bases de datos.

              Normas de seguridad.

              Control de información clasificada.

              Control dual de la seguridad informática.

• Licencias.
• Contratos con terceros.
• Asesorar y transmitir cultura sobre el riesgo informático.

EL AUDITOR INFORMÁTICO (A.I.)

Evalúa y comprueba en determinados momentos del tiempo, los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el uso de software.

En muchos casos ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que deberá emplear software de auditoría y otras técnicas asistidas por ordenador.

Es responsable de revisar e informar a la Dirección de la Empresa, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

FUNCIONES PRINCIPALES

Se pueden establecer tres grupos de funciones principales:

• Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes

• Revisar y juzgar controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

• Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

CONTROL INTERNO Y AUDITORÍA INFORMÁTICOS: CAMPOS ANÁLOGOS

La evolución de ambas funciones ha sido espectacular en la última década. Muchos de los funcionarios de controles internos informáticos, fueron auditores. Han recibido formación en seguridad informática tras su paso por la formación en auditoría.

Hay una similitud de los objetivos profesionales de control y auditoría, campos análogos que propician una transición natural.

SISTEMA DE CONTROL INFORMÁTICO

DEFINICIÓN Y TIPOS DE CONTROLES INTERNOS

Se puede definir el control interno como “cualquier actividad o acción realizada” manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Los controles cuando se diseñen, desarrollen e implanten han de ser al menos, completos, simples, fiable, revisables, adecuados y rentables.

Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos.

Los progresos que se producen en la tecnología de soportes físicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información.

CONTROLES INTERNOS INFORMÁTICOS: CLASIFICACIÓN

Controles preventivos.- para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos.- cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.

Controles correctivos.- facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

CONTROL INTERNO INFORMÁTICO

El Control Informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales. La misión de control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

El Control Interno Informático suele ser un órgano de apoyo de la Dirección del Departamento de Informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

OBJETIVOS

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.

• Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorías externas al grupo.

• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino en cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

AUDITORÍA INFORMÁTICA

Auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría, los cuales son:

• Objetivos de protección de activos e integridad de datos.

• Objetivos de gestión que abarcan, no solamente los de protección de activos sino también los de eficacia y eficiencia.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deben emplear software de auditoría y otras técnicas asistidas por ordenador

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

• Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes.

• Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

• Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información.

La Auditoría Informática y el Control Interno Informático son campos análogos. De hecho, muchos de los actuales responsables de control interno informático recibieron formación en seguridad informática tras su paso por la formación en auditoría. Numerosos auditores se pasan al campo de control interno debido a la similitud de los objetivos profesionales de control y auditoría. 

Pese a que ambas figuras tienen objetivos comunes, existen diferencias que conviene matizar. La tabla ilustrativa muestra las similitudes y diferencias entre ambas disciplinas: