229 – AUDITORÍA DE SISTEMAS

03/07/2015

En los últimos tiempos, la auditoría de sistemas ha tenido un gran desarrollo, debido a un entorno cada vez más complejo, a la globalización y a la rapidez de los cambios tecnológicos, lo que han convertido a la información en un elemento clave para la gestión de toda empresa.

¿Qué es la auditoría de sistemas?

La auditoría de sistemas puede ser definida como el “proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos”.

¿Cuál es el objetivo de la auditoría de sistemas?

Desde el punto de vista de la organización, el principal objetivo será verificar la eficacia y eficiencia brindada por las herramientas informáticas utilizadas. Se evaluarán las normas, controles, técnicas y procedimientos que se tienen establecidos para asegurar la confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información.

Esta auditoría puede ser interna o externa. En el primer caso es llevada adelante por profesionales que pertenecen a la empresa; mientras que en el segundo se contratan profesionales independientes, que no forman parte de la estructura de personal.

¿Qué beneficios puede obtener la empresa?

  • Mejora la imagen pública.
  • Mejora la confianza en los usuarios.
  • Optimiza las relaciones internas y del clima de trabajo.
  • Favorece la rentabilidad, ayudando a evitar costos perdidos por información inoportuna e inexacta.
  • Permite conocer los riesgos por el uso de la tecnología que tiene la empresa.

Al igual que otros trabajos de auditoría, la Auditoría de Sistemas atravesará tres etapas: planeamiento, ejecución y tareas de cierre.

En particular en la etapa de ejecución, encontraremos una serie de controles generales que, de acuerdo al Informe COSO, se pueden clasificar en controles sobre:

  • Operaciones de los centros de información.
  • Seguridad de acceso.
  • Adquisición y mantenimiento del software del sistema.
  • Desarrollo y mantenimiento de sistemas de aplicación.

Los controles de operaciones sobre los centros de información se refieren a los procedimientos de respaldo y recuperación de datos, medidas de seguridad física de los sistemas así como los planes disponibles para la protección de datos ante eventuales contingencias.

Los controles de seguridad de acceso a la información son realizados con el objetivo de evitar accesos no autorizados (asignación preestablecida de accesos basada en una adecuada segregación de funciones, claves individuales y confidenciales modificadas periódicamente, revisión periódica de derechos asignados).

Los controles sobre la adquisición y el mantenimiento del sistema permitirán determinar la estructura necesaria para su diseño así como las aplicaciones requeridas de acuerdo a la estructura de la empresa.

Dentro de los controles de aplicación podemos enumerar en forma no taxativa los controles de edición relacionados con el ingreso de datos, de autorización en lo que refiere al acceso, de validación de datos previo al procesamiento de la transacción, control de cálculos automáticos realizados por el sistema y los controles de interfaz en lo que respecta a la transferencia de datos automáticamente entre aplicaciones.

Al finalizar el trabajo, el auditor evaluará si la evidencia obtenida es adecuada y suficiente, elaborando conclusiones que contendrán recomendaciones para mejorar la eficacia y la eficiencia en el uso de los sistemas.