Control interno y auditoria informática

Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la mañana; para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se empieza a trabajar internamente.

La mayoría de las organizaciones han acometido varias iniciativas en tal sentido tales como:

· La reestructuración de los procesos empresariales.

· La gestión de la calidad total.

· El redimensionamiento por reducción y/o por aumento de tamaño hasta el nivel correcto.

· La contratación externa.

· La descentralización.

LAS FUNCIONES  DEL CONTROL INTERNO Y AUDITORIA INFORMÁTICA

CONTROL INTERNO INFORMATICO

El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

· Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

· Asesorar sobre el conocimiento de las normas.

· Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo.

· Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos.

DIFERENCIAS Y SIMILITUDES ENTRE EL CONTROL INTERNO Y AUDITORIA INFORMÁTICA

CONTROL INFORMATICO INTERNO

AUDITOR INFORMATICO

SIMILITUDES PERSONAL INTERNO

Conocimientos especializados en tecnologías de información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección informática y la dirección general para los sistemas de información.

DIFERENCIAS Análisis de los controles en el día a día

Informa a la dirección del departamento de informática sólo personal interno el enlace de sus funciones es únicamente sobre el departamento de informática

Análisis de un momento informático determinado

Informa a la dirección general de la organización

Personal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de información de la organización

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

· Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

· Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

· Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

· Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

· Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.

· Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

· Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

· Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

· Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

· Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

· Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

· Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados

INTRODUCCIÓN

En un ambiente donde la informática esta encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecución y procesamiento de los datos se esta haciendo vía computadoras, por lo tanto en el trabajo de la auditoria también es algo indispensable. Aunque en el ambiente de la informática la computadora es el medio principal para auditar pero no hay que olvidar que es a la persona junto a la información la cual estamos auditando y no la computadora en si, no se cambió el espirito de la auditoría tradicional, solamente se cambió el método.

Para dar un mejor servicio a la comunidad, nuestro país desde los años 60 ya empezó a utilizar las procesadoras para procesar informaciones En 1982, el Yuan Legislativo empezó a promover el uso del sistema informativo, construyendo redes informativas entre la informática industrial y su progreso, nominando al grupo de trabajo ” Grupo de promoción de la informática”, en casi todos los lugares, empezando por instalación de grupos de trabajos en el procesamiento de datos e informaciones en las provincias, ciudades y otras áreas, enfocando principalmente en las áreas financieras, medicas, sistema de seguro social, impuestos, oportunidades de trabajo y otras informaciones para facilitar el trabajo del público. El Ministerio de la Auditoria, llamado también La Oficina de la Auditoria (NAO), por el cambio del ambiente de trabajo tradicional a la nueva de la informática, en estos años de promover la Auditoria Informática se han obtenido muy buenos resultados dentro de esta área, se han hecho planes, tácticas de trabajo y lo más importante procesar los resultados de las inspecciones de la auditoria para poder analizarlos después.

FORMAS Y TACTICAS DE PROMOVER LA AUDITORIA INFORMATICA

Como resultado de un análisis previo a la auditoría informática considerando los costos y efectos, en el proceso de promover la auditoria informática, dividimos al personal de la auditoria y los sistemas en dos partes, la primera al personal, tratamos de brindarles el mejor entrenamiento en el área de la informática, enseñarles a usar las computadoras para auditar, y a aquellas personas que son profesionales en el aspecto de la informática brindarles un amplio ambiente para construir las redes y sistemas de información para la ejecución del trabajo de la auditoria.

1. 1. Usando la Computadora para Auditar

Usando la computadora para auditar se necesita que el personal este capacitado en el uso de la computadora tanto en la parte del disco duro como en la parte de la información y programas. Para esto el personal tiene que tener los conocimientos de sistemas como ser MS-WINDOWS 98, tanto su manejo exterior como su uso interior.

Para lograr que cada personal de la auditoria este capacitado con dichos conocimientos, tratamos de brindar el mejor ambiente, en la actualidad NAO cuenta con sistemas de 586, cada personal de la Auditoria cuenta con una computadora conectada a la red y al internet para poder buscar las informaciones necesarias, al año se invierte una cantidad en el mejoramiento de sistemas, educación para promover el internet, sistema de cuentas de auditoria ACL ( Audit Command Language ) y otras clases cuales sean necesaria para elevar el nivel de trabajo en el ámbito de la Auditoria, en los últimos 3 años, el total de cursos que organizo la Auditoria fueron más de 2500 un porciento que cada personal participa de 4 clases promedio, esto figura el esfuerzo que estamos poniendo para la auditoria informática , entrenar a cada uno de los personales de la auditoria para que estén capacitados para hacer un mejor trabajo en la auditoria.

Para un buena auditoria informática se necesita aparte de una buena computadora de mesa o portátil, excelentes programas también es lo que no puede faltar. Debido al trabajo que ejecutan los auditores en sus inspecciones de cuentas se encuentran con el problema de tener que manejar diferentes clases de computadoras, no todas son iguales a la de nuestra oficina, nuestros auditores tienen que tener la capacidad de hacer sus inspecciones en cualquier clase de computadoras, lo que si se puede hacer para facilitar el trabajo es de usar un sistema común de trabajo como la que es ACL, el sistema que esta usando todas las oficinas de la Auditoria y afíliales. El proceso de inspección se basa en diseñar el sistema de ACL en las instituciones a los cuales se va a ser las inspecciones de la auditoria cambiando sus (File Layout) en ACL, de esta forma se puede unificar el trabajo hasta finalizarlo.

En la actualidad lo que NAO esta utilizando en sus sistemas abarca el pago de impuestos, tesorería nacional, reservas financieras y otras en relación a cuentas y a auditoria. En las experiencias que se han tenido en estos años de auditoria, se debe tener un perfil del sistema de informática de la institución a la cual se esta auditando para luego poder trabajar fuera de línea o sea (Offline) y proteger el independiente trabajo de la auditoria disminuyendo a lo mínimo los riegos que este pueda ocasionar.

2. 2. Control interno del sistema de informaciones.

Para un mejor control de la auditoria informática no nos podemos olvidar del control interno y la veracidad que este tiene que tener, como cuando el sistema esta en funcionamiento su evaluación y control se tienen que hacerse siempre.

Debido a que el procesamiento de lo que se graba o se almacena esta en diferentes ambientes de trabajo, corremos el riego de obtener informaciones incompletas u informaciones que es difícil de leer a la vista de los auditores, para evitar esta clase de problemas y para que la dependencia del hombre a la maquina el control de esta para que la información no tenga error con la rápida evolución de los programas y sistemas el control de sistemas se hace cada vez más difícil.

En NAO el control interno y almacenamiento de datos esta controlado especialmente por personal profesional en esta área, los que tienen perfiles de estudios en informática electrónica, solamente esta personas pueden hacerse cargo del complicado control y mantenimiento de los programas, gracias a sus conocimientos después de un buen entrenamiento en el área de la auditoria son los que se encargan del trabajo de manejo y control de sistemas de toda la Auditoria Nacional.

Los procesos para el control interno de sistemas en la auditoria empieza por el conocimiento básico, revisión, análisis, control y testificación. En la parte de la auditoria enfocamos en el control del planeamiento de la organización de las computadoras, control de los datos a almacenar y almacenados, cambio de sistemas, división de trabajo para brindar un mejor servicio. En el aspecto del manejo se divide en la revisión de la entrada y salida de informaciones, el cambio de información vía e-mail, obtención de datos vía internet, y todo lo que este relacionado con las informaciones que el personal utiliza para su trabajo. Aparte de esto debido a que el personal es limitado, en la evaluación a las instituciones para auditar se considera también el que utilice lo que tiene y el personal que tiene al máximo en su provecho de brindar un mejor sistema de trabajo informativo.

PRINCIPALES RESULTADOS EN LA AUDITORIA

A: Planeamiento, Control y Seguridad del Sistema de Computación

La mayoría de las instituciones depende mucho en computadoras, pero después de un estudio podemos deducir que se necesita un control de seguridad para que el manejo sea mucho más fácil de controlar y guardar, si no el de promover la auditoria informativa tendrá sus dificultades.

B: Control en el almacenamiento de datos

El sueño de un perfecto control seria el de poder registrar cada dato, la persona, fecha y si este no tuviera la autorización denegarle la entrada, todo esto se esta haciendo pero por la falta de personal y por el rápido cambio que transcurre nos es difícil el de registrar y darle un código por ejemplo en un sistema de IBM el RCF es el código de control y almacenamiento.

C: Cambio en el control de datos

En la creación de sistemas uno no se debe olvidar también la forma de guardar los datos en casos de revisión.

D: La estabilidad del servicio y mantenimiento

Por el nuevo enfrentamiento a Y2K el mantenimiento y servicio de recuperar las posibles perdidas de datos es lo que impulsa a un nuevo cambio de sistemas.

E: Control en el uso

En uno de los bancos en su ¨ Sistema de caja de ahorros el personal de la caja de ahorros tiene acceso directo, pero por falta de control puede ocurrir problemas muy drásticas también en el caso del seguro medico, más de una persona usando el mismo numero de serie, también en una transacción privada de moneda extrajera en el banco por no haber mantenido un récord en el ( Log file ), causo lo perdida de datos de esta transacción para una revisión futura. Esto son algunos de los casos que tenemos que seguir promoviendo e impulsando en el futuro.

F: Resultados usando el sistema de NAO para revisiones

En el transcurso del año pasado, las instituciones que utilizaron el sistema de

revisión de la auditoria fueron 8, los resultados fueron muy productivos. Por ejemplo: En una revisión de una de las Instituciones de auditoria a los impuestos de vivienda se ha dado el caso de que hay problemas con más de 1000 casos en las cuales los impuestos no se ha dado conforme a las regulaciones, todo esto gracias al sistema de ACL, si se desarrolla en el futuro el control y manejo del sistema, problemas como estas no serán más problemas.

IV.  RESULTADOS DE LA AUDITORIA INFORMATICA

El progreso de la tecnología de la computación y la informática, esta mejorando día a día, esto a la vez esta causando los problemas de las oportunidades a cometer errores, el revisar e inspeccionar es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad.

La oficina de la auditoria en su trabajo de inspeccionar bajo las regulaciones y leyes de la auditoria, construir sistemas de control en la auditoria informática no permite el cometer ningún error en el proceso de control, almacenamiento de datos, revisión. Debido a todo esto se sugiere a las instituciones bajo inspección que por lo menos al año una vez tengan clases sobre el control y manejo de sistemas, de esta forma se puede evitar la perdida de datos por mal manejo y se puede poner también estas regulaciones dentro de las normas de cada institución, esperando en el futuro obtener un buen manejo y control de sistemas en la auditoria informática.

CONCLUSIONES

En el proceso de promover la auditoría informática se necesita de un buen planeamiento, mantenimiento de la ejecución y estar preparados para cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento de l personal para nuevos enfrentamientos también es un labor de suma prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto se han obtenido muy buenos resultados, como meta para el futuro es el de poner mas esfuerzo en el entrenamiento del personal de la auditoria informática, crear secciones especialmente encargadas de la auditoria informática, también a la vez crear un Sistema de Soporte a la Tecnología de la Información ( Information Technology Support ) y reglamentos para el progreso de la auditoria informática, todo esto son metas para entrar al año 2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que se debe en el trabajo de la Auditoria.

About these ads
Esta entrada fue publicada en Gamaliel, Jovani. Guarda el enlace permanente.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s