La auditoria sistemas información

Views:
 
Category: Education
     
 

Presentation Description

La auditoria sistemas información

Comments

Presentation Transcript

slide 1:

La Auditoría de Sistemas de Información como elemento de control Ómar Javier Solano Rodríguez Contador público de la Universidad del Valle especialista en Sistemas Gerenciales para Ingenieros con én­ fasis en Informática de la Pontificia Universidad Javeriana certificado como Auditor Interno de Calidad. Profesor de Auditoría de Sistemas de Información de la Universidad del Va­ lle desde el año de 1.998 profesor de las sedes de la Universidad del Valle en Palmira y Norte del Cauca.

slide 2:

INTRODUCCiÓN La Auditoría como evaluación del control y los Sistemas Informáticos han experimentado cambios sustancia­ les en años recientes. El escándalo de Enron en Estados Unidos Xerox Corp. Allied Irish Banks PLC y en Colombia en lo que corría del año 2002 la Super­ intendencia de Valores había impues­ to sanciones a personas y empresas por incurrir en anomalías como incon­ sistencias contables en estados fman­ cieros e incumplimiento de información entre otros. Estos hechos son noticias recientes y no muy alejados de los cambios tecnológicos igual los siste­ mas informáticos con los últimos de­ sarrollo tecnológicos han permitido cambios fundamentales en las estruc­ turas de las organizaciones en la in­ formática han sido notorios observa­ mos como en ia década de los años noventa llegó al mercado la versión de Windows el joven Finlandés Linus Torvalds creo Linux un Sistema ope­ rativo gratuito para computadores en 1.995 se lanzó windows 95 como una de las innovaciones tecnológicas en sistemas operativo y World Wide Web la red de redes conocida como Internet se convierte en el avance tecnológic0 con un gran impacto en la actividad de transmisión de información. Como se puede observar esta gama de información han de guiar el diseílo de nuevos sistemas de controles in­ ternos informáticos y como la empre- sa moderna necesitará de un profesio­ nal en auditoría para comprender y determinar los nuevos riesgos que ha traído el desarrollo tecnológico. El giro tecnológico que ha tenido nuestra in­ dustria los diferentes desarrollos de programas aplicacionales en el merca­ do el cambio de la legislación colom­ biana en materia de protección de de­ rechos de autor exige a las organiza­ ciones una relación fuerte entre la au­ ditoría y los sistemas informáticos y por parte de las empresas considerar un proceso permanente de implemen­ tación del sistema de control interno con énfasis en ambientes de procesa­ miento electrónico de datos. 1. LA RELACION ENTRE AU­ DITORlA y LOS SISTEMAS DE INFORMACION 1.1. Auditorfa La pregunta que surge ¿cuál es nuestro papel como auditores ¿cuál es nuestra contribución social Des­ de la naturaleza la misma auditoría fue concebida como el "proceso de acu­ mular y evaluar evidencia realizado por una persona independiente y com­ petente acerca de la información cuan­ tificable de una entidad económica especIfica con el propósito de deter­ minar e informar sobre el grado de co­ rrespondencia existente entre la infor­ mación cuantificable y los criterios establecidos"l. Por tanto el ejercicio Alvin A. Arenas y James K. Loebbecke Auditing: An lnt grated Approach 2". Ed. Prentice-Hall Englewood ClifTs N.J. 1980 p.3. C UADEn.WS DE ADMI7:¡STRAClÓNi UNIVERSIDAD DEL V ALLFJ N° 3I JUNIO DE 2004 123

slide 3:

de la profesión como contador públi­ co está soportado bajo unos esque­ mas normativos que generen confian­ za a los usuarios que utilizan la infor­ mación. Las normas de auditoría ge­ neralmente aceptadas constituyen un buen logro en el ejercicio de la conta­ duría pública éstas normas son defi­ nidas claramente por el artículo 7° de la Ley 43 de 1.990 y se relacionan con las cualidades profesionales del Coa­ tador Público con el empleo de su buen juicio en la ejecución de su exa­ men yen su informe. No detallaremos defmiciones técnicas pero se podría decir que la auditoría ha trascendido notoriamente y aquellas defmiciones del término Auditoría que implícita­ mente traían consigo vocablos como de inspección comprobación inter­ vención han permitido sintetizar en objetivos principios de causalidad qte constituYfn el fundamento del actuar del Contador Público. El ejercicio de la auditoría de siste­ mas de información ha tomado cada día importancia como un elemento adi­ cional de control en las organizacio­ nes. Los altos índices de fraude infor­ mático a que han estado expuestas las empresas han permitido que se estu­ dien enfoques de auditoría que consi­ deren evaluar los recursos de software programas y los archivos de datos con el fm de evaluar el sistema de CO\ltrO­ les diseñados para minimizar los frau­ des electrónicos e inconsistencias substanciales que tienen origen en los programas computacionales. La audi­ toría informática deberá tener un ca- rácter gerencial y ser independiente y objetiva que emita un dictamen sobre lo evaluado con la garantía de la atesta­ ción si se trata de hechos económicos y contables o con las recomendacio­ nes pertinentes si se tratase de audi­ torias administrativas de ca¡¡dad o gestión. Las nuevas tecnologías y tenden­ cias administrativa ubican la audito­ ría er. un lugar estratégico en la orga­ nización. Por otro hdo la auditoría como elemento de control ha reorien­ tado esfuerzos para involucrarse en la estructura de os procesos administra­ tivos y en algunos casos ha participa­ do en la reingeniería de éstos bajo la figura de autocontrol lo cual no la ex­ ceptúa de intervenir sino que la hace complementaria de los mismos. ¿Se deberá pensar que hablar de control interno es iI:herente a hablar de em­ presa come también de auditoría De acuerdo a la responsabilidad asumida como auditores informáticos según lo anterior ésta se le exige un cambio conceptual metodológico y de actitud profesional para el logro de un buen desempeflo con una visión más de Asesor - Consultor con una labor más funcional y de prevención para que no se conciba como en tiempos remotos que únicamente iba en la bús­ queda de errores o irregularidades en las oper.:.ciones. El enfoque empresa­ rial ha ido cam.biando en cuanto a 1:. figura del auditor da¡¡lo que se ha utili­ z2do como una labor profesional ya no tanto a descubrir errores sino de 1 24 LA AUDITORÍA DE SISTElIIAS DE LiFORMAClÓN COMO ELL\-fE.\"fO DE CONTROL

slide 4:

prevenirlos por tanto debemos traba­ jar bajo el concepto de prevención y no de reacción. Con el cambio en los modelos ad­ ministrativos centralizados o jerárqui­ cos la delegación de la responsabili­ dad deberá en los directivos determi­ nar una creciente necesidad de esta­ blecer mecanismos de controlo de auditoría para comprobar que los re­ sultados alcanzados por las personas responsables de las divisiones depar­ tamentos o unidades funcionales co­ rrespondn a lo planificado por lo or­ ganización. De hecho ya se evidencia un cam­ bio de mentalidad en los empresarios cuando en un proceso de calidad se habla de certificación de proveedores se está anticipando a las posibles in­ consistencias que se puedan presen­ tar en un proceso. Es necesario enton­ ces retomar los esquemas conceptua­ les que se tengan con respecto a la función de auditoría y llevar a cabo jornadas de sensibilización para crear al interior de las organizaciones una cultura de control. La auditoría debe ponerse mas al día en los esquemas de administración y calidad y no anquilo­ sarse en revisiones ancestrales porque podrían no contribuir al desarrollo de las organizaciones 00 puede enton­ ces la auditoría ser ajena a estos gran­ des cambios por tal motivo su fun­ ción debe generar de manera perma­ nente un valor agregado en las orga­ nizaciones. 1.2. La Auditoría como Elemento de Control El auditor debe lograr entender de manera suficiente la estructura de con­ trol interno para planear la auditoría y determinar la naturaleza objetivos di­ seños de programas y alcance de las pruebas que han de realizarse. El dic­ cionario de la lengua española define la auditoría como "El examen de las operaciones fmancieras administrati­ vas y de otro tipo de una entidad pú­ blica o de una empresa por especial is­ tas ajenos a ellas y con objeto de eva­ luar la situación de la misma" el térmi­ no auditoría proviene del inglés audit. que significa verificar inspeccionar. La auditoría data de muchos años atrás inicialmente se :lSirnilaba con la revi­ sión contable de los estados financie­ ros o con las ¡nspectoría y detección de fraudes y errores. Hoy debemos construir un concepto moderno de auditoría la concepción debe ser una soja sin embargo la aplicación de su definición debe ser de acuerdo al tipo de auditoría que se vaya a aplicar. Una auditoría podría describirse como aquella actividad que a través de pasos permiten la evaluación del control interno y la obtención de evi­ dencia válida y suficiente para esta­ blecer el grado de confiabiJidad de los procesos y la correlación entre la in­ formación y los criterios establecidos por la organización y el estado. "Auditar es el proceso de acumu­ lar y evaluar evidencia realizado por CUADERiOS DE ADMIXICJÓ\ UNIVERSIDAD DEL V ALU N° 31/ JUNIO DE 2004 125

slide 5:

una persona independiente y compe­ tente acerca de la información cuanti­ ficable de una entidad económica es­ pecífica con el propósito de determi­ nar e informar sobre el grado. de co­ rrespondencia existente entre la infor­ mación cuantificable y los criterios establecidos" 2 La I.C.P.A Statements on Audi­ ting Standars S.A.S defme la audito­ ria como "el examen independiente de la información de cualquier entidad ya sea lucrativa o no sin importar su ta­ mafio o forma legal cuando tal examen se lleva a cabo con objeto de expresar una opinión sobre dicha información". Existen innwuerable defmiciones de auditorfa por tanto los invito a que reflexionemos y tengamos criterios definidos principios y reglas básicas generales y conocidas hoy como nor­ mas Internacionales de Auditoría NIAS. Igual podríamos diferenciar los controles generales de controles es­ pecíficos aquellos controles que se encuentran en tomo a un programa apli­ cativo o paquete de software y en el cual se ejecutan tareas y en general el desarroilo y compilación de las opera­ ciones del Sistema de Información se conocen como controles generales es decir son externos a la aplicación y no dependen de sus características. La auditoria debe entender que por medio de los controles se asignan res­ ponsabilidades para proteger los acti­ vos de la Compafiía para documentar todas las transacciones y garantizar que solamente datos correctos y au­ torizados sean registrados en la Con­ tabilidad y para restringir el uso de la información a las necesidades legíti­ mas de la organización. 1.3. Enfoque General de Sistemas de información El desarrollo en la ciencia y la tec­ nología ha concebido algunas tenden­ cias hacia la especialización io técni­ co y el conocimiento estos elementos se integran cada vez más a las organi­ zaciones. La técnica como represen­ tante del conjunto de procedimientos que logran poner en práctica un pro­ ceso para obtener un resultado deter­ minado y la tecnología vista como aquello que trata conjugar una serie de reglas que permiten hacer bien las cosas en la industria incluyendo in­ ventos técnicas comprende además la descripción y crftica de los procedi­ mientos industriales retomando de la historia los progresos y avances. "En el ámbito administrativo los Sistemas son vistos como un todo or­ ganizado y unitario compuesto de dos o más partes interdependientes com- Alvin a Arenas y James K. Loebbecke Auditing: An Integrated Approach 2da Ed. prentice may Englewood Cliffs NJ. 1980 p.3. 126 LA AUDITORÍA DE SISTEMAS DE INFORMACIóN COMO ELEMENTO DE CÜiYfROL

slide 6:

ponentes o subsistemas y delineados por límites identificables que lo sepa­ ran de un suprasistema ambiental" . J ¿La teoría de la organización y la prác­ tica administrativa ha evolucionado o ha involucionado la variedad de en­ foques sistémicos sobre el análisis de la administración la gran cantidad de investigación en el campo de la inge­ niería y el número de puntos de vista opuestos han dado como resultado confuso la interpretación de las teo­ rías y en algunos casos en poder defi­ nir el concepto de la administración y su dependencia con los sistemas de información. De hecho surgen aún interrogan­ tes como ¿Qué es la administración teoría o ciencia y ¿Cómo se deben analizar los acontecimientos adminis­ trativos desde el punto de vista Sisté­ mico de hecho Chester Barnard 4 fue uno de los primeros escritores sobre administración en utilizar el enfoque de sistemas desde esa época se han desarrollado nuevos modelos e inclu­ so se han adoptado nuevos significa­ dos por algunos neologismos que se les han afiadido a la evolución de la teoría de la administración como para­ digmas de la administración. Un sistema normalmente es descri­ to simplemente como "un conjunto de elementos reunidos para alcanzar un objetivo común n . 5 Es claro que un subsistema es parte de un sistema mayor. Para lograr claridad en este tema caractericemos la empresa como un sistema mayor y las áreas seccio­ nes o departamentos como los sub­ sistemas en general el sistema se rige por los medios como si fuesen proce­ dimientos ligados a instrucciones que persiguen fmes comunes una vez se les suministran información. Por ejem­ plo al referimos al ciclo de procesa­ miento de la información de la compu­ tadora primero tendríamos las entra­ das de los datos no procesados que se recuperan de los hechos económi­ cos y seguidamente se ingresarán a la computadora ésta a su vez recibe los datos del dispositivo de entrada los ingresará filtrará y procesará para pro­ ducir algún tipo de documento que se mostrará al usuario fmal como una sa­ lida. Como característica principal el documento debe reflejar informacióa útil para la toma de decisiones. Por úl­ timo la información necesita ser alma­ cenada para usos posteriores. Obser­ vemos entonces como surgen nuevos El nombre "teoría general de sistemas" y muchos de los conceptos básicos fueron expuestos por el biólogo Ludwing Van Bertalanffy. Para tener una visión más amplia de sus puntos de vista véase "The Tepry Of Open System In Physics and Biology" Science Jan. 13 1950. pp 23-29 Y general System Theory George Braziller Inc. New Cork 1.968. Chestcr 1. Barnard The Functions of Ihe Executive Harvard University Press Cambridge Mass. 1938 Shim Jae Siegel loe y Chi Robert Respuestas rápidas para sistemas de Infonnación 1 ra edición- Prentice Hall Inc México 1.999 p.l4 CUADERNOS DE ADMIN1STRACIÓNl UNIVERSIDAD DEL V ALuJ N° 31/ JUNIO DE 2004 127

slide 7:

elementos en los sistemas de informa­ ción entradas procesamientos sali­ das y almacenamientos datos e infor­ mación. 1.4. Auditoria Informática Revisados los conceptos de audi­ toría y sistemas de información anali­ zaremos :a auditoría informática ésta es entendida como el proceso de reco­ ger agrupar y evaluar evidencias para determinar si un sistema computariza­ do salvaguarda los activos involucra­ dos en el sistema de información man­ teniendo la integridad de los datos. 6 El auditor deberá considerar cómo afec­ ta a la auditoría un ambiente de siste­ mas de información por computador. De este modo la auditoria informática sustenta y confmna la consecución de los objetivos tradicionales de la audi­ toria 7 : Objetivos de protección de activos e integridad de datos. Objetivos de gestión que abarca no solamente los de protección de los activos sino también los de efi­ cacia y eficiencia. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáti­ cos más complejos desarrollando y aplicando técnicas mecanizadas de auditoria incluyendo el uso del soft­ ware. Se pueden establecer tres grupos de funciones a realizar por un auditor informático: Participar en las revisio­ nes durante y después del diseiio de­ sarrollo implantación y post - imple­ mentación de aplicaciones informáti­ cas así como en las fases de cambios importantes. Revisar y juzgar los controles im­ plantados en los sistemas informáti­ cos para verificar su adecuación a las órdenes e instrucciones de la Direc­ ción requisitos legales protección de confidencialidad y en lo posible pre­ venir errores omisiones o fraudes. Revisa y juzgar el nivel de utilidad fiabilidad y seguridad de los equipos y la información. Asesorar en el diseiio de los ccn­ troles especificos de la aplicación por computadora. DefIDir los requerimientos de infor­ mación para la organización y el velar por el cumplimiento de las políticas y procedimientos de la compaiiía en el desarrollo de software instalación de sistemas computarizados. El siguiente cuadro contiene las diferencias y similitudes entre control interno informático y auditor informá­ tico: 8 Emilio del Peso Mario G. Piattini. Auditoría Informática un enfoque práctico Edición 1 - Computec Rama Pago 28 íb ídem Cuadro adaptado del texto de Emilio del Peso Mario G. Piattini Auditoría Informática un enfoque práctico Edición 1 - Computec Rama Pago 30. 128 LA AUDITORÍA DE SISTEMAS DE L\TORMAOÓN COMO ELEMENTO DE CONTROL

slide 8:

Diferencia Y Similitudes Entre Control Interno Informático y Auditoría Informática Control Interno Auditarla Informática Infonnátlco Similitudes Personallntemo Conocimientos especializados en Tecnologia de la información Verificación del cumplimiento de controles internos normaüvidad legal y procedimientos establecidos por la Dirección de la empresa y la Dirección General para los sistemas de inlormaclón. Diferencias Analizar los controles de An¿lisis de un momento informático manera diaria. determinado Informar a la Dirección del Informa a a Dirección General de la Departamento de Organiación I::formática Personal intemo o externo. Sólo personal de la Tiee cobertura sobre todos los organización. componentes de los sistemas de El alcance de sus /unciones información de la organización es sobre el Departamento de Informática. 1.5. La Información Como Activo Estratégico. Primero hay que diferenciar entre los conceptos de dato y de infonna­ ción puesto que de esa distinción de­ pende que se logre entender la impor­ tancia de la infonnación a nivel geren­ cial. Los datos consisten en hechos econór.1icos y cifras cuantificables que sin ser procesadas no hacen parte del suméúio de toma de decisión. Nonnal­ mente los datos toman la fonna de re­ gistros históricos la información con­ siste ea tomar los datos que de alguna m:ll1cr:l bm sido recuperados proce- sados y analizados para proyecciones pronósticos o toma de decisior.es fu­ turas. Un ejemplo de datos serían los he­ chos económicos los documentos de soporte de las transacciones de la em­ presa la legislación laboral y de segu­ ridad social la de comercio etc. los recursos financieros y materiales ne­ cesarios de apoyo que comprenden el material fuente para las declaraciones del Estado de Resultados. El concepto de infonnación dentro de la organización es considerado por algunos autores como un activo va­ lioso cito algunas empresas en espe- CUADER¡OS DE AD:l-lThlSTRAClÓNI UNIVERSIDAD DEL VALU:J N° 31/ JUNIO DE 2004 129

slide 9:

ciallas empresas punto com. tuvielOll su auge en el comercio electrónico. Baruch Lev 9 expresa en unos de sus artículos "En la economía de las em­ presas no interesa tanto el tamaño de sus activos como edificios maquilla­ rias instalaciones inventarios sino los activos intangibles que tienen su origen en los conocimientos habí lida­ des valores y aptitudes de las perso­ nas que forman parte de la empresa". De esta misma manera es de conside­ rarse /a información como uno de los activos más importantes de las empre­ sas llámense entidades es tata/es o privadas. Es lógico pensar que cada. día las empresas dependen en mayor medida de la información y de la cien­ cias aplicadas y que los sistemas de información están más soportados por la tecnología frente a la realidad de hace pocas déadas. Anteriormente la protección de los datos y de la información con arqui­ tecturas centralizadas sistemas ope­ rativos cerrados y terminales fmancie­ ras y administrativas que no procesa­ ban datos eran menos complejas de controlar hoy en día los entornos apli­ cacionales son más complejos dada la diversidad de plataformas tecnológi­ cas y masificación de sistemas de re­ des no sólo internas sino también externas e incluso con enlaces inter­ nacionales. La información consiste en datos que han sido recuperados pro­ cesados o usados de una u otra mane­ ra con propósitos informativos o de inferencia o como .lna base para el pronóstico o la toma de decisiones. 10 Los documentos de apoyo antes mencionados son un claro ejemplo de estos datos pero en este caso los da­ tos son usados por un auditor de sis­ temas de información auditor interno externo o el Revisor Fiscal para la vali­ dación y verificación de la información a través de pruebas de cumplimiento o sustantivas según el caso. 2. LA GERENCIA Y SU RELACiÓN CON EL CON­ T ROL INFORMATICO y LA AUDITORIA DE SISTEMAS 2.1. E l Softw are Legal como Rol Protagónico del Sistema de Información Las empresas como integrados de capitales personas y técnicas debe­ rán conjugar un rol protagónico en la defensa de los derechos de autor y la propiedad intelectual el Estado Co­ lombiano ha desarrollando un conjun­ to de normas que regulan protegen y penalizan a aquellas personas que vio- Este enfoque conocido como Knowledge Capital Scorebooard calcula el potencial de las ganancias futuras que crea el conocimiento a través de la normalización de los ingresos intelectuales. Su promotor es Baruch Lev. 10 Jae K. Shim Siegel Chi- Respuestas rápidas para sistemas de información. Editorial Pearson- 1999- 14 130 LAAUDrroRÍA DE SJSTDfAS DE hFORMACIÓN COMO ELElIIL""TO DE CONTROL

slide 10:

len estos derechos ¡as mismas que incluyen la protección del software. La ley 44 de 1993 establece a quie­ nes cometen delito de piratería de soft­ ware penas entre dos y cnco aflos de cárcel así como el pago de indemniza­ ::iones por daños y perjuicios. Se con­ sidera delito el uso o reproducción de un programa de computador de mane­ ra diferente a como está estipulado en la licencia de software. La reforma al código de procedi­ miento penal que entró en vigencia a partir del mes de julio de 2001 con­ vierte en no excarcelables los delitos en contra de la propiedad intelectual y los derechos de autor. Lo que signifi­ ca que quien sea encontrado usando distribuyendo o copiando software sin licencia deberá estar en la cárcel hasta por un período de 5 afios: La ley 603 del afio 2000 la cual obli­ ga a las empresas a reportar en sus Informes Anuales de Gestión el cum­ plimiento de las normas de propiedad intelectual y derechos de autor ade­ más faculta a la DIAN y a la Superin­ tendencias para supervisar el cumpli­ miento de estas leyes. Surgen con respecto a lo anterior los siguientes mterrogantes ¿Cuál es el papel que juega el Estado Colombia­ no frente a la Legalización del Soft­ ware ¿El estado Colombiano se ha pre­ ocupado por la transferencia de tecno­ logía ¿Podría depender tecnológica­ mente el éxito de una organización La formulación y aplicación de es­ trategias deben permitir que en las or­ ganizaciones existe personal cualifica- do que acrediten aptitudes habilida­ des gerenciales y técnicas para lograr a través de programas y procedimien­ tos aplicar de manera eficiente el ma­ nejo de los equipos. En a organización actual el soft­ ware es una herramienta útil para cual­ quier empresa El Software permite que la compañía sea más eficiente y por ende los trabajadores más productivos. 2.2. La Administración del Software en las Empre­ sas. De acuerdo con la regulación Co­ lombiana el uso de Software no auto­ rizado o adquirido ilegalmente se con­ sidera como Software Pirata y es una clara violación a los derechos de au­ tor. La gerencia debe regular el uso del Hardware y de software contemplan­ do algunas normas como por ejemplo: Toda dependencia podrá utilizar únicamente el hardware y el software que el departamento de Sistemas le haya instalado y oficializado mediante el acta de entrega respectiva. El departamento de Sistemas lle­ vará el control del Hardware y el Software instalado basándose en el número de serie y licencia que contiene cada uno. ./ El departamento de sistemas ins­ talara el software en cada compu­ tador y entregara al área usuaria los manuales pertinentes los cua­ les quedaran bajo la responsabili­ dad del Jefe del departamento res­ pectivo. CUADERNOS DE ADi\lJlSTRAClÓNl UNIVERSIDAD DEL V ALW N° 311 JUNIO DE 2004 131

slide 11:

.¡ Los trámites para la compro de los equipos aprobados por el depar­ tamento de sistemas así como la adecuación fisica de las instala­ ciones será realizada por la depen­ dencia respectiva. Para poder finnar el informe de Ges­ tión es importante que el gerente co­ ordine con el Auditor de Sistemas rea­ lizar una inspección en forma periódi­ ca del software instalado en la empre­ sas para evitar problemas posteriores como fraudes pérdida de información multas pago de peIjuicios a los fabri­ cantes sentencias de prisión entre otros. Al momento de realizar la inspec­ ción la Business Software Alliance BSA recomienda que la empresa en cabeza de la gerencia deba contemplar como mínimo los siguientes pasos: a. Recopilar y revisar todos los regis­ tros de adquisición de Software. b. Recopilar y revisar todos los con­ trotos de licencias de programas de software c. Seleccionar la fecha en que realiza­ rá la inspección interna y decida si los empleados serán notificados con antelación. Si es así la geren- cia enviará un memorando explica­ tivo. De lo contrario cuando se realice la inspección respete la pro­ piedad de los empleados. Es posi­ ble que encuentre programas ins­ talados que son propiedad del em­ pleado que han sido instalados le­ galmente. Se recomienda no borror ningún programa sin consultar con el usuario del Pe. d. Determine quién deberá estar in­ volucrado en la inspección. Se su­ giere que en la revisión se encuen­ tre el jefe o gerente de sistemas losjefes de cada Departamento el asesor legal o el inspector de la em­ presa. Es importante establecer una me­ todología de tmbajo conjunta entre el auditor de informática o el responsa­ ble de la seguridad en el ambiente in­ formático y la gerencia para que no tenga inconvenientes de verificación del software instalados en los compu­ tadores. Para efecto de un debido con­ trol del software instalado y licencia­ do el Revisor Fiscal 11 dada la res­ ponsabilidad de éste deberá propen­ der porque en sus papeles de trobajo la administroción reúna información 11 Sociedades a tener Revisor Fiscal: Deberán Tener Revisor Fiscal las sociedades por acciones las sucursales de compailías extranjeras y las sociedades en que por ley o por los estatutos la administración no corresponde a todos los socios cuando así lo dispon­ ga cualquier número de socios excluidos de la administración que representes no menos de veinte por ciento de capital. Nota Complementaria: Conforme con el parágrafo segundo del artículo 13 de la ley 43 de 1.990 es obligatorio tener revisor fiscal en todas la sociedades comerciales de cualquier naturaleza cuyos activos brutos al 31 de Diciem­ bre del ailo inmediatamente anterior sean o excedan el equivalente de cinco mil salarios mínimos y/o cuyos ingresos brutos durante el afta inmediatamente anterior sean o excedan el equivalente de tres mil salarios mínimos. 132 LA AunITORÍADE SISTIMAS DE bFORMACIÓN COMO ELEMEJI¡lO DE CONTROL

slide 12:

concerniente a Inventario físico de Hardware y Software facturas de com­ pra de equipos facturas de c0mpra y licencias de software. 2.3. La gerencia y el Sis­ tema de Control Tradicionalmente en materia de control interno se adoltaba un enfo­ que bastante restringido limitado a los controles contables internos. En tan­ to se relacionaba con la información financiera el control interno era un tema que interesaba principalmer.te al personal financiero de la organización y por supuesto al auditor externo. Drmostrando la versatilidad del control interno se podría decir que el Sistema de control interno es una he­ rramienta de gestión gerencial. Para la administración es una herramienta que :10 sustituye la gestión y además los controles deberán ser constituídos dentro de las actividades de operación y no fuera de ellos. En la administración el control está definido como toda actividad consis­ tente en seguir verificar y evaluar el grado de conformidad de las acciones comprendidas o realizadas respecto a las previsiones y pro:lfall1as con el fm de cubrir las diferencias e inconstan­ cias que se presentaran. El Comité de Procedimientos del AJCPA definía el control interno ¡:le la siguiente forma: "El control interno abarca el plan de organización y los métodos coordinados y medidas ldop­ tadas dentro de la empresa para salva- guardar sus activos verificar la ade­ cuación y fiabilidad de la información de la contabilidad promover la efica­ cia operacional y fomentar la adheren­ cia a las políticas establecidas de di­ rección Normas profesionales AICPA Pág. 243. El Committe ofSponsoring Organizations ofthe Treadway Comi­ sión COSO lo definió en su estudio "Como un proceso efectuado por la junta directiva de una entidad 1L. ad­ ministración y otro persona diseftado para proporcionar seguridad razona­ ble respecto de la consecución de ob­ jetivos en las siguientes categorías: Efectividad y eficiencia de las opera­ ciones confiabilidad de la información f:nanciera el cumplimiento de las le­ yes y regulaciones aplicables.". El reporte enfatiza que el sistema de control interno es una herramienta de la administración pero no un susti­ tuto para esta y que los controles de­ berán ser construidos dentro de las actividades de operación y no fuera de ellas. Yanel Blanco Luna en su libro Manual de Auditoría y Revisoría Fis­ cal Edición 2001. p473. sostiene que esta definición refleja ciertos concep­ tos fundamentales: "El control interno es un proceso. Esto es un medio ha­ cia un fm no un fm es si mismo. El Control Interno es efectuado por per­ sonas no es mera".lente políticas ma­ nuales y formatos sino personas a ni­ veles de una organización. Del control interno puede esperarse que provea solamente una razonable"seguridad no absoluta seguridad a la gerencia y CUADERSOS DE ADMVllSTRACIÓNI UNIVERSrDAD DEL VALLE N° 31/ Jlf.Il0 DE 2004 133.

slide 13:

junta de una entidad. El control inter­ no es el mecanismo para el logro de objetivos de una o más categorías se­ paradas o interrelacionadas." En el sector público el Sistema de Control Interno y de Gestión es una herramienta dispuesta por la Consti­ tución Política de Colombia en sus artículos 209 y 269 interpretadas por la Ley 87 de 1.993 para modernizar las instituciones y llevarlas al perfeccio­ namiento mediante la evaluación y cambio permanente y continuo. En sentido amplio el Control se define como el conjunto de normas procedi­ mientos técnicas políticas por medio de los cuales se evalúan y corrige el ejercicio profesional. El concepto de controi interno no incluía muchas de las actividades ope­ rativas claves destinadas a prevenir los riesgos efectivos y potenciaies a los que se enfrentan las organizacio­ nes. Durante decenios la prensa ha in­ formado sobre muchos escándalos re­ lacionados a errores en el otorgamien­ to de créditos COD. la garantía de in­ muebles inexistentes o extremadamen­ te sobre-vaicrados la manipulación de la información fmanciera operaciones bursátiles realizadas con información privilegiada y muchos otros conoci­ dos fallos de los controles que han afectado a empresas de diferentes sec­ tores. Las tendencias externas que influ­ yen en las empresas son entre otras las siguientes: La globalización la diversificación de actividades la introducción de nue­ vos productos como respuesta a la competencia y las fusiones y la forma­ ción de alianzas estratégicas Ante la rapidez de los cambios los directores para evitar fallos de con­ trol significativos deben revaluar y re­ estructurar sus sistemas de control interno. Deben actuar de manera pro­ activa tomando medidas eficaces para su propia tranquilidad así como para garantizare a los consejos de adminis­ tración accionistas comités y publi­ co que los controles internos de la empresa están adecuadamente diseña­ dos para hacer frente a los retos del futuro y en consecuencia asegurar la integridad de los datos en el momento actual. CONCLUSIONES La información se ha convertido en un factor de suma importancia para las organizacones y de ahí el éxito de cual­ quier negocio. Deben existir flujos de información aceptables y definidos a través de normas políticas y procedi­ mientos de control interno informáti­ co de la organización. El sistema computar izado es un subconjunto del flujo formalizado que se muestra en diferentes grados segín el nivel de estructura de la rmpresa. Así pues en el aspecto operacional es normal encontrar un alto grado de sistematización en las empresas por lo que el Sistema de Información debe estar configurado de fonna tal que pro- 134 LA AUDrroRÍA DE SlSTElI1AS DE LlFORlI1ACIÓN COMO ELEMLVfO DE CONTROL

slide 14:

porcione a cada nivel gerencial infor­ mación oportuna y exacta de manera eficiente y eficaz. Los sistemas informáticos ccn los últimos desarrollos tecnológicos han permitido cambios fundamentales en las estructuras de las organizaciones en el campo de la informática los cam­ bios deben traen consigo iniciativas de control. La Auditoría de Sistemas de Información debe ser considerada como un elemento de control en las organizaciones. Colombia ha hecho esfuerzo en re­ gular los programas de software en materia de protección de derechos de autor ya través del cumplimiento de la Ley 603 de 2000 las empresas deben reportar en sus informes anuales de gestión el cumplimiento de las normas de propiedad intelectual y derechos de autor. No obstante en materia de pro­ puesta de desarrollo tecnológico o el logro de transferencia de tecnología de otros países se ha hecho poco. La creación e implementación de un centro de información se propone como una forma para facilitar los usuarios que satisfagan sus necesida­ des de información a corto plazo y que al mismo tiempo todavía reciban soporte del departamento de sistemas de información. Un centro de informa­ ción tiene como objetivo principal el dar soporte a los usuarios internos de la organización para que ingresen da­ tos y a la información en forma tal que tengan ei poder de formular analizar y resolver sus propios problemas o pre- guntas del negocio mediante el uso de la computadora. Por la diversidad y volumen de operaciones de recursos y presupues­ tos que maneja la empresa aumenta la complejidad de las necesidades de control y auditoría surgiendo en las organizaciones como medidas orga­ nizativas las figuras de control inter­ no informático y auditoría informática. En muchas organizaciones el au­ dito" de sistemas de información ha centrado su atención en la evaluación de riesgos y la comprobación de con­ troles internos muchos de los cuales se incorporan en programas informáti­ cos o se realizan por parte de la fun­ ción informática de la organización representado por el Control Interno Informático el enfoque centrado en controles normalmente exige amplio conocimientos en sistema de informa­ ción y los diferentes procesos organi­ zacionales. El control interno informá­ tico controla diariamente que todas las actividades de sistemas de informa­ ción sean realizadas cumpliendo los procedimientos estándares y normas establecidos por la dirección de la or­ ganización o el departamento de siste­ mas así como los requerimientos le­ gajes. Los controies se usan para reducir la posibilidad de ataque a la seguridad de las computadoras. Conforme se es­ tablecen estos controles adicionales es prob\ble que los costos operacio­ nales se incrementen. CUADERNOS DE ADMINISTRACIÓN UNIVERSIDAD DEL V ALLFl N° 311 JUNIO DE 2004 135

slide 15:

Es importante entonces determinar la relación costo - beneficio vemos como algunos controles generales de procesamiento electrónicos de datos que han de considerarse dentro de la evaluación sor. considerados como controles de administración y organi­ zación. El auditor en este punto debe crear la metodología necesaria para auditar los distintos aspectos o área que defma en el plan. El objetivo de este tipo de controles está diseBado para establecer un marco de referencia organizacional sobre las actividades del sistema de información computari­ zado. BIBLIOGRAFIA PIATINNl Mario Del Peso Emilio. Auditoría Informática un enfoque Prác­ tico. EditoriaIALFAOMEGA. Colom­ bia 1.998 BLANCO Luna Yanel. Manual de Auditoría y Revisoría Fiscal. Editorial PVP Gráficos SAo Colombia 2.00 l. SHIM Jae Siegel Joel y Chi Robert. Respuestas rápidas para Sistemas de Infonnación. Editorial Pearson. Méxi­ co 1.999. HANH Harley. Unix Sin Fronteras. Editorial McGraw-HiIl. Mexico 1.995 DELGADILLO Diego. El Sistema de Infonnación Contable Fundamentos y marco de referencia para su admin is­ tración. Editorial Artes Gráficas dei Valle- Impresores Ltda.- Universidad del Valle. Colombia 2.00 I KAST Fremont y Rosenzweig. Ad­ ministración en las Organizaciones- enfoque de sistemas y de contigen­ cias. Editorial McGraw-HiU. 4ta edición Ingles - 2da edición EspaBol. Mexico 1.992 KENDALL KENDALL.Análisis y DiseBo de Sistemas. 3era Edición. Edi­ torial Pearson Educación. México 1 .997. AKTOUF Ornar. La administración: Entre tradición y Renovación. Edito­ rial Artes Gráficas del V alle- Impreso­ res Ltda.- Universidad del V alle. Co­ lombia 2.00 I FEDERACIÓN INTERNACION AL DE CONT ADORES lFAC. Guía inter­ nacional de educación No. 11. Dic. 1995. Tecnología de la infonnación en el currículo de contaduría. BUSINESS SOFTWAREALLIAN­ CE BSA. Guía para la Administración del Software en las Empresas Colom­ biana. 2003. www.bsa.orglcolombia PINILLA José Dagoberto. Audito­ ría Infonnática aflicciones en Produc­ ción. Editorial Ecoe Ediciones. Colom­ bia 1.997 CUB ILLOS Moreno Euclides. Guías de clases de postgrado en audi­ toría de sistemas Universidad Nacio­ nal de Colombia 1.996. CUBILLOS Moreno Euclides. Guías de cIases de seminario control interno y seguridad en sistemas de in· formación automatizados AUDISI 1.9986. PEÑA Jesús María. Control Audi­ tona y Revisoría Fiscal. Editoria Ecoe Ediciones. Colombia 2000. DELGADO Alberto. Elementos de Informática y Computadores. Editorial Ceoe Ediciones. Colombia 1.999. 136 LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN COMO ELEIfEl\fO DE CONTROL

authorStream Live Help