¿Qué razones condicionan el surgimiento y existencia de la auditoría informática? (página 2)

 Tal conclusión conduce, a la inexcusable
necesidad de practicar "Auditorías Informáticas", a
partir de un conjunto de técnicas y
procedimientos
que evalúen los controles internos intrínsecos y
específicos de los Sistemas de Información; en
consecuencia, determina, que conceptualmente, no es
dependiente ni evoluciona desde la auditoria convencional;
sus puntos de partida son esencialmente diferentes ya que no
analiza la corrección o incorrección de cuentas
contables, sino que constituye un instrumento de control superior
para valorar la correcta administración de los recursos de tecnología
de información como: Datos,
Aplicaciones, Tecnología, Instalaciones, y Personal para
valorar la efectividad de la información que requiere la
Organización. Su concepción se refiere a la
integración de las técnicas
informáticas y de auditoría para practicar un nuevo
estilo de verificación, sobre un ambiente no
convencional, con herramientas
de punta y con procedimientos inexistentes y que puede definirse
como:

"El conjunto de Procedimientos y
Técnicas

que evalúan, parcial o totalmente los
Controles Internos de los Sistemas de Información; la
Protección de sus activos

y recursos; verifica si su explotación se
desarrolla con Eficiencia, de
acuerdo con

las políticas
y normativas establecidas por cada

eentidad y valora si se alcanza el grado de
Organización previsto para el marco

donde participa y actúa".

En correspondencia con la definición que
antecede, así como por su finalidad, objetivos y
utilidad que
le atribuimos, la Auditoría Informática se clasifica en: Auditorias
Informáticas de Seguridad, de
Redes, de Sistemas o Aplicaciones, de Explotación de los
Sistemas, de Planificación y Organización y de
Gestión de la Tecnología para el logro de los
propósitos de la Organización. Consecuentemente, se
han diseñado un conjunto de premisas, principios, y
procedimientos para la práctica de estas
auditorías.

EVOLUCION

En su aplicación práctica, el desarrollo
de la Auditoría
Informática, evoluciona incesantemente, en
proporción directa a la generalización y
perfeccionamiento de las Tecnologías de Información
(TI); en consecuencia, el principal propósito que
persigue, se refiere a:

• Lograr una precisa identificación de los
  objetivos previstos de revisión, diagnóstico,
  profundidad, alcance y contribución al propósito
  esencial de sus propios horizontes.
• Proveer de un enfoque conceptual, a Gerentes y
  Directivos de las Entidades, sobre el Sistema de
  Control Interno de las Tecnologías y su evaluación a través de la
  Auditoría.
• Dotar a especialistas informáticos y auditores
  de conceptos básicos, con especial atención sobre su carácter
  abarcador, frente a otras técnicas de Auditoría
  tradicionales o convencionales, así como a la
  práctica objetiva de auditorías con la ayuda de
  herramientas
  informáticas de punta.
• Abordar los objetivos generales y específicos
  perseguidos en cada auditoria, basados en los criterios y
  estándares de información que garanticen el logro
  de los objetivos y metas de la organización.
• Analizar los principales síntomas y
  señales de riesgo
  presentes en las organizaciones
  que emplean Tecnologías de Información (TI), que
  aconsejan este tipo de Auditorías.
• Describir, con todo detalle, su clasificación,
  alcance y profundidad.

 Los ordenadores se expanden e interconectan entre
si, los sistemas se articulan y generan complejas redes y
organizaciones informáticas que manejan grandes y
complejos recursos.

La Auditoría Informática justifica su existencia y
reciente aparición, en función de
la utilidad real que
proporciona al evaluar el grado de fiabilidad, seguridad y
cumplimiento de los controles intrínsecos de cada
aplicación, su adecuada organización, así
como la adecuada relación costo/beneficio
resultante de las cuantiosas inversiones en
hardware y
software.
Así, nos encontramos con el reto de analizar, hallar
conclusiones razonadas, descubrir fortalezas y debilidades y
expresar juicios objetivos sobre un conjunto de aspectos muy
complejos cuyo soporte son las tecnologías, y los Sistemas
de Información en explotación.

MATRIZ DE
RIESGOS

Entre los procedimientos establecidos, se incluye la
confección de la Matriz de Riesgos,
herramienta fundamental, para evaluar los controles que deben de
estar presentes tanto en las aplicaciones como en su entorno.
Seleccionadas aquellas funciones que
constituyen riesgos y causas
de riesgo, pueden
ser evaluados con precisión, el éxito
alcanzado por cada control, determinando aquellos, que por
débiles o insuficientes, actúan adversamente o con
un efecto inversamente proporcional al esperado (causas de
riesgos).

A manera de ejemplo, se anexa una Matriz de
Riesgo que muestra algunas
de las relaciones existentes entre controles, causas de riesgos y
grado de efectividad que cada uno de ellos posee con distinta
probabilidad;
de igual forma, se muestra como
varias causas de riesgos con distintas probabilidades pueden
provocar un riesgo.

El empleo de la
Matriz de
Riesgo permite obtener señales y advertencias concluyentes
sobre los controles existentes y su efectividad real respecto a
la esperada. A partir de sus resultados se aplican procedimientos
de simulación
y comprobación sustantiva, para evaluar controles,
sistemas, procedimientos, grado de efectividad de
políticas y medidas instrumentadas por la
organización en lo que se refiere a garantizar la
seguridad física
y lógica
del hardware y
software;
confiabilidad de los sistemas; adecuado empleo de los niveles de
acceso; mantenimiento
sistemático; respaldo de los sistemas; así como
efectividad de los planes de medidas contra contingencia, a fin
de minimizar riesgos tales como retraso o interrupción del
trabajo, mala toma de
decisiones, desastres, delitos y
otros.

En su aplicación práctica, la Dirección General de Auditoría del
Grupo
Corporativo CIMEX, en su desempeño cotidiano, ha aplicado las
técnicas y procedimientos de Auditoría
Informática, establecidas y contenidas en la obra
homónima publicada en el año 1999, por los propios
autores del presente artículo. Durante el período
trascurrido entre los años 1998 y septiembre de 2002, un
total de 1037 Auditorías Informáticas se han
practicado a diversas entidades y unidades, de las que se
derivaron un total 3116 soluciones
principales.

De su empleo, se han obtenido resultados
prácticos, que se califican por la Organización,
como un importante "valor
añadido" generalizado, tanto de carácter
tangible, como intangible, al tiempo que
constituye una contribución en el ámbito nacional,
dado su reconocimiento oficial y su actual empleo por otras
importantes organizaciones económicas, no dependientes de
CIMEX.

En correspondencia con tales resultados, se ha
potenciado su desarrollo con la incorporación del modelo COBIT,
que permite alcanzar nuevos niveles de profundidad, y desarrollo,
y sus aplicaciones asociadas.

NOTA. Los puntos de vista y opiniones de los
autores, no necesariamente representan los puntos de vista de la
editora. La información que el artículo provee, es
de naturaleza
general y de carácter informativo.

 ANEXO MODELO DE
MATRIZ DE
RIESGO

Lic. León Zavaro Babani,

Licenciado en Economía; Dipl.
DEADE

Director General de Auditoría de la
Corporación Cimex S. A.

Audita S. A, Consultores y Auditores
Independientes

Presidente S/B Asociación Nacional de
Economistas y Contadores, Auditoría

;

Ing. Ceferino Martínez
García,

Ingeniero en Matemática; Certificado
Microsoft

Director de Informática y Desarrollo de
la Dirección General de
Auditoría

Asesor Principal Audita S. A, Consultores y
Auditores Independientes

;