El auditor informático ha de velar por la
correcta utilización de los amplios recursos que
la empresa pone
en juego para
disponer de un eficiente y eficaz Sistema de
Información. Claro está, que para la
realización de una auditoria informática eficaz, se debe entender a la
empresa en su
más amplio sentido, ya que una Universidad,
un Ministerio o un Hospital son tan empresas como
una Sociedad
Anónima o empresa Pública. Todos utilizan la
informática para gestionar sus "negocios" de
forma rápida y eficiente con el fin de obtener
beneficios económicos y de costes.
Por eso, al igual que los demás órganos
de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas
Informáticos están sometidos al control
correspondiente, o al menos deberían estarlo. La
importancia de llevar este control se puede deducir de varios
aspectos. He aquí algunos:
- Las computadoras y los Centros de Proceso de
Datos se
convirtieron en blancos apetecibles no solo para el
espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la
Auditoria Informática de Seguridad. - Las computadoras creadas para procesar y difundir
resultados o información elaborada pueden producir
resultados o información errónea si dichos
datos son, a su vez, erróneos. Este concepto
obvio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza
y calidad de
los datos de entrada a sus Sistemas Informáticos, con
la posibilidad de que se provoque un efecto cascada y afecte
a Aplicaciones independientes. En este caso interviene la
Auditoria Informática de Datos. - Un Sistema
Informático mal diseñado puede convertirse en
una herramienta harto peligrosa para la empresa: como las
máquinas obedecen ciegamente a las
órdenes recibidas y la modelación de la empresa
está determinada por las computadoras que materializan
los Sistemas de
Información, la gestión y la
organización de la empresa no puede depender de un
Software y
Hardware
mal diseñados. Estos son solo algunos de los varios
inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoria
de Sistemas
El auditor de Base de
Datos revisará finalmente la integridad y
consistencia de los datos, así como la ausencia de
redundancias entre ellos.
La auditoria informática interna tiene la
ventaja de que puede actuar periódicamente realizando
Revisiones globales, como parte de su Plan Anual y de
su actividad normal. Los auditados conocen estos planes y se
habitúan a las Auditorias,
especialmente cuando las consecuencias de las Recomendaciones
habidas benefician su trabajo.
El alcance de la auditoria ha de definir con
precisión el entorno y los límites
en que va a desarrollarse la auditoria informática y se
complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el
Informe
Final, de modo que quede perfectamente determinado no solamente
hasta que puntos se ha llegado, sino cuales materias
fronterizas han sido omitidas. Ejemplo: ¿Se
someterán los registros
grabados a un control de integridad exhaustivo? ¿Se
comprobará que los controles de validación de
errores son adecuados y suficientes? La indefinición de
los alcances de la auditoria compromete el éxito
de la misma .
Utilización de las técnicas de auditorias asistidas por
computadoras.
Los procedimientos
de auditoria con informática varían de acuerdo
con la filosofía y técnica de cada departamento
de auditoria en particular. Sin embargo, existen ciertas
técnicas y/o procedimientos que son compatibles en la
mayoría de los ambientes de
informática.
Estas técnicas caen en dos categorías:
métodos
manuales y
métodos asistidos por computadoras.
El auditor debe utilizar la
computadora en la ejecución de la auditoria, ya que
esta herramienta permitirá ampliar la cobertura del
examen, reduciendo el tiempo /
costo de las
pruebas y
procedimientos de muestreo, que
de otra manera tendría que efectuarse manualmente. Una
computadora
puede ser empleada por el auditor en:
- Verificación de cifras totales y
cálculos para comprobar la exactitud de los reportes
de salidas. - Pruebas a los registros de los archivos para
verificar la consistencia y la calidad de los
datos. - Clasificación de datos y análisis de la ejecución de
procedimientos. - Selección e impresión de datos
mediante técnicas de muestreo y
confirmaciones. - Llevar a cabo en forma independiente una simulación del proceso de transacciones
para verificar la conexión y consistencia de los
programas
computacionales.
El empleo de la
microcomputadora en la auditoria constituye una herramienta que
facilita la realización de actividades de
revisión como:
- Trasladar los datos del sistema a un ambiente
de control del auditor. - Llevar a cabo la selección de datos.
- Verificar la exactitud de los
cálculos. - Analizar los datos y determinar su calidad e
integridad. - Muestreo estadístico.
- Visualización de datos.
- Ordenamiento de la información.
- Producción de reportes.
La calidad de sus datos es uno de los fundamentos del
éxito de su organización. El tener acceso a
información exacta y completa es fundamental para la
toma de
decisiones estratégicas y de misión
crítica. Datos con calidad apoyan y
fortalecen virtualmente todas las funciones de
negocios y son especialmente importantes para tomar cualquier
tipo de iniciativas.
Para asegurar la exactitud e integridad continuas de
sus datos es necesario:
- Analizar y detallar los niveles de calidad de datos,
fragmentación, errores y otras anomalías
particulares a sus archivos. - Identificar elementos, limpiar, estandarizar,
identificar clientes
duplicados y enlazar clientes relacionados provenientes de
fuentes
heredadas internas ("legacy") o bases de datos
externas antes de la integración para asegurar una
conversión fluida y sin problemas. - Identificar el tipo de cliente,
género y relaciones, a pesar de problemas
de ortografía y captura, variaciones y datos
capturados en campos equivocados. - Preparar automáticamente los registros para
procesos
más eficientes de identificación de duplicados y
enlace de clientes relacionados, así como otros procesos
que proveerán un cuadro más completo de su base
de clientes. - Asegurar que un solo perfil central y actualizado es
mantenido cada vez que entran nuevos datos de clientes a sus
sistemas corporativos, sin importar la aplicación o
portal de contacto. - Proveer mejor manejo de créditos a través de las
aplicaciones y las subsidiarias para reducir los riesgos
relacionados con el crédito.
Una pobre calidad de datos va en contra de la buena
administración de los recursos
humanos, financieros y materiales
de una institución, va en contra de la creación
de valor y de
la excelencia operacional, incrementa los costos, impacta
los niveles de servicio y
reduce la eficiencia de
las operaciones.
- Dimensiones de la Calidad de
Datos.
En el área de Manejo de
calidad total
de los datos (TDQM), la limpieza de datos está
relacionada con la aplicación de la calidad a los ciclos
de adquisición y uso de los datos, y está
compuesta de una serie de actividades: valoración,
ajuste del análisis y decantación de los datos.
En este mismo marco, la calidad de los datos se mide en
función de 4 dimensiones:
- Corrección.
- Actualización.
- Integridad.
- Consistencia.
- Método para mejorar la Calidad de
Datos.
Una vez creada la expectativa y reconocidos los
beneficios de mejorar la calidad de la información, se
debe aplicar una metodología para mejorar la calidad de la
información en nuestro negocio.
- Identificar la información crítica para
el negocio. Existe tanta información en una
organización que difícilmente podemos dedicar
suficientes recursos para mejorar la calidad de toda la
información, por lo que hay que identificar cual es la
información que tiene un mayor impacto en las
operaciones del negocio. - Definir criterios de Calidad de Datos, esto es,
definir cuando un dato es exacto para su
organización. - Realizar mediciones iniciales para detectar posibles
problemas de Calidad de Datos. Este paso es un diagnóstico que nos apoya a medir la
calidad actual de la información crítica definida
en el paso 1, identificando donde se encuentran los mayores
problemas y priorizando las áreas con las que hay que
iniciar el esfuerzo. - Automatizar Indicadores
de Calidad de Información. En este paso se realizan
programas que apoyen a medir periódicamente la Calidad
de la Información, lo que no se puede medir no se puede
administrar y no se puede mejorar. Estos medidores deben estar
al alcance de las personas que serán las responsables de
monitorear y mejorar la calidad de la
información. - Definir responsables de Calidad de Datos. Una de los
factores críticos de éxito de un proyecto de
Calidad de Datos es definir un responsable de cada indicador,
esta persona debe
monitorear las tendencias del indicador y realizar planes de
acción encaminados a la mejora de los
indicadores. - Diagnósticos de calidad de Datos. En estos
diagnósticos se determinan las posibles causas de la
mala calidad de Datos y se definen planes de acción con
responsables para mejorar el indicador. Entre los planes de
acción normalmente se incluye el establecer controles
preventivos y correctivos para la mejora de la calidad de
Datos. - Monitoreo de los indicadores por parte de la Gerencia. Si
los empleados no perciben las altas expectativas por parte de
la gerencia, el proyecto tendrá resultados limitados, es
importante que los indicadores de Calidad de Datos se revisen
periódicamente, asegurando su seguimiento y mejora
continua.
Finalmente, una vez estabilizados los indicadores de
Calidad de Datos, se regresa al punto uno para identificar
información que tenga impactos en el negocio y que sea
necesario su medición y mejora .
En muchas aplicaciones relacionadas con los temas de
investigación de descubrimiento de
conocimiento
en los datos, almacenes de
datos, y toma de decisiones, un aspecto crítico lo
constituye el nivel de corrección de los datos con que
se trabaja.
Este tipo de aplicaciones generalmente se nutren de
bases de datos operacionales, y con frecuencia en las mismas se
encuentran registros de datos con información incompleta
o errónea, pues aunque se plantea que existen varios
factores que pueden influir en la calidad, consistencia e
integridad de los datos, muchas veces, el origen de los datos,
constituye un factor crucial. Aún cuando los
desarrolladores de sistemas hagan ingentes esfuerzos para
evitar los errores en los datos, la razón de error es
aproximadamente de un 5% .
La existencia de "datos sucios", como también
se le llama a estos errores en los datos, tiene un gran impacto
en las instituciones, reflejándose esto en un
alto costo operacional, toma de decisiones inadecuadas,
incremento de la inseguridad
y una desviación de la atención de las direcciones de las
instituciones .
La definición de Limpieza de datos aborda
diferentes elementos, por ejemplo, el tratamiento de
valores
ausentes o faltantes, la determinación de la
utilidad
de los registros, la determinación de datos
erróneos etc.No existe una definición general
establecida sobre este proceso, pues depende del
área específica en que se aplique.Algunas de estas definiciones son:
"Limpieza de Datos es el proceso de
eliminación de errores e inconsistencias en los
datos, y aclaración del problema de identidad del objeto ."Limpieza de Datos se define como el problema de
Mezcla/limpieza" ."La Limpieza de datos es el proceso que se encarga
de detectar y eliminar anomalías en los datos y la
necesidad de llevarla a cabo aumenta cuando existen varias
fuentes de datos que necesitan ser integradas" .Limpieza de datos es el proceso de corregir o
remover información incorrecta, con formato
inapropiado o duplicado en una base de datos. Una
empresa en una industria intensiva en información
como la banca,
los seguros,
telecomunicaciones o transporte, puede utilizar una herramienta
de limpieza de datos para examinar sistemáticamente
los datos para encontrar fallas mediante la
utilización de reglas, algoritmos y tablas de búsqueda. Por
lo general una herramienta de limpieza de datos incluye
programas que son capaces de corregir un número
específico de tipos de errores como completar
números telefónicos o encontrar registros
duplicados. La utilización de una herramienta de
limpieza de datos puede ahorrar un tiempo significativo al
administrador de la base de datos y puede
ser menos costoso que arreglarlo a mano .- Definición de Limpieza de
Datos - Principios de la Limpieza de
datos.
La necesidad de la limpieza de datos se centra
fundamentalmente alrededor de mejorar la calidad de los datos
para hacerlos "apropiados para su uso" por los usuarios
mediante la reducción de los errores en los datos y
mejorando su documentación y presentación. La
prevención de errores es mucho mejor que la
detección de los mismos y su posterior limpieza. No
importa cuan eficiente sea el proceso de entrada de datos, los
errores siempre ocurrirán, por lo tanto ni la
validación de datos ni la corrección puedes ser
ignorados.
- La planificación es esencial. (desarrollar
una visión, política y estrategia) - La prevención es mejor que la cura
- Organizar los datos mejora la eficiencia.
- La responsabilidad es de todos (colector,
administrador y usuario) - La asociación mejora la
eficiencia, - Establecer objetivos y desarrollar
medidas.
El desarrollo
de medidas es una adición valiosa en los procedimientos
de control de
calidad y ayuda a dirigir el proceso de limpieza de datos.
El desarrollo de medidas puede incluir hasta el chequeo
estadístico de los datos .
- El establecimiento de prioridades reduce la
duplicación. - La retroalimentación es un camino de dos
vías.
Los usuarios finales de los datos también
encuentran errores, por tanto es muy importante que existan
vías para que estos lo comuniquen al
administrador.
Es de esta forma en que la incidencia de futuros
errores puede ser reducido y sobre todo la calidad de los datos
puede ser mejorada .
- Técnicas para mejorar el entrenamiento y
la
educación.
Un buen entrenamiento, especialmente en la
recolección y entrada de los datos (en la Cadena de
Calidad de la Información) reducen la proporción
de errores en los datos primarios de forma considerable,
disminuyendo los costos en la captación y mejorando su
calidad.
- Minimizar la repetición del proceso de
limpieza de los datos.
La repetición del proceso de limpieza de datos
en la mayoría de las organizaciones
es el principal factor del encarecimiento del mismo. La
documentación de los procedimientos de validación
reduce grandemente el re-manejo de los datos.
Experiencias en el mundo de los negocios dicen que el
uso de la Cadena de Manipulación de la
información puede reducir la duplicación y el
re-manejo de los datos hasta un 50%. Y una reducción de
los costos al usar datos pobres de hasta dos terceras partes.
Esto es principalmente debido a que se gana eficiencia a
través de la asignación de responsabilidades para
la manipulación de los datos y control de la calidad,
minimizando los cuellos de botella y los tiempos de cola,
minimizando la duplicación mediante diferente personan
rehaciendo los chequeos de control de calidad y mejorando la
identificación de los métodos de trabajo
.
- Documentación.
La documentación es la clave para una buena
calidad en los datos, sin una buena documentación es muy
difícil para los usuarios determinar el grado de
corrección de los datos y se hace difícil para el
administrador saber cuál y por quién el chequeo
de calidad de los datos se ha llevado a cabo.
- Responsabilidad, transparencia, habilidad en la
auditoria.
- Interrelación entre Auditoria en
Informática y Limpieza de datos.
El núcleo o centro de la informática son
los programas, los cuales pueden ser auditados por medio de la
auditoria de programas.
La auditoria en informática debe evaluar el
todo (informática, organización del centro de
cómputo, computadoras y programas) con auxilio de
los principios de
auditoria administrativa, auditoria interna, auditoria contable
financiera y, a su vez, puede proporcionar información a
esos tipos de auditoria, y las computadoras deben ser una
herramienta para la realización de cualquiera de las
auditorias.
Los datos son uno de los recursos más
valiosos de las organizaciones y, aunque son intangibles,
necesitan ser controlados y auditados con el mismo
cuidado que los demás inventarios de
la organización, por lo cual se debe tener
presente:
- La responsabilidad de los datos es compartida
conjuntamente por alguna función determinada de la
organización y dirección de
informática. - Un problema que se debe considerar es el que se
origina por la duplicidad de los datos y consiste en poder
determinar los propietarios o usuarios posibles
(principalmente en el caso de redes y banco de
datos) y la responsabilidad de su actualización y
consistencia. - Los datos deberán tener una
clasificación estándar y un mecanismo de
identificación que permita detectar duplicidad y
redundancia dentro de una aplicación y de todas las
aplicaciones en general. - Se deben relacionar los elementos de los datos con
las bases de datos donde están almacenados, así
como los reportes y grupos de
procesos donde son generados. - La mayoría de los delitos
por computadora son cometidos por modificaciones de datos
fuentes al:
-Suprimir u omitir datos.
-Adicionar datos.
-Alterar datos.
-Duplicar procesos.
Un error común es la ausencia de
información y por eso en la Limpieza de Datos constituye
una tarea fundamental el tratamiento de los valores
ausentes. Situaciones tales como "fecha de nacimiento
desconocida", "conferencista por confirmar", "dirección
actual desconocida" son comunes .
Los valores ausentes son un problema común y la
mejor implementación para minimizarlo es a través
de una cuidadosa administración y asegurando la calidad de
los datos. Cuando estos valores son menores que 1% son
generalmente considerados triviales, de 1-5 % manejables, de
5-15% requiere de métodos sofisticados para manejarlos y
más de un 15% afecta seriamente cualquier clase de
interpretación .
Numerosas técnicas han sido desarrolladas en la
literatura para
solucionar los problemas ocasionados por la existencia de datos
ausentes dentro de las Bases de Datos.
Por ejemplo un valor perdido puede ser ignorado, este
camino puede ser el más fácil para el manejo de
los mismos, pero no contribuye a la calidad de las Bases de
Datos que contienen este valor ; .
Teniendo en cuenta que la limpieza de datos es un
proceso de eliminación de errores e inconsistencias en
los datos, auditoria se auxilia de esta técnica,
especialmente en el análisis de los datos, para ejecutar
sus programas y cumplir con sus objetivos y alcance.
Bibliografía.
1. Manual de
Auditoría. [cited Sección I
Capítulo 5.
2. Auditoría Informática. [cited
10/Enero/2006]; Available from: http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml.
3. Calidad de Datos. [cited 10/Enero/2006];
Available from:
http://espanol.innovativesystems.com/soluciones_de_negocios/calidad_de_datos/index.php.
4. Redman, T., The Impact of Poor Data Quality on
the Typical Enterprise. Communications of the ACM, 1998: p.
79-82.
5. Maletic, J.I. and A. Marcus, Automated
Identification of Errors in Data Sets. 2002, The University
of Memphis, Division of Computer Science.
6. Galhardas, H., et al., An Extensible Framework
for Data Cleaning. 1999, Institute National de Recherche en
Informatique ét en Automatique: France.
7. Hernandez, M.A. and S.J. Stolfo, Real-world Data
is Dirty: Data Cleansing and The Merge/Purge Problem. Journal
of Data Mining and Knowledge Discovery, 1998. 2(1): p.
9-37.
8. Ceruti, M.G. and M.N. Kamel, Preprocessing and
Integration of Data from Multiple Sources for Knowledge
Discovery. International Journal on Artificial Intelligence
Tools, 1999.
9. Limpieza de datos (data scrubbing o data
clensing). [cited 10/Enero/2006]; Available from:
http://www.gestiopolis.com/delta/term/TER245.html.
10. Chapman, A., Principles of Data Quality. 2004,
Global Biodiversity Information Facility (GBIF):
Copenhagen.
11. Redman, T.C., Data Quality: The Field Guide.
2001, Boston: MA: Digital Press.
12. Date, C.J., Introducción a los Sistemas de Bases de
Datos. 7ª Edición ed. 2001: Addison
Wesley.
13. McDermeit, M., R. Funk, and M. Dennis, Data
cleaning and reaplecement of missing values. 1999, Chestnut
Health Systems, Research and Training Lighthouse
Institute.
14. Redman, T., Data Quality: Management and
Technology. 1992, New York: Bantam Books.
15. Wand, Y. and R. Wang, Anchoring Data Quality
Dimensions Ontological Foundations. Communications of ACM,
1996. 39.
Autor:
Lic. Lilia Domíguez Perera
Profesión: Auditor
País: Cuba
Ciudad: Santa Clara
Fecha del trabajo: 20-01-2007
Página anterior | Volver al principio del trabajo | Página siguiente |