Las organizaciones actuales han sufriendo un cambio importante en sus procesos de negocio al considerar a la información como un recurso de importancia estratégica. Ello requiere, que igual que para el resto de los activos de la empresa los requisitos de eficacia y eficiencia, dentro de un marco de riesgos controlados, se apliquen a los Sistemas y Tecnologías de la Información.
La función de Auditoria de SI/TI tiene la responsabilidad de la evaluación de la cobertura de los riesgos inherentes a los procesos de la información así como de la evaluación de esos procesos, sistemas, tecnología utilizadas y servicios asociados para su desarrollo y mantenimiento óptimo, como medio para la consecución de los objetivos de las organizaciones.
I. INTRODUCCION
En un ambiente donde la informática esta encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecución y procesamiento de los datos se esta haciendo vía computadoras, por lo tanto en el trabajo de la auditoria también es algo indispensable. Aunque en el ambiente de la informática la computadora es el medio principal para auditar pero no hay que olvidar que es a la persona junto a la información la cual estamos auditando y no la computadora en si, no se cambió el espirito de la auditoría tradicional, solamente se cambió el método.
Para dar un mejor servicio a la comunidad, nuestro país desde los años 60 ya empezó a utilizar las procesadoras para procesar informaciones En 1982, el Yuan Legislativo empezó a promover el uso del sistema informativo, construyendo redes informativas entre la informática industrial y su progreso, nominando al grupo de trabajo " Grupo de promoción de la informática", en casi todos los lugares, empezando por instalación de grupos de trabajos en el procesamiento de datos e informaciones en las provincias, ciudades y otras áreas, enfocando principalmente en las áreas financieras, medicas, sistema de seguro social, impuestos, oportunidades de trabajo y otras informaciones para facilitar el trabajo del público. El Ministerio de la Auditoria, llamado también La Oficina de la Auditoria (NAO), por el cambio del ambiente de trabajo tradicional a la nueva de la informática, en estos años de promover la Auditoria Informática se han obtenido muy buenos resultados dentro de esta área, se han hecho planes, tácticas de trabajo y lo más importante procesar los resultados de las inspecciones de la auditoria para poder analizarlos después.
II. FORMAS Y TACTICAS DE PROMOVER LA AUDITORIA INFORMATICA
Como resultado de un análisis previo a la auditoría informática considerando los costos y efectos, en el proceso de promover la auditoria informática, dividimos al personal de la auditoria y los sistemas en dos partes, la primera al personal, tratamos de brindarles el mejor entrenamiento en el área de la informática, enseñarles a usar las computadoras para auditar, y a aquellas personas que son profesionales en el aspecto de la informática brindarles un amplio ambiente para construir las redes y sistemas de información para la ejecución del trabajo de la auditoria.
1. 1. Usando la Computadora para Auditar
Usando la computadora para auditar se necesita que el personal este capacitado en el uso de la computadora tanto en la parte del disco duro como en la parte de la información y programas. Para esto el personal tiene que tener los conocimientos de sistemas como ser MS-WINDOWS 98, tanto su manejo exterior como su uso interior.
Para lograr que cada personal de la auditoria este capacitado con dichos conocimientos, tratamos de brindar el mejor ambiente, en la actualidad NAO cuenta con sistemas de 586, cada personal de la Auditoria cuenta con una computadora conectada a la red y al internet para poder buscar las informaciones necesarias, al año se invierte una cantidad en el mejoramiento de sistemas, educación para promover el internet, sistema de cuentas de auditoria ACL ( Audit Command Language ) y otras clases cuales sean necesaria para elevar el nivel de trabajo en el ámbito de la Auditoria, en los últimos 3 años, el total de cursos que organizo la Auditoria fueron más de 2500 un porciento que cada personal participa de 4 clases promedio, esto figura el esfuerzo que estamos poniendo para la auditoria informática , entrenar a cada uno de los personales de la auditoria para que estén capacitados para hacer un mejor trabajo en la auditoria.
Para un buena auditoria informática se necesita aparte de una buena computadora de mesa o portátil, excelentes programas también es lo que no puede faltar. Debido al trabajo que ejecutan los auditores en sus inspecciones de cuentas se encuentran con el problema de tener que manejar diferentes clases de computadoras, no todas son iguales a la de nuestra oficina, nuestros auditores tienen que tener la capacidad de hacer sus inspecciones en cualquier clase de computadoras, lo que si se puede hacer para facilitar el trabajo es de usar un sistema común de trabajo como la que es ACL, el sistema que esta usando todas las oficinas de la Auditoria y afíliales. El proceso de inspección se basa en diseñar el sistema de ACL en las instituciones a los cuales se va a ser las inspecciones de la auditoria cambiando sus (File Layout) en ACL, de esta forma se puede unificar el trabajo hasta finalizarlo.
En la actualidad lo que NAO esta utilizando en sus sistemas abarca el pago de impuestos, tesorería nacional, reservas financieras y otras en relación a cuentas y a auditoria. En las experiencias que se han tenido en estos años de auditoria, se debe tener un perfil del sistema de informática de la institución a la cual se esta auditando para luego poder trabajar fuera de línea o sea (Offline) y proteger el independiente trabajo de la auditoria disminuyendo a lo mínimo los riegos que este pueda ocasionar.
2. 2. Control interno del sistema de informaciones.
Para un mejor control de la auditoria informática no nos podemos olvidar del control interno y la veracidad que este tiene que tener, como cuando el sistema esta en funcionamiento su evaluación y control se tienen que hacerse siempre.
Debido a que el procesamiento de lo que se graba o se almacena esta en diferentes ambientes de trabajo, corremos el riego de obtener informaciones incompletas u informaciones que es difícil de leer a la vista de los auditores, para evitar esta clase de problemas y para que la dependencia del hombre a la maquina el control de esta para que la información no tenga error con la rápida evolución de los programas y sistemas el control de sistemas se hace cada vez más difícil.
En NAO el control interno y almacenamiento de datos esta controlado especialmente por personal profesional en esta área, los que tienen perfiles de estudios en informática electrónica, solamente esta personas pueden hacerse cargo del complicado control y mantenimiento de los programas, gracias a sus conocimientos después de un buen entrenamiento en el área de la auditoria son los que se encargan del trabajo de manejo y control de sistemas de toda la Auditoria Nacional.
Los procesos para el control interno de sistemas en la auditoria empieza por el conocimiento básico, revisión, análisis, control y testificación. En la parte de la auditoria enfocamos en el control del planeamiento de la organización de las computadoras, control de los datos a almacenar y almacenados, cambio de sistemas, división de trabajo para brindar un mejor servicio. En el aspecto del manejo se divide en la revisión de la entrada y salida de informaciones, el cambio de información vía e-mail, obtención de datos vía internet, y todo lo que este relacionado con las informaciones que el personal utiliza para su trabajo. Aparte de esto debido a que el personal es limitado, en la evaluación a las instituciones para auditar se considera también el que utilice lo que tiene y el personal que tiene al máximo en su provecho de brindar un mejor sistema de trabajo informativo.
III. PRINCIPALES RESULTADOS EN LA AUDITORIA
A: Planeamiento, Control y Seguridad del Sistema de Computación
La mayoría de las instituciones depende mucho en computadoras, pero después de un estudio podemos deducir que se necesita un control de seguridad para que el manejo sea mucho más fácil de controlar y guardar, si no el de promover la auditoria informativa tendrá sus dificultades.
B: Control en el almacenamiento de datos
El sueño de un perfecto control seria el de poder registrar cada dato, la persona, fecha y si este no tuviera la autorización denegarle la entrada, todo esto se esta haciendo pero por la falta de personal y por el rápido cambio que transcurre nos es difícil el de registrar y darle un código por ejemplo en un sistema de IBM el RCF es el código de control y almacenamiento.
C: Cambio en el control de datos
En la creación de sistemas uno no se debe olvidar también la forma de guardar los datos en casos de revisión.
D: La estabilidad del servicio y mantenimiento
Por el nuevo enfrentamiento a Y2K el mantenimiento y servicio de recuperar las posibles perdidas de datos es lo que impulsa a un nuevo cambio de sistemas.
E: Control en el uso
En uno de los bancos en su ¨ Sistema de caja de ahorros el personal de la caja de ahorros tiene acceso directo, pero por falta de control puede ocurrir problemas muy drásticas también en el caso del seguro medico, más de una persona usando el mismo numero de serie, también en una transacción privada de moneda extrajera en el banco por no haber mantenido un récord en el ( Log file ), causo lo perdida de datos de esta transacción para una revisión futura. Esto son algunos de los casos que tenemos que seguir promoviendo e impulsando en el futuro.
F: Resultados usando el sistema de NAO para revisiones
En el transcurso del año pasado, las instituciones que utilizaron el sistema de
revisión de la auditoria fueron 8, los resultados fueron muy productivos. Por ejemplo: En una revisión de una de las Instituciones de auditoria a los impuestos de vivienda se ha dado el caso de que hay problemas con más de 1000 casos en las cuales los impuestos no se ha dado conforme a las regulaciones, todo esto gracias al sistema de ACL, si se desarrolla en el futuro el control y manejo del sistema, problemas como estas no serán más problemas.
IV. RESULTADOS DE LA AUDITORIA INFORMATICA
El progreso de la tecnología de la computación y la informática, esta mejorando día a día, esto a la vez esta causando los problemas de las oportunidades a cometer errores, el revisar e inspeccionar es el trabajo de la auditoria para poder brindar un mejor trabajo de control a la sociedad.
La oficina de la auditoria en su trabajo de inspeccionar bajo las regulaciones y leyes de la auditoria, construir sistemas de control en la auditoria informática no permite el cometer ningún error en el proceso de control, almacenamiento de datos, revisión. Debido a todo esto se sugiere a las instituciones bajo inspección que por lo menos al año una vez tengan clases sobre el control y manejo de sistemas, de esta forma se puede evitar la perdida de datos por malmanejo y se puede poner también estas regulaciones dentro de las normas de cada institución, esperando en el futuro obtener un buen manejo y control de sistemas en la auditoria informática.
V. CONCLUCIONES
En el proceso de promover la auditoría informática se necesita de un buen planeamiento, mantenimiento de la ejecución y estar preparados para cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento de l personal para nuevos enfrentamientos también es un labor de suma prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto se han obtenido muy buenos resultados, como meta para el futuro es el de poner mas esfuerzo en el entrenamiento del personal de la auditoria informática, crear secciones especialmente encargadas de la auditoria informática, también a la vez crear un Sistema de Soporte a la Tecnología de la Información ( Information Technology Support ) y reglamentos para el progreso de la auditoria informática, todo esto son metas para entrar al año 2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que se debe en el trabajo de la Auditoria.
CURSOS DE MASTER EN AUDITORIA Y SEGURIDAD DE SISTEMAS DE INFORMACIÓNCurso A distancia
A distancia
Para Licenciados diversos con interes de incoporarse a organizaciones empresariales de la seguridad y la auditoria de sistemas de información y control de internet....
ESCOLA DE PREVENCIÓ I SEGURETAT INTEGRAL-VILA UNIVERSITÀRIA. CAMPUS DE LA UAB :: Cursos Auditoría informática
Bibliografia:
http://www.audit.gov.tw/span/span2-2.htm
