anÁlisis de Áreas de necesidad de la auditorÍa en
TRANSCRIPT
ANÁLISIS D E ÁREAS D E N E C E S I D A D D E LA AUDITORÍA E N INFORMÁTICA E N E M P R E S A S M E D I A N A S Y G R A N D E S DEL E S T A D O D E J A L I S C O
T E S I S P R E S E N T A D A
P O R
A D R I A N A Y E L I L A ÁVILA M O R E N O
PRESENTADA ANTE LA DIRECCIÓN ACADÉMICA DE LA UNIVERSIDAD VIRTUAL DEL
INSTITUTO TECNOLÓGICO DE ESTUDIOS SUPERIORES DE MONTERREY
COMO REQUISITO PARCIAL PARA OPTAR
AL TÍTULO DE
MAESTRO EN ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN
MAYO 1998
MAESTRÍA EN ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN
iii
Agradecimientos
Al Instituto Tecnológico y de Estudios Superiores de Monterrey Porque me enseño a buscar la excelencia y a ser excelente
A mi Asesor Lic. Fernando Gutiérrez Peón por su dedicación y Por compartir conmigo no solo conocimientos sino experiencia
A mis sindodales por su apoyo en este trabajo
A Dios por que el lo es todo
A mis padres que son y serán el ejemplo a seguir en mi vida
A ti que eres la razón que da sentido a mi vida
TABLA DE CONTENIDO
Capítulo 1 1.1 Introducción 1 1.2 Objetivo y alcance de tesis 2 1.3 Descripción de la metodología 3
Capítulo 2 2.1 La Ciencia de la Administración y la Tecnología de Información 5
2.1.1 El proceso administrativo 6 2.1.2 Tecnología de Información 6
2.2 Auditoría 2.2.1 Tipos de Auditoría 9 2.2.2 Funciones de la Auditoría en la Organización 12
2.3 El trabajo del auditor 15 2.4 La necesidad de la Auditoría en Informática en la Empresa 16
2.4.1 Técnicas de la Auditoría en Informática 19 2.4.1.1 Técnicas asistidas por computadora 19
2.5 Definición y funciones de la Auditoría en Informática 21 2.6 Objetivos de la Auditoría en Informática 23 2.7 Implementación de la Función de Auditoría en Informática 24 2.8 Administración de la Auditoría en Informática 26
2.8.1 Planeación de la Auditoría Informática 27 2.8.2 Liderazgo (Personal) 28 2.8.3 Control de la Función de Auditoría en Informática 29
Capítulo 3 3.1 Descripción del proceso de investigación de campo 30
3.1.1 Determinación de universo y recolección de información 30 3.1.2 Tamaño de la muestra 31
3.2 Análisis e Interpretación de resultados 33 3.2.1 Resultados sobre la muestra de Casas Profesionales 33
3.2.1.1 Identificación de las necesidades por parte de las organizaciones 33 3.2.1.2 Razones que identifica la organización para la aplicación de la auditoría
Informática 34 3.2.1.3 Identificación de la auditoría informática en las Casas Profesionales 35
3.2.1.3.1 Relación Cartera de Servicios y Casas Profesionales 36 3.2.1.4 Barreras para ofrecer la auditoría informática 37 3.2.1.5 Interés por parte de las Casas Profesionales de promover la auditoría
Informática 38 3.2.1.6 Proceso y medios de promoción de la auditoría informática en las Casas
Profesionales 39 3.2.2 Resultados sobre la muestra de empresa medianas y grandes del estado de
Jalisco 40 3.2.2.1 Nivel de confianza de la información den las empresa medianas y
grandes del estado de Jalisco 40
3.2.2.2 La oportunidad de la información en las empresas medianas y grandes del estado de Jalisco 42
3.2.2.3 Impacto de las interrupciones de informática en las empresas medianas y grandes del estado de Jalisco 44
3.2.2.4 El nivel de perdida de la información en las organizaciones 46 3.2.2.5 Controles sobre el acceso de información 50 3.2.2.6 Definición de la auditoria informática 51 3.2.2.7 La aplicación de la auditoría informática 52 3.2.2.8 Razones para la no aplicación de la auditoría informática 53
Capítulo 4
4.1 La administración de la función informática en las empresas medianas y grandes del estado de Jalisco 55
4.1.1 Problemática de los departamentos de informática en empresas medianas y grandes del estado de Jalisco 57
4.2 La informática en las organizaciones 57 4.3 La auditoría informática desde el punto de vista de las Casas Profesionales 58
4.3.1 El nivel de identificación de la auditoría informática en las empresas medianas y grandes en el estado de Jalisco 58
4.3.2 Barreras para ofrecer la auditoría informática ....59 4.3.3 Promoción de la auditoría informática 59 4.3.4 Es área de negocios la auditoría informática para las Casas Profesionales.60
4.4 Áreas de oportunidad de la auditoría informática en base al estudio de empresas 60
4.4.1 La información en las empresas medianas y grandes del estado de Jalisco 60
4.4.2 La información y la organización 61 4.4.3 Como define la empresa mediana y grande del estado de Jalisco la
auditoría informática 62 4.4.4 Barreras para la aplicación de la auditoría informática 62
Capítulo 5 5.1 Conclusiones 63 5.2 Conclusiones personales 64
Bibliografía 65 Anexos 68
CAPITULO 1
1.1 Introducción
La tecnología de informática, traducida a hardware, software, sistemas de información, investigación tecnológica, redes locales, redes amplias, bases de datos, ingeniería de software, Intercambio Electrónico de Datos (EDI por sus siglas en inglés), telecomunicaciones, servicios y administración de la informática son en la actualidad una herramienta estratégica que brinda rentabilidad y ventaja competitiva a los negocios.
La información es parte medular de un mercado altamente competitivo, la organización se vuelve demandante de información eficaz y eficiente, la tecnología de información se ve obligada a integrar procesos de control cada vez más confiables. Pero esto no es suficiente es necesario integrar una nueva cultura en las áreas de tecnología de información, una cultura de prevención.
En la actualidad un alto porcentaje de empresas tiene problemas en el manejo y control tanto de los datos como de los elementos en que se almacenan, procesan y distribuyen la información. En respuesta a esta problemática nace la necesidad de evaluar y examinar la estructura del control interno de las áreas o funciones especializadas del procesamiento de datos, generando el concepto de la auditoría en informática, este concepto marca una pauta hacia la integración del control preventivo en las funciones de la tecnología de información.
La auditoría en informática es una herramienta relativamente nueva no sólo en México sino en el mundo entero, la falta de especialización y la carencia de información generan improvisación y por lo tanto una mala aplicación este concepto, un ejemplo palpable de esta situación es el que viven gran número de empresas medianas y grandes del estado de Jalisco.
La auditoría en informática ya no puede ser pasada por alto, el aseguramiento de la información debe ser prioridad en el planteamiento de la estructura de la informática, las herramientas y los conceptos que se han desarrollado hasta el momento deben ser adecuados y aplicados en empresas mexicanas.
Es por esto que este trabajo de tesis tiene como objetivo determinar cuales son las áreas de necesidad de la aplicación de la auditoría en informática en las empresas de tamaño mediano y grande del estado de Jalisco, ya que una vez que se establezcan estas áreas de necesidad será posible alinear los conceptos y metodología adecuadas de la auditoría en informática lo que nos permite definir
1
áreas de oportunidad para la empresa mexicanas y concretamente para las del estado de Jalisco en función de la auditoría en informática.
1.2 Objetivo y alcance de tesis
El objetivo de este trabajo de tesis es:
"Analizar las funciones de la Administración de la tecnología de informática en una muestra significativa de empresas de tamaño mediano y grandes del estado de Jalisco, con la finalidad de determinar las áreas de necesidad de la Auditoría en Informática"
En función al objetivo de esta tesis y a la investigación que se realizó las restricciones o limitaciones inherentes al tema son:
El estudio de campo se llevó acabo en empresas mexicanas, y más específicamente en empresas del estado de Jalisco.
Fue necesario para el estudio que las empresas a estudiar contaran con una estructura definida y de tamaño mediano a grande del departamento de sistemas, ya que el estudio se enfocó a empresas de estas características
El acceso a información documental de las empresas estuvo limitado a la factibilidad de acceso de dicha información según el caso especifico de la empresa
La aplicación de las herramientas de investigación se hizo en dos grupos, el primero de ellos se refiera a personal de la empresa que tenga relación directa con el departamento de sistemas y el segundo grupo estará formado únicamente por usuarios de la información.
Se hizo un subdivisión de grupos clasificando por niveles jerárquicos un nivel englobó la alta administración y otro nivel a administración media y operativa
2
1.3 Descripción de la metodología
La metodología a utilizada en este trabajo de tesis es cualitativa, la razón de esto es la siguiente:
El objetivo de tesis se dirige a un análisis de como se lleva a cabo la administración de la tecnología de información en la empresa mediana y grande del estado de Jalisco, con este análisis podemos detectar áreas de oportunidad para la aplicación de la auditoría en sistemas.
Al aplicar las preguntas del método cualitativo: obtendríamos los siguientes cuestionamientos:
Se inicia con una pregunta general definiendo: ¿Cuáles son las funciones de la Administración de la tecnología de información
en la empresa?
La pregunta medular de mi investigación: ¿Cómo se aplica la Administración de la TI en la empresa?
Se determinó: Seguridad Integridad de información Calidad de procesos Confiabilidad de datos Oportunidad de la información entre otras.
Estas preguntas encaminan a un porqué ¿Por qué es necesaria la auditoría de informática en las empresas medianas y
grandes en el estado de Jalisco?
El propósito de este estudio es el de establecer un esquema para determinar: Las áreas de necesidad y aplicación de la audjtoría en informática, un campo
que se está volviendo prioritario para el manejo de la TI, pero que en países como México poco se maneja y se conoce, por esto considero que este esquema puede marcar una pauta para desarrollar aplicaciones más especificas de la auditoría en este estado.
Para el logro del objetivo de este trabajo de investigación las herramientas y métodos a utilizar serán los siguientes:
3
Entrevistas:
Las entrevistas clasificadas en dos tipos:
Entrevistas dirigidas a las personas involucradas en la administración de la TI, en este primer tipo de entrevistas se detectan las funciones y como se están llevando a cabo.
Entrevistas dirigidas a los usuarios de la TI a niveles superiores, es esta entrevista se detectan los flujos y necesidades de información.
Entrevistas dirigidas con preguntas abiertas para captar opiniones y necesidades no explícitas.
Entrevistas de estructura general-particular-particular-general
Encuestas:
Las encuestas clasificadas en dos tipos:
Encuestas dirigidas a las personas involucradas en al administración de la TI a nivel medio y bajo (personal de sistemas, operadores, capturistas, programadores).
Encuestas dirigidas a usuarios de la TI a niveles medio y bajo
Encuestas con preguntas descriptivas y analíticas para ampliar el campo de detección de necesidades.
Observación:
En medida del acceso de información me gustaría hacer observación en las áreas de informática.
Análisis de archivo
En función de la posibilidad de acceso de información un estudio de las políticas de seguridad de la información.
4
CAPITULO 2
2.1 La Ciencia de la Administración y la tecnología de información
Para establecer la relación entre la tecnología de información y la administración primero es necesario definir el concepto de administración.
La palabra administración viene del latín 7\d" que significa (dirección para, tendencia para) y "Minister" (subordinación u obediencia), si le damos una interpretación practica lo podríamos definir como aquel que realiza una función bajo el mando de otro, esto es, aquél que presta un servicio a otro. (Avila y Navarro 1994).
La palabra administración a sufrido en el transcurso del tiempo una radical transformación, la tarea actual de la administración es la de interpretar los objetivos propuestos por la organización, dirección y control de todos los esfuerzos realizados por todas las áreas y en todos los niveles de la organización, con el fin de alcanzar tales objetivos en relación al ambiente y situación que rodean a la organización.
Es importante señalar que no existe una sola definición o conceptualización de la función de la administración; un ejemplo de esto es la manera en que Richard Daft define administración como un esfuerzo para llevar a la organización a lograr sus objetivos en forma eficiente y efectiva mediante la planeación la organización, el liderazgo y el control de los recursos organizacionales en este concepto identificamos dos ideas principales la primera es que los objetivos se deben llevar en forma eficiente y eficaz y la segunda es la identificación de lo que llamaríamos el proceso administrativo, aunque en la actualidad estas funciones ya se ven enriquecidas por funciones adicionales como la toma de decisiones, las comunicaciones y la asesoría de staff.
La administración en palabras de Drucker, establece como la organización debe aprovechar y utilizar sus recursos para lograr sus objetivos, estos conceptos son aplicados a los recursos que identificamos como tecnología. (Daft, 1993).
También es posible identificar a la administración como un proceso ya que es una forma sistemática de hacer las cosas, "ya que todos los administradores sin importar sus aptitudes particulares o su capacidad, intervienen en actividades relacionadas para lograr los objetivos deseados". (Stoner,1994, pg 7).
5
2.1.1 El proceso administrativo
Ahora bien es más fácil entender algo tan complejo como la administración, si se describe como una serie de partes por separado a lo que llamamos el proceso administrativo, cabe señalar que en la practica este proceso se identifica como un grupo de funciones interrelacionadas, que parten de las cuatro funciones principales de la administración.
La primera función en la planeación es la definición de metas y objetivos que la organización quiere lograr en un futuro, se definen las tareas y los recursos necesarios para lograr los objetivos que se plantean (Daft, 1993), El primer paso en la planeación es la de seleccionar las metas a nivel organización y después el fijar los objetivos para las secciones o divisiones de la organización, una vez definidos se fijan programas para alcanzarlos en una forma sistemática (Stoner, 1994).
La organización es el proceso de disponer y destinar el trabajo, la autoridad y los recursos entre los miembros de una organización en forma que puedan lograr los objetivos de la organización en forma eficiente (Stoner, 1994), también se determinan en este proceso los grupos de trabajo y la localización de los recursos en los departamentos (Daft, 1993).
El liderazgo implica dirigir, influir y motivar a los empleados para que realizan tareas fundamentales , se requiere trabajar directamente con la gente (Stoner, 1994), el liderazgo significa transmitir y comunicar a los empleados las metas de la organización de tal forma que estos las hagan propias y participen en forma eficiente en el logro de las mismas (Daft, 1993)
El control es la cuarta función del proceso administrativo, controlar significa monitoriar las actividades de los empleados para determinar si se están alcanzando los objetivos establecidos, y si no establecer medidas correctivas para lograrlo, el controlar envuelve el uso de los sistemas de información para determinar si las actividades están dando los resultados esperados (Daft, 1993)
2.1.2 Tecnología de información
Es necesario establecer la diferencia entre la tecnología de información y los sistemas de información, la tecnología de información es todo aquello que tenga relación con las computadoras y las telecomunicaciones en sus muy diversas formas cual sea que sea su uso. (Hoffman, 1994) otro autor define "la tecnología de información como el hardware el software, sistemas de información, investigación tecnológica, redes locales, bases de datos, ingeniería de software,
6
EDI, telecomunicaciones servicios y organización de la informática es una herramienta estratégica que brinda rentabilidad y ventaja competitiva a los negocios frente a sus similares" (Hernández, 1995).
La definición de sistemas de información según Hoffman es, la combinación de la tecnología de información con otras cosas, organizadas para dar soporte a la administración y al proceso de la organización, esas otras cosas usualmente incluyen procedimientos administrativos, formas de papel, esfuerzo humano etc., (Hoffman, 1995), otra definición de sistema de información es la de ser sistema que soporta un amplio espectro de las tareas de la organización (Avila y Navarro, 1993).
La importancia de la tecnología en el mundo actual radica, en que a esto que llamamos tecnología se ha convertido en uno de los principales indicadores y guías de la competencia del mundo actual.
La tecnología penetra en la cadena de valor de una empresa y va mas allá de las tecnologías asociadas al producto en forma directa,
La empresa implica un gran número de tecnologías, cualquier tecnología implicada en la empresa puede tener un impacto importante en la competencia, una herramienta básica para entender la importancia de la tecnología en la empresa es la cadena de valor, la tecnología esta contenida en cada actividad de valor en una empresa no sólo en las actividades primarias de la empresa sino en las actividades de apoyo. (Porter, 1994)
"La tecnología de sistemas de información es particularmente penetrante en la cadena de valor, ya que cada actividad de valor crea y usa información, los sistemas de información se usan en la programación, control, optimización, medición y otras actividades de logro." (Porter, 1994)
2.2 Auditoría
"La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud de oír, el diccionario la define comq "revisor de cuentas colegiado. El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación" (Echenique, 1990).
Usando esta misma conceptualización etimológica un autor anónimo explica como aunque la definición de auditor deriva del latín audis (oír), actualmente la
7
auditoría tiene un significado más amplio debido a que su función se a considerado como un control de controles, aunque también en un sentido general la auditoría es una actividad dentro de la organización, cuya finalidad es examinar las operaciones contables, financieras y administrativas, como base para la prestación de un servicio efectivo. Expresado de otro modo, es un control administrativo que funciona sobre la base de la medición y evaluación de otros controles. (Anónimo ,1996).
Otro concepto de la palabra auditoría es el definir la auditoría como "El examen de información por parte de una tercera persona, distinta de la que preparó y del usuario, con la intención de establecer su razonabilidad dando a conocer los resultados de su examen, a fin de aumentar la utilidad que tal información posee" (Slosse, 1991), para Larson la auditoría se define como es una examinación de los registro contables y de los estados financieros para determinar la posición financiera y operativa de la empresa, el auditor es designado para aumentar la credibilidad de la información en la empresa (Larson, Spoede y Miller, 1994).
Guajardo define auditoría como la actividad que "consiste en revisar y comprobar los registros financieros de una organización para determinar si se han empleado las políticas contables correcta y si se han observado las políticas dictadas por la administración" (Guajardo, 1992) en cambio Hernández define la auditoría como "un proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada, Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las recomendaciones necesarias para que se lleven acabo de manera oportuna y satisfactoria las políticas, controles y procedimientos definidos formalmente, con objeto de que cada individuo o función de la organización opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptados. Por otra parte es el conjunto de tareas realizadas por un especialista para la evaluación o revisión de políticas y procedimientos relacionados con las siguientes áreas: Administrativas, financieras, operativas, informática, crédito y fiscales" (Hernández, 1995).
Por último hablaremos de que "La auditoría es un examen planeado de una función llevada acabo, ya sea determinando si el proceso se ejecuta en los parámetros establecido, o bien, mediante un análisis crítico del producto o servicio resultante del proceso (Perel, Forastíero y Vaisber. 1994).
Una vez que ya tenemos definido el concepto de auditoría y que nos marca una referencia de cual es el papel que la misma desempeña en la organización, ampliaremos cual es la función de la misma dentro de la empresa.
8
2.2.1 Tipos de auditoría
La labor de auditoría puede ser desarrollada por contadores independientes o bien por los mismos empleados o funcionarios de la organización. "La auditoría realizada por contadores públicos independientes para expresar una opinión sobre la información examinada es denominada auditoría externa o independiente. La auditoría realizado por los empleados o funcionarios de la organización con propósito de control, es comúnmente denominada auditoría interna" (Slosse, 1991).
Si tomamos el boletín E-02 del Instituto Mexicano de Contadores señala que el estudio y evaluación del control interno se efectúa con el objeto de cumplir con la ejecución del trabajo que requiere que el auditor evalúe y estudie el control interno existente para determinar la naturaleza, extensión y oportunidad de los procedimientos de auditoría en un grado de confianza. Echenique clasifica a la auditoría en base a los objetivos del básicos del control interno los cuales son: 1) La protección de los activos de la organización, 2) La obtención de información financiera veraz confiable y oportuna, 3) La promoción de la eficiencia de operación en la organización, 4) Lograr que las operaciones se cumplan las políticas establecidas en la organización, por lo cual se define que los dos primeros controles se refieren a los controles internos contables y los dos últimos se refieren a los controles internos administrativos.
El control interno contable comprende el plan de organización y los procedimientos y registros de activos y a la confiabilidad de la información contable y financiera.
La auditoría administrativa es el examen global o total y constructivo de la estructura de una organización en lo que se refiere a sus objetivos y planes, sus métodos y sus controles, su forma y su operación y sus facilidades humanas y físicas. Esto se lleva a cabo con el fin de precisar: perdidas y deficiencias, mejores métodos, mejores formas de control, operaciones más eficientes y mejor uso de los recursos físico y humanos (Echenique,1990).
Cushing y Romney definen los tipos de auditoría interna en tres grandes tipos el primero de ellos se refiere a la auditoría de, sistemas de información , el segundo a la auditoría financiera y el tercero a la auditoría operacional.
La auditoría de los sistemas de información envuelve una revisión en general y de las aplicaciones y controles asociados con los sistemas de información basados en computadoras en la organización.
9
El segundo tipo se refiere a la auditoría financiera la cual examina la veracidad e integridad de los registros contables y todos los aspectos que tengan correlación con los mismos.
El tercer tipo es el de auditoría operacional la cual hace referencia a la auditoría administrativa, esta involucra la revisión de la calidad de los procesos haciendo una comparación entre estos y los objetivos y planes que se establecieron para la organización.
Aunque se han mencionado los tres tipos principales de auditoría para estos autores cabe mencionar que mencionan un cuarto tipo de auditoría la auditoría de concordancia la cual se refiere a las relaciones entre la organización y las leyes, las regulaciones gubernamentales, provisiones de contrato y otras obligaciones con entidades externas a la organización. (Cushing y Romney, 1993).
Otra clasificación funcional de los tipos de auditoría es en base a la funciones del auditor tanto externo como interno, en auditoría operacional y auditoría de información contable y financiera.
Para el autor Slosse la auditoría se clasifica en: operacional se refiere a la realización de exámenes estructurados de programas de acción, organizaciones, actividades o segmentos operativos de una entidad publica o privada, con el propósito de evaluar e informar sobre la utilización, de manera económica y eficiente de los recurso de el logro de los objetivos
La auditoría operacional cubre una gama de esfuerzos de auditoría que tienden a ser naturalmente divisibles en dos áreas principales. Una es la auditoría de eficiencia y a otra la auditoría de efectividad. Como sus nombres lo indican, auditorías de economía y de eficiencia intentan mejorar el empleo de los recursos a través de la reducción de los costos y/o el aumento de la producción.
La auditoría de efectividad está diseñada para medir la marcha de una actividad en relación con sus objetivos planteados o presuntos y otras medidas apropiadas de rendimiento.
A pesar de que se analizan por separado estos dos tipos de auditoría operacional, es usual que la misma auditoría abarque tanto aspectos de economía y eficiencia como aspectos de efectividad. Este es frecuentemente el caso cuando se practica una auditoría relativamente completa que cubre una variedad de intereses. Sin embargo, mientras la mayoría de las auditorías operativas pueden clasificarse dentro de estas dos categorías, hay también a menudo estudios y análisis especiales que no caen dentro de la clasificación precisa que distinguen economía y eficiencia, de efectividad.
10
Mientras virtualmente todas las auditorías de economía y eficiencia se planifican para ayudar a disminuir los costos o aumentar la producción, los métodos para la ejecución de la labor varían. Esto es así, sea que la labor se ejecute en el sector público o en el privado, pues es el resultado de la naturaleza muy especial de los proyectos y del amplio rango de temas y áreas que pueden considerarse.
No obstante que los términos de economía y eficiencia están estrechamente ligados, frecuentemente se confunden. Se observan diferencias prácticas en la labor que se dirige hacia el uso; a pesar que los términos de economía y eficiencia están estrechamente ligados, frecuentemente se confunden. Se observan diferencias prácticas en la labor que se dirige hacía el aspecto económico de los recursos en comparación con aquella que se dirige hacia el uso eficiente. Mientras los aspectos de eficiencia tienen a enfocarse alrededor de costos por unidad y la posibilidad de rebajar dichos costos, los aspectos de economía frecuentemente tratan el costo agregado o total de un sistema o función que por lo general no es divisible en costos por unidades o si lo fuera no serviría a ningún propósito útil.
Existe una gran variedad de tipos de auditorías de economía y eficiencia, a continuación se presentan los aspectos a los que comúnmente se dirigen.
A la sustitución de personal, material y equipo de menor costo Consolidación de las actividades de administración y apoyo Introducción de nueva tecnología para mejorar la producción Adhesión a modificación de políticas, procedimientos y reglamentos Contratación externa o ejecución interna de servicios y productivos y otros compra versus alquiler
La auditoría de efectividad típicamente son las más complicadas y difíciles entre los diversos tipos de auditoría operativa. Esto se dice a la naturaleza inherente de las auditorías diseñadas para medir el logro de los objetivos o resultados y/o para mejorar el rendimiento. Dado que las expectativas pueden variar y los objetivos de la organización podrían no haber sido articulados o cuantificados, la labor requiere un diseño más cuidadoso de sus enfoque que la auditoría de economía y eficiencia. No importa el sector en el cual se efectúa la labor, la auditoría de efectividad resulta ser un procesos de comparación entre el rendimiento o condiciones actuales y una norma de rendimiento esperada.
La auditoría de efectividad puede incluir las siguientes actividades: la evaluación de cuan apropiados son los objetivos operativos enunciados o
presumidos Evaluación de cuan apropiados son los indicadores de efectividad
seleccionados por la administración
11
Pruebas de razonabilidad de las bases en las que se apoyan los indicadores de efectividad.
Determinación de los logros sobre los resultados deseados. (Slosse,1993)
2.2.2 Funciones de la auditoría en la organización.
La información es un elemento clave en el funcionamiento efectivo y eficiente del mundo de las formas económicas. La información según el momento y la persona que la necesita van adquiriendo diferentes características, la usual complejidad de los recursos involucrados en el entorno económico actual implican de una elevación de los niveles de calidad y veracidad de información, no sólo eso sino que la cantidad y el flujo de información se elevan día con día.
Para el desempeño adecuado de la función de se requiere analizar las condiciones principales que deben satisfacer para que las misma se efectiva, debe esta incluir lo siguiente.
Necesidad de comunicación de datos económicos medibles en términos cuantitativos.
Normas para la medición y recapitulación de los datos económicos que sean aceptables para el usuario y de la aplicación práctica para el ente que elabora tales datos. El auditor debe estar de acuerdo con que tales normas son adecuadas, en relación con la información que se pretende transmitir y que esta sea de utilidad al usuario, en particular si este último no ha participado directamente o a través de sus representantes en su formulación.
Evidenciar suficientemente para que los datos sean respaldados en su totalidad, como una garantía de su confiabilidad, ya que una de las funciones de la auditoría es la de asegurar que no existan distorsiones importantes en los datos como consecuencia de ciertas inclinaciones naturales, ignorancia o error humano.
Conformidad por parte del emisor para exponer todos los datos necesarios de modo que el usuario cuente con información completa a los efectos de tomar sus decisiones.
Anuencia a aceptar determinado formato la presentación de información para que la comunicación sean comprensible por los usuarios.
Adecuada oportunidad en la comunicación para satisfacer el propósito del usuario.
12
Conocimiento y destreza requeridos en el auditor de todas las fuerzas importantes para la medición y sustentación de los procesos de comunicación. Esto incluye ejercer un minucioso y cuidadoso proceso de análisis.
Familiaridad por parte del auditor con los propósitos de la comunicación incluyendo, la apreciación de las necesidades del usuario (Slosse, 1991)
Si nos enfocamos a la auditoría como un proceso formal que se efectúa por requerimientos de las empresas o del gobierno en periodos establecidos con anterioridad por los interesados, con objetivo de verificar el cumplimiento oportuno de las políticas y procedimientos relacionados con cada una de las actividades de la organización. Definiríamos como tareas de la auditoría el: Estudiar y actualizar permanente las áreas susceptibles de revisión, apegarse a las tareas que desempeñen las normas, políticas, procedimientos y técnicas de auditoría establecidas por los organismos generalmente aceptados a nivel nacional e internacional, evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio, elaboración del informa de auditoría (debilidades y recomendaciones), y por ultimo otras recomendaciones para el desempeño eficiente de la auditoría. (Hernández, 1995)
La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben de asegurarse y estimar resultados (Echenique, 1993).
El trabajo de auditoría definido por el American Accounting Association se define en cinco estándares de trabajo.
1) Integridad de la información 2) Relación entre las políticas, planes. Procedimientos, leyes, y regulaciones 3) Salvaguardar los activos 4) Uso económico y eficiente de los recursos 5) Alineación entre los objetivos y metas establecidas para las operaciones y
programas
Estos estándares son aplicables en todas las operaciones, departamentos y actividades administrativas de la organización, al igual que en cualquier parte de la organización y cualquier sistema administrativo (Cushing y Romney, 1993)
Cushing y Romney definen que cualquiera que sea el área de aplicación de la auditoría ya se interna, externa o gubernamental, el auditor siempre se debe encausar en los sistemas de información de control interno, información financiera, o desarrollo operativo, la mayoría de los auditores siguen un
13
procedimiento similar, generalmente el proceso de la auditoría es dividido en cuatro fases:
Fase 1: Planeación de la actividad de la auditoría. Fase 2: Recolección de información evidencial. Fase 3: Evaluación de las evidencias. Fase 4: Comunicación de resultados.
La planeación de la auditoría consiste en determinar el porque, el como y el donde se debe aplicar la auditoría o quien debe ser objeto de una mejora, el primer paso para la planeación de la auditoría es el de establecer los objetivos de la auditoría, esto depende del auditor y de que tipo de auditoría se va aplicar, la definición de los objetivos y del objeto de estudio estará basada en las necesidades y perspectivas que la misma organización establezca. Una vez establecidos los objetivos se destinaran tanto recursos necesarios para el logro de estos mismos. Si enumeráramos las actividades de esta primera fase se plantearía un esquema como el que sigue: 1) Establecer objetivos y sujeto de auditoría, 2) Organizar el equipo de auditoría, 3) Desarrollar el conocimiento de las operaciones del negocio, 4) Revisión de resultados de auditorías anteriores, 5) Identificación de los factores de riesgo y por último 6) La preparación de un programa de auditoría.
Al hablar de la fase de recolección de información evidencial, hablaríamos del uso de innumerables métodos y formas de procedimientos, pero si identificáramos el más común, sería: 1) La observación del auditor de las actividades de los empleados, 2) Una revisión documental de como se deben llevar a cabo las actividades, 3) El auditor discutiría con los empleados sobre como se llevan a cabo los procedimientos para obtener los resultados, 4) El auditor examina físicamente la cantidad y el estado de los activos tangibles ya sea equipo, inventario o efectivo, 5) El auditor confirma la certeza de la información, muy posiblemente con una persona ajena a los procesos de la organización. 6) El auditor hace comparaciones con muestras selectivas haciendo un cálculo independiente que sirva como comparativo. 7) El auditor garantiza la validez de las transacciones a través de la examinación de los documentos que soporten dichas transacciones. 8) El auditor realiza una revisión analítica de las relaciones entre la información financiera y la información operativa, pero debemos señalar que estos procedimientos pueden variar dependiendo de los objetivos que se establezcan en la auditoría y de las áreas que sean sujetas a la misma.
La fase de la evaluación de la evidencia se refiere a la evaluación total de las evidencias que fueron recolectadas en la fase anterior en relación a los objetivos que fueron establecidos y se deben establecer. 1) Si la evidencia de una conclusión favorable con respecto a la operación, al control y a la información que esta siendo auditada. 2) Si la evidencia es desfavorable o determina una
14
conclusión negativa, 3) Si la evidencia no puede determinar una conclusión y si esto se debe a que se es requerida mas evidencia; en este caso el auditor diseña una plan adicional y procesos adicionales para satisfacer los requerimientos y obtener en el estudio una conclusión definitiva.
Para el proceso de evaluación de evidencias el auditor debe utilizar conceptos como el de seguridad razonable y de materialidad, la segundad razonable se refiere a que los errores o deficiencias de la información de los procesos que están siendo auditados no son causados por el material, el concepto implica que el auditor debe considerar hasta que medida los errores son aceptables, por lo difícil o costoso que sería definirlos, en este momento adquiere relevancia el proceso de determinación de riesgo en el cual se establecen los niveles de aceptación de errores en la auditoría, el segundo concepto se refiere a reconocer que determinados errores o deficiencias son implícitas dentro de cualquier sistema, por lo tanto el auditor debe enfocar sus esfuerzos a determinar los errores o deficiencias que son significativas para la organización.
Por último la fase de informe o comunicación de resultados nos indica que una vez que la evidencia es recolectada, evaluada y documentada adecuadamente el auditor formula un informe final sobre las conclusiones y recomendaciones a la administración sobre el sujeto, situación o entidad auditada, generalmente el reporte se hace de forma escrita y se hace una sumarízación de las evidencias y recomendaciones que son soportadas por la auditoría. (Cushing y Romney, 1993).
2.3 El trabajo del auditor
Las unidades económicas, por su naturaleza, requieren necesariamente que el servicio de un informe o dictamen sobre los estados contables se vea necesariamente complementado con una función de apoyo a la gestión empresarial en el típico papel del consultor.
El auditor puede realizar tareas de apoyo que, sin llegar a la consultoría altamente especializada, aporten experiencias en el conocimiento del negocio, con una alta cuota de sentido común, ideas novedosas e inteligentes.
No se trata solamente de identificar problemas sino expresar soluciones, ayudando a implantar el cambio. Desde ya que no deben esperarse soluciones milagrosas, el auditor debe cuidarse de no dar una impresión de onmipotencia que pueda crear falsas expectativas ya que le es prácticamente imposible sustituir la voluntad y el poder político formal vigente en la empresa asesorada.
15
En general podríamos hablar que la auditoría se encarga de las siguientes actividades:
Problemas de corrección, en este caso se encuentra que en la empresa existen actividades que se han deteriorado y se debe ayudar a corregirlas.
Problemas de perfeccionamiento, se parte de una situación que podría llamarse normal y se trata de mejorarla, es el caso en que se trata hacer más y mejor con los mismos recursos. La tarea consiste en estos casos en identificar e instrumentara vías de mejoramiento en la aplicación de los recursos disponibles que se traduzcan en ventajas de eficiencia o rentabilidad o ventajas competitivas de tipo tangible.
Problemas de creación, en estos casos se parte prácticamente de cero, porque no existen cosas que deban corregirse o mejorarse. Sólo se trata de ver si hay algo favorable para la empresa que pueda producirse en una innovación que mejore su productividad. (Slosse, 1993)
En otro enfoque también se define el trabajo del auditoría, como un agente participativo en las actividades de desarrollo de sistemas de información, por la experiencia que tiene los auditores en el desarrollo de actividades con esquemas de alta fiabilidad y control, esta actividad puede desempeñarse por auditores internos los cuales tiene una amplio conocimiento de la situación de la organización o por auditores externos, los cuales emiten una opinión sin prejuicios y con ideas que se pueden incorporar a la organización.
Si hiciéramos una descripción del rol de auditor en el proceso de desarrollo, identificaríamos su presencia tanto en la parte de análisis, diseño, ¡mplementación y operación. (Boockholdt, 1993).
2.4 La necesidad de la auditoría en informática en la empresa
Las actividades de un negocio u organización tienen un efecto directo sobre sectores específicos de la sociedad; de igual manera, los hechos y actividades externos al negocio tiene un grado de impacto en el mismo.
No han sido pocos los negocios que han fracasado el mantenerse estáticos ante los movimientos que se presentan a su alrededor, así mismo, una gran cantidades ellos se han adaptado a los cambios sufridos por los elementos externos y obtenido ventajas competitivas de dichas variaciones que les permite liderear o al menos mantenerse en el mercado.
16
La computación se ha vuelto indispensable en las actividades del negocio, para la fundación de auditoría en sistemas y control se enfatizan los puntos sustentados por necesidad de investigación, el desarrollo, la publicidad y promoción de las actividades del control de la tecnología. Cada dia el entorno tecnológico se preocupa por establecer un esquema formal para hacer de esta disciplina parte fundamental en toda organización, se deben desarrollar habilidades y conocimientos para que los auditores de sistemas sean parte de la nueva era de la información.
Alrededor del mundo se reporta y se habla sobre el robo de información, sobre los fraudes por computadora, del abuso de la información y de consecuencias de la falta de control de los sistemas y tecnologías que se utilizan en la empresa como en la vida cotidiana.
Las organizaciones se están volviendo cada vez más vulnerables, la tecnología tiene a la descentralización y al uso de cada vez más extensas áreas de comercio, por la rápida difusión del uso de la tecnología y la facilidad de acceso a la información se está desarrollando una cultura de controles más efectivos donde se debe mantener tanto la integridad de la información como el acceso a la misma en forma controlada.
Cabe señalar que la necesidad de la auditoría en informática no es sólo una extensión de la auditoría tradicional sino es el reconocimiento de la organización de esta actividad, en dos direcciones, una de ellas es que la tecnología impacta la eficiencia del resto de las funciones en la organización, y segundo es que tanto los procesos corporativos como de información reconocen que las computadoras son un recurso que necesita control y que es igual de importante como cualquier otro recurso dentro de la organización. (Gallegos, 1997)
Si hablamos de alguna de las causas que a venido impulsando cada día mas la necesidad de llevar controles efectivos sería la necesidad de seguridad de la información dentro de las organizaciones, esta misma se va dando por los mismos cambios que la organización va presentado, la auditoría viene a apoyar actividades como la administración de riesgo.
Algo que es vital es poner en claro que los controles de una área tan cambiante como la informática deben ser igual de .cambiantes, deben ser capaces de adaptarse y responder a las necesidades casi con la misma rapidez con que la tecnología evoluciona.
En países de primer mundo el concepto de integrar procesos de auditoría de informática es mas común en una encuesta realizada a 358 organizaciones de diversos tamaños se detecto que el 25% de ellas son líderes en tecnologías de auditoría en informática, y un 52% de ellas se ubico no como líderes pero si como
17
competidores a un nivel aceptable, a'aunas de las características que se definieron para definir a los líderes son la:: siguientes:
El líder adopta una nueva tecnología aplicada a la auditoría tan rápido como adopta tecnología para otras áreas de la organización.
Se lleva una integración total de sistemas de auditoría con todos los procesos de la misma
Se provee de un constante entrenamiento tanto para usuarios como auditores
También en la misma encuesta se detecto que el 72% de las empresas afirma que el continuo uso de la auditoría a vuelto a la organización más competitiva en los últimos años, el 88% tiene una percepción del auditor como "perro guardián" más que como un consultor. (Anónimo, ( c )).
Otro de los porque es demandante en la organización la actividad de la auditoría en informática es que en varios estudios recientes se ha encontrado que un alto porcentaje de ejecutivos y altos directivos que utilizan la tecnología se encuentran inconformes con la seguridad que esta ofrece, en un estudio realizado en Estados Unidos en corporaciones tanto privadas como publicas se descubrió que la mayoría no están preparados para una intromisión en sus recursos tecnológicos, la organización ignorar realmente lo importante que es la seguridad de su tecnología de información, el robo o intromisión de información se ha incrementado de 1994 a 1996 un 60% y el costo que causan estas intromisiones se ha incrementado al doble. 20% de las intromisiones en organizaciones gubernamentales han tenido un serio impacto en la organización, en la mayoría de los casos se ha requerido hasta una semana para resolver los problemas.
Muchas de las empresas han sufrido de espionaje a través de sus sistemas de computo, y esta situación a llegado a ser determinante para el éxito de varias organizaciones, pero esto es en la mejor de las situaciones, en un alto porcentaje las empresas no se dan cuenta de que son objeto de estas actividades.
Este estudio no sólo habla de la necesidad de la actividad de la auditoría en informática dentro de las organizaciones, sino que es necesario establecer estándares de seguridad y leyes que permitan a las empresas un mayor resguardo de su información, esto también es un reflejo de lo poco preparada que esta la organización con respecto a la nueva tecnojogía. (Anónimo (a)).
En un artículo de una revista mexicana se habla de los niveles de seguridad dentro de la informática, este expone que el uso de del password no es una medida de seguridad, existen verdaderos métodos para asegurar la entrada a los sistemas de información de la organización.
18
La sofisticación esta a la orden del día y el usuario puede disponer desde lectores de huellas digitales, el iris de los ojos, manos o tarjetas personales. Para Ornar Nuñez director de una importante empresa, señala que un método más recomendable es el utilizar al menos dos de estos métodos.
Los métodos de seguridad física más prometedores son las tarjetas. La hay de varios tipos: Las de respuesta por demanda que permiten obtener múltiples servicios, las tarjetas por tiempo son muy simples de operar.
Pero todos estos métodos no sirven de nada si no se define y establece lo que este autor llama el triángulo de la seguridad en la informática, el cual tiene como base el establecimiento de políticas y procedimientos, en un segundo nivel la seguridad del entorno físico, en un tercer nivel la identificación y verificación de los usuarios en el cuarto nivel la encriptación y como ultimo nivel la auditoría siendo esta el punto más fino y la cual garantiza el éxito de la organización en cuestión de segundad. (Becerra, 1996).
2.4.1 Técnicas de la auditoría en informática
Los procedimientos de auditoría con informática son variables en relación a la filosofa y técnica de cada departamento y de cada organización, pero podemos sin embargo decir que existen técnicas o procedimientos que son compatibles en la mayoría de las empresas, estas técnicas son métodos manuales y métodos asistidos por computadora.
2.4.1.1 Técnicas asistidas por computadora
En general el auditor debe utilizar la tecnología como una herramienta ya que su utilización le permite ampliar la cobertura de sus evaluaciones, reduciendo el costo tipo y los costo de prueba y procedimientos de muestreo.
La computadora puede y debe ser empleada por el auditor en: Verificación de cifras totales y cálculos para comprobar la exactitud de los
reportes de salida producidos por el departamento de informática. Pruebas de los requisitos de los archivos para verificar la consistencia lógica,
la validación de las condiciones y la razonabilidad de los montos de las operaciones.
Clasificación de datos y análisis dé la ejecución de procedimiento e, 1990)
Selección e Impresión de datos mediante técnicas de muestreo y confirmaciones
19
Llevar a cabo en forma independiente una simulación del proceso de transacciones para verificar la conexión y consistencia de los programas de computadora
Utilización de paquetes de auditoría provenientes de fabricantes de equipo Utilización de programas de auditoría desarrollados por proveedores
Todos los paquetes empleados en la auditoría deben permanecer bajo estricto control del departamento de auditoría. (Echenique,1991).
Echenique menciona una lista de todas las técnicas avanzadas con informática algunas de estas técnicas son:
Pruebas integrales Simulación revisión de accesos Operaciones en paralelo Evaluación de un sistema con datos de prueba Registros extendidos Totales aleatorias de ciertos programas Selección de determinado tipo de transacciones como auxiliar en el análisis
de un archivo histórico, Resultados de ciertos cálculos para comparaciones posteriores
En otro enfoque Slosse dice que cuando el auditor aplica una auditoría y los sistemas de información cobran una importancia significativa es una alternativa el utilizar técnicas asistidas por computadora, las cuales se detallan a continuación.
Programas de auditoría asistidos por computadora, estos programas de computación preparados de acuerdo con especificaciones dadas por el auditor, con el objetivo de procesar la información del ente con relevancia para el auditor, pueden tratarse de paquetes comerciales de que generalmente son programas de computación desarrollados para realizar funciones de procesamiento de datos, que pueden incluir la lectura de archivo de datos, la selección de información etc. Programas escritos a la medida desarrollados para situaciones y organizaciones especificas. Programas utilitarios, son programas usados por el ente para la realización de funciones de procesamiento comunes tales como clasificación de datos, creación e impresión de archivos etc.
Técnicas de recuperación y análisis en microcomputadoras, esta técnica consiste en el recupero de información almacenada en el sistema computarizado del ente a través de un microcomputador utilizado por el auditor, se le conoce como "downloading" algunas de estas aplicaciones se mencionan a continuación.
20
Preparación de plantillas de control por componente para los papeles de trabajo de auditoría, en base a información recuperada del sistema computarizado existente.
Obtención de información a los efectos de cumplir procedimientos de revisión analítica.
Técnicas de datos de prueba, esta técnica consiste en el procesamiento de un lote de documentos ficticios en el sistema computacional que se pretende probar, para obtener satisfacción con respecto a que los controles de procesamiento y las funciones de procesamiento computarizados estén operando efectivamente. (Slosse, 1993).
Una vez que se tiene conceptualizado el porque es necesaria la auditoría en informática en la empresa y como esta se utiliza, tratemos concretamente a la auditoría en informática como una disciplina .
2.5 Definición y funciones de la auditoría en informática
Las definiciones y conceptos de mencionados a continuación corresponde a varios autores que analizan desde diferentes perspectivas la actividad de la auditoría en informática.
La auditoría en informática se desarrolla en función a normas, procedimientos y técnicas definidas pro institutos establecidos a nivel nacional e internacional.
La auditoría en informática va mas allá de una definición formal es un conjunto de actividades y procedimientos con fines específicos los cuales son:
Un proceso formal ejecutado por especialistas del área de auditoría y de informática, se orienta a la verificación y aseguramiento de que las política y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se llevan a cabo de una manera oportuna y eficiente.
Las actividades ejecutadas por los profesionales del área de informática y de auditoría encaminadas a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa. Dicha evaluación deberá ser la pauta para la entrega del informe de auditoría en informática.
El conjunto de acciones que realiza el personal especializado en áreas de auditoría y de informática para el aseguramiento continuo de que todos los
21
recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos de certeza de que la información que pasa por el área se maneja con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc.
Un proceso metodológico que tiene el propósito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnológicos etc.) relacionados con la función de informática a para garantizar al negocio que dicho conjunto opera con un criterio de integración y desempeño de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización. (Hernández, 1995).
Para Echenique la auditoría en informática es "la revisión y evaluación de los controles, sistemas, procedimientos de informática de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de recursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones." (Echenique, 1990).
La auditoría en informática deberá comprender no sólo la evaluación de los equipo y de los sistemas, sino que evaluará a los sistemas de información desde su entrada, su procesamiento, controles, archivos, segundad y obtención de información.
El campo de acción de la auditoría en informática será la evaluación administrativa del departamento de procesos electrónicos, la evaluación de los sistemas y procedimientos y la eficiencia que se tiene en el uso de la información la evaluación del proceso de datos y de los equipos de cómputo.
Cabe señalar que Echenique hace una mención al concepto de auditoría de programas el cual consiste en la evaluación de la eficiencia técnica, del uso de diversos recursos y del tiempo que utilizan los parámetros, su seguridad y confiabilidad con los objetivos de optimizarlos y evaluar el riesgo que tiene para la organización, la organización de programas tiene un mayor grado de detalle y profundidad que la auditoría en informática, ya que evalúa y analiza la parte central del uso de la computadora. (Echenique, 1990)
En otro concepto la auditoría informática examina y evalúa la estructura del control en áreas y funciones especializadas en el procesamiento de datos. (Anónimo, (c)). Otro concepto es que la auditoría en informática una procedimiento para comprobar la fiabilidad de la herramienta informática y al utilización que se hace de la misma (Derrien, 1994).
22
2.6 Objetivos de la auditoría en informática
La auditoría en informática no constituye una ciencia exacta, se apoya en un conjunto de suposiciones es por esto que los objetivos asignados a una misión de la auditoría en informática y a las técnicas utilizadas son tan variables. Pero especificaremos los objetivos más comunes:
El estudio de la fiabilidad del entorno informático, este objetivo lo dividimos en cuatro estudios:
a) El primero de ellos se refiere al estudio del interés de un buen control interno. El cual tiene como objetivo contribuir al dominio de la empresa, asegurar la protección y salvaguarda del patrimonio y la calidad de la información y se manifiesta por medio de la organización, los métodos, y procedimientos de las actividades de informática de la empresa
b) Los demandantes de una auditoría de la actividad informática, los demandantes potenciales son múltiples en primer lugar encontramos a la dirección de una empresa, también encontramos al responsable informática el cual necesita constatar y justificar su estructura y lo procedimientos que son establecidos, por otro lado los contralores ajenos a la empresa tiene igual vocación por interesarse en el entorno informático.
c) Los componentes de una auditoría de la actividad informática, por lo general se distinguen cuatro componentes del entorno informático: 1) El examen de la organización general del servicio, 2) El examen de los procedimientos relativos al desarrollo y al mantenimiento de las aplicaciones, 3) El examen de los procedimientos relativos a la utilización de las cadenas de tratamiento y 4) El examen de las funciones técnicas.
d) Los métodos de auditoría de la actividad informática, en el marco del control de la fiabilidad del entorno informático, el auditor pondrá su atención en el conjunto de puntos clave, que constituye un buen o mal control interno.
El estudio de la eficacia y de las actuaciones, de la actividad informática: La auditoría de la eficacia se interesa más bien por aquellos aspectos no cubiertos por la auditoría de seguridad. En otras palabras, la auditoría de la eficacia en la materia comprobará que no se hayan implementado configuraciones desproporcionados sólo por amor al arte.
Estudio de la fiabilidad de una aplicación informatizada, la finalidad primordial de la auditoría es pronunciarse sobre la calidad de una aplicación dada, en
23
realidad detrás de este objetivo básico se pueden ocultar motivaciones bastante diferentes, en función de las cuales convendrá elegir la mejor técnica de auditoría. A continuación se enumera una serie de controles aplicables a este tipo de estudios.
1) Control de la fiabilidad del software o control del uso que se da al mismo, podríamos decir que en el primer caso es la prestación del servicio informático lo que se controla, cuando en el segundo se controla la actividad del mismo, esto es que el software puede ser fiable pero mal utilizado, o bien a la inversa, bien utilizado pero poco fiable.
2) Control de la adecuación del software desarrollado a las especificaciones funcionales o control de la adecuación de las especificaciones funcionales para un buen control interno, aquí el primer termino significa comprobar que los programas desarrollados por el servicio de informática este de acuerdo con las necesidades expresadas, pero esta adecuación no es suficiente para garantizar la calidad de la aplicación en su conjunto, puesto que las especificaciones funcionales puede ellas mismas revelar insuficiencias o anomalías.
3) Búsqueda de fraudes o búsqueda de errores, en la mayoría de los casos, los riesgos de perdidas relacionadas con los errores de realización o de utilización del software son infinitamente más importantes que los riesgos de perdidas relacionadas con las operaciones dolosas o fraudulentas, es por lo tanto, la búsqueda de errores lo que será generalmente privilegiada por el auditor en su enfoque.
4) Control de calidad de los métodos de desarrollo del software o control de calidad de los procedimientos de utilización. La calidad de los procedimientos de concepción y de realización de las aplicaciones constituye un supuesto de fiabilidad y de respeto de las especificaciones funcionales.
5) Control de la fiabilidad del software y control de su perennidad, El software puede revelarse fiable por la calidad de su concepción, pero no perenne debido a los malos procedimientos de utilización. (Hernández, 1995).
2.7 Implementación de la función de auditoría en informática.
La auditoría en informática debe ser implementada formalmente a la organización y esto puede ser mediante el uso de una serie de estrategias y cursos de acción que mencionaremos a continuación.
24
1) Formalizar la auditoría en informática de la organización a través de:
a) Cursos de acción que justifiquen el desarrollo de la función de auditoría en informático en el negocio.
b) Presentación a la alta dirección de documentos de justificación.
c) Aprobación del proceso por la alta dirección.
d) Difusión de la auditoría en informática en las áreas relacionadas directa e indirectamente con informática.
e) Desarrollo del proceso de auditoría en informática en el negocio.
2) Proporcionar a la empresa o institución un proceso de auditoría en informática permanente con el objeto de garantizar a la alta dirección.
a) Que la seguridad, políticas y procedimientos que se orientan hacia los recursos de informática y a la información que estos manejan sean eficientes y confiables.
b) Apoyo a los objetivos del negocio al tomar decisiones con base en información que cumpla con los requisitos mínimos exigidos por auditoría, como exactitud, totalidad, autorización, actualización, etc.
c) La verificación del uso de tecnología de vanguardia que requiere y justifica cada área y nivel organizacional dentro del negocio.
d) La existencia de un proceso de evaluación y justificación de cada proyecto de inversión relacionado con la función de informática.
e) La elaboración y desarrollo formal de un proceso de planeación en informática que se oriente al plan del negocio.
f) El uso formal de metodología, técnicas y herramientas por el personal de informática para el desempeño eficiente de sus tareas y generación de productos de calidad.
g) Promover que el personal de informática se desarrollo en un ambiente de profesionalismo y de alta productividad tomando como base sus habilidades, conocimientos y perfiles requeridos por la organización.
Para dar inicio a las actividades se debe situar a la auditoría en informática dentro de la organización.
25
La auditoría en informática se debe considerar en un alto niveles organizaciones, la ubicación deseable es subordinarla jerárquicamente a una dirección o subdirección, ya sea la administrativa o la de informática.
El objetivo primordial para la alta dirección del negocio es asegurar que el desempeño de las actividades de auditoría en informática se ejecuten oportuna y eficientemente, de manera que los auditores cuente con: Independencia funcional, liberta de acción, facultad para la tomar de decisiones, negociación con los niveles gerencias, involucramiento en proyectos de alto impacto.
Una vez que es definida la función y la localización jerárquica de la auditoría se define un mecanismo de administración y control de dicha función, este mecanismo garantizará que todos los recursos y proyectos involucrados en el proceso de desempeño y gestión de la auditoría en informática, obedezcan los principios básicos de un proceso administrativo entre los elementos mas indispensables encontramos la planeación, el personal, el control y el seguimiento del desempeño.
2.8 Administración de la auditoría en informática
Los objetivos principales de la administración de la auditoría en informática son:
Asegurar que la función de auditoría cubra y proteja los mayores riesgos y exposiciones existentes en el medio informático del negocio.
Asegurar que los recursos de informática (hardware, software, telecomunicaciones, servicios, personal, etc.) sean orientados al logro de los objetivos y las estrategias de las organizaciones.
Asegurar la formulación, elaboración y difusión formal de las políticas, controles y procedimientos inherentes a la auditoría en informática que garanticen el uso y aprovechamiento óptimo y eficiente de cada uno de los recursos de informática en el negocio.
Asegurar el cumplimiento formal de las políticas, controles y procedimientos definidos en cada proyecto de auditoría en informática mediante un seguimiento oportuno.
26
Asegurar que se den los resultados esperados por el negocio mediante la coordinación y apoyo reciproco con: Auditoría, asesores externos, informática y alta dirección.
2.8.1 Planeación de la auditoría informática
La administración de la función debe desarrollar una matriz de la planeación de la auditoría en informática para determinar las áreas que serán evaluadas durante cierto periodo (sistemas de información existentes, desarrollo de sistemas, departamentos usuarios, adquisición e instalación de software, proveedores etc.).
Para lograr esto, hay que tener al alcance la información referente a los sistemas, equipos, software, planes de informática, planes de auditoría que se encuentren contemplados actualmente en la empresa.
Sobre todo, la administración de la función de auditoría en informática debe coordinarse con el gerente de auditoría interna o con los auditores internos para observar, comentar, definir y programas los planes de auditoría en informática conjuntos.
Si mencionáramos componentes para el éxito de la planeación serían:
1) Juntas formales periódicas para discutir los planes de auditoría en informática y el alcance de los mismos.
2) Revisiones periódicas y seguimiento de las deficiencias y debilidades importantes que se detecten.
3) Intercambio de reportes de auditor y otros documentos orientados al brindar el aseguramiento de calidad.
4) Proveer la capacitación conjunta necesaria.
5) Uso de metodología , técnicas y herramientas comunes. (Hernández, 1995).
Es interesante mencionar que Echenique plantea la planeación como una serie de paso previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo, con ello se podrán determinar variables como el número y características del personal de auditoría.
27
Dentro de la auditoría en general la planeación es un de los procesos más importantes, ya que una inadecuada planeación repercutirá en una serie de problemas.
En el caso de la auditoría en informática la planeación es fundamental y habrá que hacerla desde el punto de vista de tres objetivos.
1) Evaluación administrativa del área de procesos electrónicos 2) Evaluación de los sistemas y procedimientos 3) Evaluación de los equipos de computo
Para una adecuada planeación lo primero que se requiere es obtener información general sobre la organización y sobre la función de la informática a evaluar.
Es necesario iniciar el trabajo de obtención de información con un contacto preliminar que permita una primera ¡dea global. El objeto de este primer contacto es percibir rápidamente las estructuras fundamentales y diferencias principales entre el organismo auditado y otras organizaciones que se hayan investigado.
La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan e trabajo para que, en caso de que necesitan cambios o condiciones inesperadas que ocasionen modifican al plan general sean justificadas por escrito. (Echenique, 1990).
2.8.2 Liderazgo (Personal)
Cada organización debe tener política si procedimientos de selección de personal y reclutamiento donde se especifiquen las habilidades y perfiles necesarios para puestos específicos, la selección especifica de los auditores en informática es de especial importancia, ya que requiere un nivel de proporción suficiente confiable en los campos de auditoría e informática. La oportunidad y el grado de evaluación con que se hagan estos procesos de selección aunado a los capacitación determinará el grado de calidad, confiabilidad, productividad, etc.
Cuando se reclute personal de auditoría en informática, la administración de la función debe sondear los atributos y habilidades profesionales inherentes a este tipo de puesto, como experiencia, educación, adaptabilidad, entendimiento, determinación y diligencia.
28
El gerente o responsable de la función deber estimar las horas trabajo de auditoría de cada auditor donde un proyecto de evaluación y revisión. El número de auditores se debe establecer con base en la frecuencia de los proyectos o áreas por auditora y el número de horas de auditoría requeridas para cada proyecto (Hernández, 1995).
2.8.3 Control de la función de auditoría en informática
La supervisión oportuna asegura que las asignaciones a las auditorías sean planeadas apropiadamente para obtener un producto consiste y de calidad. La supervisión puede ayudar en la preparación de los planes de auditoría en informática en el desarrollo y contra de los presupuestos de la función, mejorando la relación y comunicación entre las áreas involucradas en los proyectos así como con el aseguramiento y preparación de papeles de trabajo congruentes y con calidad para elabora reportes del desempeño.
La supervisión es un proceso continuo, que enfatiza en la planeación de la auditoría y termina en la entrega y aprobación formal del informe final de la auditoría en informática.
Cuando el supervisor evalúe los trabajos de los auditores en informática sobre los proyectos debe acudir a los papeles de trabajo y verificarlos con los estándares y procedimientos de la función de la auditoría en informática para comprobar el siguiente de los mismos.
Los reportes de desempeño son una herramienta muy importante, ya que con ellos el gerente o el responsable de la función de auditoría en informática evalúa los siguientes puntos.
1) Productividad y calidad de los proyectos 2) Resultados 3) Avances de los proyectos 4) Áreas susceptibles de control y seguimiento 5) Seguimiento individual y de grupo
r
Y con esto se da por terminado el proceso de administración de la auditoría en informática.
29
CAPITULO 3.
3.1 Descripción del proceso de investigación de campo
Basada en la metodología descrita, la investigación de campo se definió en dos muestras para investigación:
a) Casas profesionales en Auditoría b) Empresas medianas y grandes del Estado de Jalisco
El proceso de investigación de campo se realizo en tres etapas, las cuales comprendieron las siguientes actividades:
Actividad 1) Determinar por métodos estadísticos las muestras representativas para estudio
Actividad 2) Levantamiento de entrevistas a las casas profesionales en Auditoría
Actividad 3) Levantamiento de entrevistas y encuestas a empresas medianas y grandes del Estado de Jalisco
Los instrumentos utilizados para realizar las actividades del trabajo de campos se encuentran en los anexos 1.1 y 1.2.
3.1.1 Determinación de universo y recolección de información
La primer parte de la determinación estadística fue la definir el universo de estudio en el cual para objeto de las dos muestras se establecieron dos universos de estudios heterogéneos ya que no era posible determinar un universos con características homogéneas.
El primer universo comprendido por las casas consultoras se integro de un grupo de empresas clasificadas en tres tipos:
Tipo a: Casas consultoras contables con registro para realizar auditorías contables.
Tipo b: Empresas consultoras en informática que ofrecen servios de control y asesoría administrativa en el área de informática.
Tipo c: Instituto de investigación tecnológica
Una vez definida la característica del universos se procedió a definir el tamaño de universo. Para lo cual se recurrieron a dos fuentes de información básica:
1. Los colegios de contadores del Estado de Jalisco y de la Universidad de 2. Información en la cámara de comercio del Estado de Jalisco
30
Los datos obtenidos en esta investigación nos arrogaron una muestra aproximada de 700 elementos del primer universo
El segundo universo comprendió por empresa medianas y grandes del estado de Jalisco no pudo ser determinado con cifras actuales y cabe mencionar que este parte de la investigación de campo fue larga y difícil debido a la falta de información estadística en este ramo menciono algunas de las instancias que fueron visitadas y que en base a esto se obtuvo un aproximado del universo de la segunda muestra.
a) Secofi b) Cámara de Comercio de Guadalajara c) INEGI Censo económico d) Instituto de Estudios de la Pequeña y Mediana Empresa e) Cámaras (de la transformación) (del calzado) (del vestir) f) Gobierno de Estado de Jalisco
Por mencionar algunas, en la cual los datos mas aproximados nos llevaron a determinar que no eran confiables ya que muchos de ellos comprendían periodos de 1994 y 1995, por ser periodos de altos cambios económicos y comerciales la muestra perdía validez por lo que se trato de hacer un ajuste aproximándonos a la realidad de 1997. Ya que para el periodo de estudio en cuestión la única herramienta que se esta trabajando el SIEN.
El tamaño de universo nos da un aproximado:
1,600 Empresa medianas 400 Empresas grandes
Si hacemos un comparativo podemos encontrar que representan un porcentaje pequeño del total de empresas en el estado ya que la mayoría de las empresas son micro o pequeñas empresas con un aproximado de 13,000 empresas en el estado.
3.1.2 Tamaño de la muestra
Se calculo en primera instancia un tamaño de muestra de visitar a 97 empresas de ambos universos pero esta muestra resultaba muy grande para los fines del estudio y sobre todo la relación que se tenía con el tiempo para realizar la investigación de campo, ya que se empezaron a realizar las entrevistas y se cálculo un tiempo aproximado de trabajo por empresa de entre los 3 y 5 días dependiendo en gran parte de la disponibilidad de la empresa para ser visitada y
31
del tiempo que tuvieran las personas para realizar entrevistas o contestar los cuestionarios.
Por lo que se procedió a establecer una muestra a criterio sobre todo atendiendo a la razón tiempo y disponibilidad para la recolección de la información
Se definió la siguiente muestra
Universo de casas profesionales de auditoría
28 Despachos contables con acreditación para realizar auditorías 16 Empresas consultoras en el área de informática
1 Instituto de tecnología
Universo de empresa medianas y grandes
8 empresas grandes
Empresa "a" laboratorio farmacéutico Empresa "b" Componentes electrónicos Empresa "c" Manufactura de equipo de computo Empresa "d" Manufactura de productos de imagen Empresa "e" Manufactura de componentes automotrices Empresa "f Empresa minera Empresa "g" Institución Bancaha Empresa "h" Empresa de la industria alimenticia
9 empresa medianas
Empresa Empresa Empresa Empresa Empresa Empresa Empresa Empresa Empresa
'i" Empresa de manufactura y comercialización de Pinturas 'j" Empresa de manufactura de solventes 'k" Grupo de empresas de la industria alimenticia (dulces) T' Empresa del área de entretenimiento 'm" Empresa de fabricación de lubricantes 'n" Empresa de consultoría informática 'o" Empresa de fabricación de plásticos semirigidos 'p" Empresa de la industria alimenticia (dulces) 'q" Empresa de fabricación y exportación de muebles artesanales
2 organismos públicos
Empresa "r" Organismo gubernamental estatal Empresa "s" Organismo gubernamental estatal
32
1 Institución "t" Institución educativa privada
Con esta muestra realice mi investigación de campo dando paso a el análisis y clasificación de datos.
3.2 Análisis e Interpretación de resultados
3.2.1 Resultados sobre la muestra de Casas Profesionales
Objetivo del Estudio:
Ubicar la Auditoría Informática en la perspectiva de Casas Profesionales de servicios de Auditoría o consultoría informática
3.2.1.1 Identificación de las necesidades por parte de las organizaciones
IDENTIFICACION DE SITUACIONES
35 30 25
CASAS 20 CONSULTORAS •/5
10 5 0
1 2 3 4 5 6
NIVEL DE IDENTIFICACIÓN DE LA SITUACIÓN
Para dar inicio a la investigación en este universo se presenta la investigación sobre la manera en que los clientes de las casas profesionales expresan su necesidad de la aplicación de la auditoria informática.
33
Los resultados muestran una tendencia de los organizaciones a presentar una problemática por resolver, mas que establecer una necesidad directa por la auditoría informática.
Según la experiencia de los consultores en esta área, la mayoría de las organizaciones detectan problemas en su manejo de información pero no identifican el alcance de la auditoría en el área de informática
3.2.1.2 Razones que identifica la organización para la aplicación de la Auditoría Informática
Razones de aplicación de una Auditoria Informática
• Falta de credibilidad en la información
• Posibles fraudes
• Evaluación de decisiones de inversión
• E valuación del uso de la tecnología
M Otros
Es necesario establecer cuales son las razones por las cuales las empresas en estado de Jalisco acuden a las casas profesionales a solicitar ya sea en forma directa o indirecta el servicio de la Auditoría Informática.
Los resultados que se obtuvieron nos muestran que la principal causa de solicitud de la auditoría Informática es por la falta de credibilidad de la información producida por la tecnología de Información, como segunda causa se define la probabilidad de fraudes cometidos a través de los procesos de la tecnología de Información.
34
El 9% de las causas para auditoría informática se refiere a otros conceptos que fueron mencionados entre los que se encuentran:
1. Revisión de procedimientos y procesos en la empresa 2. Falta de resultados en el área de informática 3. No coherencia entre las inversiones en tecnología y resultados 4. Problemas administrativos en general
3.2.1.3 Identificación de la Auditoría Informática en las Casas Profesionales
La Auditoría Informática en las Casas Profesionales
• Parte formal de la Cartera de Servicios
• No formal en la Cartera de Servicios
Se les cuestiono a las empresas sobre como ofrecen el servicio de la auditoría informática, para poder definir si las casas profesiohales reconocen el potencial de esta área y lo incluyen en sus practicas formales.
Los resultados que se obtuvieron mostraron una clara tendencia por parte de las casas consultoras a no incluir en su cartera de servicios a la auditoria informática como un servicio formal.
35
3.2.1.3.1 Relación Cartera de Servicios y Casa Profesional
RELACIÓN DESERVICIO
Institutoae
Tecnologl 3
O CARTERA DE SERVICIO
U NO CARTERA DE SERVICIO
De la muestra de casas consultoras 8 despachos contables 7 consultoras en informática y el Instituto fueron quienes identificaron a la auditoría informática como casas que ofrecen el servicio como parte formal de su cartera de servicios.
»
Se ve clara una tendencia a que estos servicios sean ofrecidos por casa profesionales más orientadas a productos de informática que casas profesionales orientadas a auditorías en general.
Además que parece ser más identificable la relación entre casas profesionales de servicios informáticos y necesidad de controles y auditoría en esta área.
36
3.2.1.4 Barreras para ofrecer la Auditoría Informática
Baraas para ofrecer la Audtoría Irfcrmkica
Relacionado con la pregunta anterior se cuestiona cuales serian las barreras para ofrecer la auditoría informática como parte formal de su cartera de servicios, ya que podremos definir a partir de estos resultados cuales deben ser las áreas que deben trabajarse para que la auditoría tenga una mayor práctica y sobre todo sea mas accesible a las organizaciones que la requieran.
Dentro de las respuestas que encontramos la que más se presento fue la falta de demanda formal de la auditoría en informática por parte de las organizaciones de estado de Jalisco.
Seguida por la falta de personal especializado en área, en este campo pudimos definir que un número considerable de las personas que trabajan bajo esta área son contadores con estudios en informática, existen pocos especialistas en informática dedicados a esta área.
37
3.2.1.5 Interés por parte de las Casas Profesionales de promover la Auditoría Informática
Interes por promover la Auditoría Informática
Conveniente No Conveniente
Se cuestiono a las casas profesionales sobre la conveniencia de promover la auditoría informática dentro de las organizaciones, a lo cual 34 de las casas consultoras están de acuerdo en promover la auditoría dentro de las organizaciones.
11 de las casas profesionales no creen conveniente el promover la auditoría informática, es importante mencionar que estas 11 casas no definen que la auditoría informática no sea conveniente para las organizaciones sino que para ellos la inversión de promoverla no es justificable
38
3.2.1.6 Proceso y medios de promoción de la Auditoría Informática en las Casas Profesionales
'Promoción de la Auditoria Informática
20 18 16 14 12 10
8
0
m
-C: -co
QQ £ c: o O
co co
. o CD
5;
- 0 -
ce
"c5
—p
<0 c/)
r S Q_
S uj
o c: O)
Se hizo un sondeo para definir en que forma se involucran las casas consultoras en el proceso de promoción de la auditoría informática en las organizaciones.
El medio por el cual se promociona la auditoría informática es a través de boletines o de cartas de promoción de cartera de productos, pero se hizo mención de que en pocas son las ocasiones que se promueve el producto en forma especifica, en la mayoría se promueve el conjunto de productos que ofrece la casa profesional.
El Instituto de tecnología por su relación universidad empresa es el único que llega a ofrecer platicas o conferencias sobre el área de auditoría informática.
39
3.2.2 Resultados sobre la muestra de empresa medianas y grandes del estado de Jalisco
3.2.2.1 Nivel de confianza de la información en las empresas medianas y grandes del estado de Jalisco
Considera confiable la información en su organización
13 15
10
5
0
7 msí • A/o
N o
De la muestra de empresa medianas y grandes que se estudio consideran aceptablemente confiable la información que es generada en su organización.
En números el 65% de las empresas considera su información confiable y el 35% de las empresas no consideran su información confiable.
40
Resultados de la muestra en relación al nivel de confiablidad de la información
Nvd de cafiana de la información
100 80 60 40 20 0
Las barras representan el número de empresas que consideran que información corresponde al nivel de confianza de las barras.
Los niveles de confianza son muy variados, pero si cabe mencionar q ninguna empresa considera 100% confiable su información ni tampoco 0 confiable, los rangos más identificados son entre el 60% y 80% de confianza.
41
Porcentaje de confiabilidad de información
Nive l de C o n f i a n z a de la I n f o r m a c i ó n en las E m p r e s a s
En base a la información de la gráfica de niveles de confianza se define un nivel de confianza promedio de 54%.
3.2.2.2 La oportunidad de la información en las empresas mediana
C onsid era o p o r t u n a la información en su
org anización
1 5
1 0
0 N o
• N o
Se le cuestiono a las empresas que tan oportuna consideran las empresas la información que es generada por la misma, oportunidad para ser utilizada tanto en forma operativa como para la toma de decisiones.
La oportunidad implica que la información este disponible en el momento que lo requiera la organización, la información decrementa su valor si su nivel de oportunidad es bajo.
100 80 60 40 20 0
La gráfica de barras muestra como la mayoría de las empresas consideran en un rango del 100% al 60% de oportunidad en su información aunque la mayoría se carga entre un 80 y 60 porciento.
Es importante mencionar el caso de las dos empresas que consideraron que su información no era oportuna, estas dos empresas "r" y "s" organizaciones publicas, hablaban de un nivel de oportunidad nulo ya que la información tenia un promedio de retraso de un mes.
Varias empresas coincidieron en que la oportunidad no iba relacionada directamente con el nivel de confianza de la información ya que se daba el caso de información oportuna pero poco confiable
43
Porcentaje de oportunidad de la información en las empresas
N i v e l de O p o rtu n id a d de la I n f o r m a c i ó n en las
E m p r e s a s
El promedio de oportunidad de la información de la organización es de un 72% de oportunidad este dato resultado de la tendencia de oportunidad entre el 60% y 80% mostrado en la gráfica anterior.
3.2.2.3 Impacto de las interrupciones de informática en las empresas medianas y grandes del estado de Jalisco
i n t e r r u p c i o n e s - en in fo rm á tic a
, 6
i — i •
1 0 0 8 0 6 0 4 0 2 0 0
A l t o i m p a c t o B a j o i m p a c t o
44
Se cuestiono a las organizaciones sobre el impacto que provoca las interrupciones en informática, con el propósito de definir el nivel de dependencia de la informática y la organización, ya que en ocasiones la organización no percibe su dependencia hasta que se ve en problemas, y por las misma falta de dependencia no se preparan planes de contingencia adecuados.
La mayoría de las organizaciones aceptaron su alta dependencia a la informática. Solo dos organizaciones la consideraron de bajo impacto ya que sus procesos básicos no son soportados por el área de informática, pero no dejaron de reconocer una dependencia significativa
Porcentaje de impacto de las interrupciones en informática en las organizaciones.
Nivel de Impacto de las interrupciones informáticas en
las Empresas
El nivel de impacto de las interrupciones en las organizaciones es de un 86% lo que lo clasifica como de muy alto impacto.
45
3.2.2.4 El nivel de perdida de la información en las organizaciones
Perdida de Información en las Empresas
4 2
0 0 0
100 80 60 40 20 0
Muy frecuente Poco frecuente
Los niveles de perdida de información se ubicaron en su mayoría en el rango del 60% ya que las empresas expresaron que por el tamaño de sus áreas y por el volumen de información la perdida de información es relativamente frecuente aunque el volumen de perdida no se pueda definir y pueda tener altas variaciones.
46
Porcentaje de frecuencia de perdida de información en las empresas medianas y grandes del estado de Jalisco
Nivel de perdida de inforrradóne las Empresas
Esta gráfica nos presenta el elevado índice de perdida de información en las empresas, este perdida puede referirse a perdidas de segmentos de menor o mayor relevancia para la empresa, solo existe un 14% de seguridad en lo que se refiere a la manejo y conservación de la información.
47
3.2.2.4 Principales usos de la Información en las empresas medianas y grandes del estado de Jalisco
El identificar como las empresas definen el uso y la aplicación de la información dentro de la organización nos lleva a definir su asimilación y adaptación hacia las tendencias de las organizaciones, ya que entre mayor uso de la informática a nivel de toma de decisiones o como herramienta estratégica nos
48
habla de mayor asimilación del potencial y del benefició de la informática en la actualidad.
3.2.2.4 Las políticas de uso y distribución de información en las empresas medianas y grandes del estado de Jalisco.
Se tienen políticas de uso y distribución de inform ación en
su organización
S í N o
El saber si en las organizaciones se establecen políticas de uso y distribución de información en las organizaciones nos permite saber el grado de controles que se aplican en las empresas de estudio.
El que se apliquen políticas dentro de las organizaciones habla de la formalización de la función informática en la organización y de la concienciación de la necesidad de cuidar y de controlar el recursos mas valioso de toda organización-
El resultado de esta evaluación muestra un bajo grado de formalización de controles de uso y distribución de la información, siendo las empresas de mayor tamaño las que aplican políticas definidas en el área de informática sobre toda las empresas de inversión extranjera, y la empresa bancaria siendo las que más cuidan este renglón.
49
3.2.2.5 Controles sobre el acceso de información
S e e s t a b l e c e n c o n t r o l e s s o b r e el a c c e s o a la
in fo rm a c ió n
1 0 0 8 0 6 0 4 0 2 0 0
L a m a y o r í a d e l as v e c e s P o c a s v e c e s
El definir el grado en que las organizaciones controlan el acceso de su información nos habla de el valor que le da la organización a su información y a su vez determinar si la carencia de los mismos puede ser razón para la aplicación de la auditoría informática dentro de las mismas, en razón de la prevención de problemas relacionados con el área.
Aún con la importancia que representa el hecho de contar con una información segura pudimos encontrar una empresa donde los controles son escasos y sobre todo son arcaicos en relación a la cantidad de gente que puede accesar a la misma.
La mayoría de las empresas sobre todo empresas medianas consideran sus controles en un rango del 40% se aplican controles definidos sobre el acceso de la información.
50
El control que se aplica en la organización esta mas enfocada o candados de accesos.
3.2.2.6 Definición de la auditoría informática
51
C ó m o s e i d e n t i f i c a la a u d i t o r í a
Como define la empresa a la auditoría informática nos lleva a definir como es asimilada por la misma, si la empresa tiene un concepto equivoco de la auditoría
52
informática será altamente probable que la aplicación de la misma sea mal orientada y que no se den resultados acordes con los objetivos y propósitos de una auditoría informática.
Se describieron aproximaciones de la definición de la auditoría informática y se define en dos grandes grupos, uno define la auditoría informática como mecanismo para detectar errores y fraudes, una definición más relacionada con la actividad de la auditoría contable.
Siete empresas la identificaron como un conjunto de procedimientos y actividades orientadas a la verificación y aseguramiento de las políticas para el uso y manejo de información.
3.2.2.9 La aplicación de la Auditoría Informática en las empresas
Se aplica Auditoría en su organizac i ó n
2 o
1 5
1 0
5
0 S í
1 6
N o
• N o
La aplicación formal de la auditoría informática identificada en las empresas "c,b,d,g" empresas grandes las cuales integran 'formalmente la practica de la auditoría informática, el resto de las empresas no aplican formalmente la auditoría informática.
Cabe mencionar en el caso de la empresa "g" por su giro, es la que cuenta con un departamento dedicado a esta practica por ser la información y ser la tecnología de información el soporte de sus operaciones.
53
3.2.2.10 Razones para la no aplicación de la Auditoría Informática
R a z o n e s p a r a no a p l i c a r la a u d i t o r í a
E 2
Para determinar áreas de oportunidad es necesario definir el marco de referencia en el cual se desempeña la auditoría informática, las empresas que no
54
aplican la auditoría informática formalmente en sus procesos expresaron sus razones para no realizar esta práctica.
La barrera que más se menciona la organización para la práctica de la auditoría informática se relaciona con el recurso humano, existe un problema más profundo ya que esta barrera nace de la propia concepción de la empresa de que la auditoría informática es una actividad que persigue culpables y no la conceptualizan como una practica de prevención de riesgos en el área de informática, se repite la relación entre la auditoría contable y la informática.
55
CAPITULO 4
4.1 La administración de la función informática en las empresas medianas y grandes del estado de Jalisco.
La definición de la función informática en las organizaciones depende en gran medida de la conceptualización de la misma organización del uso e integración de la tecnología de información a los objetivos de la organización.
En el estado de Jalisco se tiende a un predominio de microempresas y pequeñas empresas, siendo este el contexto a las que hoy en día pueden ser catalogadas como empresas medianas, en este caso muchas de estas empresas, tienen un inicio parecido donde una empresa familiar fue creciente hasta convertirse en empresa de mayor dimensión, pero el crecimiento no va en todas las ocasiones acompañado de una evolución organizacíonal que corresponda al entorno y a las demandas de la misma organización.
Una muestra de ello fue el resultado de esta investigación en donde se definen áreas de oportunidad para la aplicación del la auditoría informática en el proceso de la administración de la función informática.
Para definir las oportunidades en esta área primero era necesario el determinar el grado de formalidad de la administración de la función informática. Por lo cual se divide la apreciación en razón a tres grados de formalización del área de informática.
1 Administración de la función informática formalizada en la organización. 2 Administración de la función informática formalización media en la organización. 3 Administración de la función informática no formalizada en la organización.
Empresas grandes
Empresa "a" laboratorio farmacéutico 2 Empresa "b" Componentes electrónicos 1 Empresa "c" Manufactura de equipo de computo 1 Empresa "d" Manufactura de productos de imagen 1 Empresa "e" Manufactura de componentes automotrices 1 Empresa "f Empresa minera 1 Empresa "g" Institución Bancaha 1 Empresa "h" Empresa de la industria alimenticia 2
Empresas medianas
56
Empresa "i" Empresa de manufactura y comercialización de Pinturas 3 Empresa "j" Empresa de manufactura de solventes 3 Empresa "k" Grupo de empresas de la industria alimenticia (dulces) 2 Empresa "I" Empresa del área de entretenimiento 3 Empresa "m" Empresa de fabricación de lubricantes 3 Empresa "n" Empresa de consultoría informática 3 Empresa "o" Institución educativa 3 Empresa "p" Empresa de la industria alimenticia (dulces) 3 Empresa "q" Empresa de fabricación y exportación de muebles artesanales
3 Organismos públicos
Empresa "r" Organismo gubernamental estatal 3 Empresa "s" Organismo gubernamental estatal 3
En empresas grandes el grado de formalización de la administración de la función informática es alto, pero es importante mencionar las características generales de estas organizaciones.
Las empresas grandes de la muestra son en un 90% empresas transnacionales, las cuales muestran un nivel desarrollo organizacional elevado, hablamos de empresas donde se define a la informática como una elemento estratégico y vital para la organización y se considera como un recurso de la misma.
En la muestra dos organizaciones tienen un grado medio de formalización de la función informática, ya que hablamos de empresas regionales donde la percepción de la informática no es integrada a los objetivos del negocio en su totalidad.
En el caso de las empresas medianas en su mayoría no existe una función informática definida en los casos de estas empresas son en su totalidad empresas regionales donde la definición incluso de la informática no esta claramente definida, las funciones de esta área en estas empresas son más orientadas a la solución de síntomas y problemas generales reflejo de la falta de una administración en el área de informática.
Se tuvo la oportunidad de trabajar con dos instancias gubernamentales en el caso de estas instancias el problema del área de informática es severo, ya que la función informática no solo no esta definida sino que el mismo trabajo del área de informática no esta conceptualizado en razón a las necesidades de estas instituciones. No solo no se utilizan los conceptos de la administración de la
57
informática sino que no se conocen con certeza estos conceptos por parte de la gente encargada de estas áreas vitales para la institución.
4.1.1 Problemática de los departamentos de informática en empresas medianas y grandes del estado de Jalisco
Uno de los problemas que se presenta en las empresas y sobre todo en el área de informática es la falta de personal especializado.
Un problema de la falta de personal especializado en el área de informática es el hecho de que un 70% de las empresas los encargados o directores de las áreas de informática son personas con dominios en el área técnica. En el ámbito administrativo la mayoría de estas personas toman sus decisiones a partir de sus experiencias.
Puedo definir incluso un circulo vicioso en torno a esta problemática de personal, ya que en razón a que el área de informática es un área que por su misma falta de planeación y control no llega a presentar resultados no se justifica una inversión en el recurso humano.
En cambio en empresas donde los procesos de administración se encuentran definidos y se explota la informática como un área vital de la organización, encontramos gente más especializada o gente que la misma organización capacita.
4.2 La informática en las organizaciones.
Es necesario comentar como en la investigación se hizo notar la falta de cultura informática en empresas regionales, la misma empresa comenta:
"La informática es un mal necesario", "La informática solo es hacer lo mismo con maquinas", o quizás el comentario que mas se repitió "La informática es muy costosa para la empresa".
Todos estos comentarios llevan a la conclusipn de que en estas empresas como en la gran mayoría de empresas regionales no se identifica a la informática como un recurso estratégico, sino como una herramienta de auxilio a la operación del negocio, no existe una orientación de los recursos tecnológicos de la organización hacia los objetivos y estrategias de la misma.
Pero el mismo cambio del entorno de las organizaciones las esta empujando a buscar en la informática algo más que un apoyo operativo. Pero aun con esta
58
influencia o demanda del medio la informática se enfrenta a una resistencia al cambio por parte de las personas de la organización, y en muchas ocasiones los primeros en resistirse a este cambio son las personas del área de informática y los altos ejecutivos que no creen en los beneficios que esta área les puede ofrecer.
No solo el entorno económico presiona hacia el cambio, las empresas reconocen el vertiginoso avance tecnológico en el área de la información, las decisiones sobre en que recursos informáticos se debe invertir son cada vez más complejas, es necesario contar con herramientas de planeación, saber que necesito para definir que requiero.
En las empresas estudiadas se empieza a dar una asimilación de la informática pero estos procesos han sido lentos y dolorosos en muchas ocasiones para las mismas.
Más de una organización expreso su interés en fechas anteriores por integrarse a este proceso de explotación del área de informática, y por lo menos en dos organizaciones expresaron que más de una empresa o personas les prometieron resultados que jamás vieron por lo que se volvieron más "cuidadosos" en sus decisiones sobre el área de informática.
4.3 La auditoría informática desde el punto de vista de las casas profesionales
Otra de las área de estudio de este trabajo de investigación se oriento a definir desde el punto de vista de las casas profesionales en auditoría y consultoría cuales seria las áreas de oportunidad para la auditoría informática.
Consientes de la poca aplicación en forma directa de la auditoría en informática en las organizaciones se recurrió a la casas que ofrecen este servicio en la estado de Jalisco con el propósito de definir el nivel de demanda, la aplicación y las barreras a las que se enfrenta esta disciplina.
4.3.1 El nivel de identificación de la auditoría informática en las empresas en el estado de Jalisco.
Basado en las respuestas al cuestionario podemos identificar como a la auditoría informática como una disciplina de poco conocimiento en la región, ya que en la mayoría de las situaciones donde se presenta una auditoría informática
59
su origen no se expresa directamente, sino que el cliente plantea una serie de situaciones, síntomas o problemas y a partir de estos el experto de la casa profesional define a la auditoría informática como la disciplina que podría dar solución a lo que el cliente plantea.
Son pocos los casos en que el cliente expresa el servicio en concreto de una auditoría informática, cabe mencionar que en estos casos se relaciona el hecho de que la casa profesional lo ofrece directamente en su cartera de servicios por lo que el cliente puede considerar esta opción.
4.3.2 Barreras para ofrece la auditoría informática.
La principal barrera para ofrecer la auditoría informática como parte formal de una cartera es la baja demanda formal de esta disciplina en las organizaciones, ya que en muchas ocasiones los clientes por desconocimiento aplican otro tipo de auditorias o piden asesoría en el ámbito administrativo.
Al no tener bien definido el campo y los alcances de la auditoría informática por las organizaciones su nivel de demanda baja, aunque en muchas de las ocasiones las soluciones alternas no ofrezcan los mismos resultados y puedan incluso ser mas riesgosas y dañinas para la organización.
La segunda barrera es la carencia de personal, es difícil para las casas profesionales el ofrecer un servicio con "personal improvisado" ya que a parte de ser muy costoso, están consientes que el nivel de especialización requerido en el área de sistemas debe involucrar un personal adecuado.
Definitivamente lo que la auditoría necesita para superar estas barreras es elevar sus niveles de incorporación a las organizaciones de la región. Ya que a mayor demanda de la auditoría informática en las organizaciones, mayores recursos será asignados.
4.3.3 Promoción de la auditoría informática
Definitivamente una de las formas de incrementar la demanda de la auditoría informática es la promoción que las casas profesionales realicen con el objeto de involucrar a las empresas en los procesos de control de la información, para poder crear un mercado se necesita generar en las empresas la necesidad de tener controlada su información con procedimientos y herramientas formales.
60
En este ámbito se pueden proponer dos alternativas: La primer alternativa es la de exponer en forma directa o masiva a las organizaciones como la integración de la informática a su organizaciones proporciona beneficios y ventajas, para crear una cultura informática acorde a lo que el mismo entorno marca, para con este empezar a crear una necesidad de administrar la función informática y por lo tanto de controlar dicha función.
La segunda propuesta es en razón de exponer a las empresas el potencial de la auditoría informática dentro de la organización, verla como una alternativa para la solución de problemas y no optar por solucionar únicamente síntomas de problemas.
4.3.4 Es área de negocios la auditoría informática para las casas profesionales
Definitivamente es un área de negocios, solo que necesita explotación y trabajo, ya que la tendencia de las organizaciones va dirigida a la incorporación de tecnología de información en todas sus áreas y cada vez es mas evidente la necesidad de controlar un área que se vuelve vital para la organización.
El problema con la falta de un administración informática en un número considerable de empresas, genera la necesidad de controles, si no existen procesos formales de planeación, organización, liderazgo y control, es más que evidente la existencia de problemas.
4.4 Áreas de oportunidad de la auditoría informática en base al estudio de empresas.
Se aplicó un cuestionario a la muestra de empresa medianas y grandes del estado de Jalisco con el propósito de definir los controles y la calidad de la información que se maneja en la organización.
4.4.1 La información en las empresa medianas y grandes del estado de Jalisco
Los resultados de la investigación presenta a la información con apenas un 54% de confiabilidad, lo que nos habla de serios problemas en promedio en las organizaciones, ya que el grado de confianza puede determinar el grado de uso y sobre todo el destino de la información en la organización, si se pretende que en las organizaciones se utilice la tecnología de información y la información a nivel
61
estratégico es necesario elevar los niveles de confianza de la gente tanto en la información como en los procesos y herramientas que la generan.
Las razones por las cuales la información pierda confiabilidad pueden ser tan variadas que seria difícil definir un estándar que ayudara a todas las organizaciones por lo cual la auditoría informática se propondría como una solución viable a este problema, los controles permiten elevar los niveles de confianza de la información, cada caso aplica controles diferentes, de aquí una oportunidad de la auditoría informática en empresa medianas y grandes del estado de Jalisco.
El nivel de oportunidad de la información se refiere a que tan eficaz es la información en las empresas, la información dentro de sus características básicas reconoce la oportunidad como el hacer llegar datos significativos para uno o varios usuarios en los momentos indicados.
En nuestro caso de estudio podemos considerar la información de las empresas medianas y grandes del estado de Jalisco como buena, ya que esta dentro del rango del 72% de oportunidad.
No había coincidencia entre la oportunidad y la confiabilidad de la información, ya que algunas organizaciones expresaron de que a pesar de que la información estuviera disponible no en todos los casos se podía confiar en ella totalmente ya que podía contener errores.
4.4.2 La información y la organización
Que tan relevante es la información y la informática para la organización es nuestro segundo elemento para conformar la necesidad de la auditoría informática en las organizaciones.
En el cuestionario que se aplico a empresa se establecieron criterios para determinar el grado de dependencia de la organización y la informática.
En base a las respuestas del cuestionario si sumamos el nivel de impacto de las interrupciones del área de informática. Es definitiva la dependa de la organización hacia la informática.
62
4.4.3 Como define la empresa mediana y grande del estado de Jalisco a la auditoría informática
Definitivamente existe un desconocimiento claro de la mayoría de las empresas de la auditoría informática, es notorio el lazo o la interrelación que la gente de la organización hace entre la auditoría contable y la auditoría informática, cuando se pidió a la gente de la organización definir la auditoría informática se relaciono más a una actividad correctiva que preventiva, una actividad de detección de errores y de fraudes y no un conjunto de procedimientos y actividades orientados a la verificación y aseguramiento de las políticas para el uso y manejo de la información.
Son muy pocas las organizaciones que aplican la auditoría informática, las pocas organizaciones que la aplican son grandes empresas o instituciones bancarias que establecen la importancia de la información desde su concepción, no así en la mayoría de empresas regionales donde esta actividad no se ha desarrollado.
4.4.4 Barreras para la aplicación de la auditoría informática
La principal barrera es sobre la percepción de la gente sobre la auditoría en general, lo relacionan con una actividad de vigilancia y de falta de confianza en la gente.
En este caso la barrera es superable en razón de que las empresas conozcan realmente que es la auditoría informática y que no es una actividad que vigile o desconfíe de las personas sino una actividad que permite a la organización controla y prevenir sus riesgos informáticos.
Otra de las barreras también se define en relación a percibir las informática como un gasto y no como una inversión, ya que al no definir los productos de la informática es difícil conceptualízarla como una inversión. Cambiando la visión de la informática podemos definir los productos en relación a su intervención dentro de la organización, se vería a la informática como un área productiva y por lo tanto una oportunidad dentro de la misma.
Si cambia la percepción de la informática cambia la negativa de uso de la auditoría informática en relación a la inversión.
63
CAPITULO 5
5.1 Conclusiones
La investigación sobre las áreas de oportunidad que tiene la auditoría informática en empresas medianas y grandes del estado de Jalisco nos lleva a una serie de conclusiones.
La primer conclusión en razón de que es evidentemente necesario antes de explotar el área de auditoría informática en la organización, el definir e impulsar a las organizaciones a cambiar su perspectiva sobre la informática, que la definan como una herramienta estratégica que necesita al igual que otras áreas de la organización de una incorporación directa a los procesos de la organización no solo como soporte o como herramienta operativa sino como parte de los objetivos de trabajo de la misma.
La segunda conclusión sería que una vez asimilada una cultura informática elevada donde la informática se considere un recursos, es necesario que esta área defina formalmente ios procesos de administración de la función informática, que exista sobre todo una adecuada planeación para posteriormente integrar procesos de control.
Una vez que exista un proceso formal de administración crear en las empresas una filosofía de prevención, una necesidad por establecer políticas y controles que prevengan los riesgos en el área de informática.
Creo que en el estado de Jalisco existe mucho potencial en lo que a informática se refiere sobre todo porque es poco lo que se a caminado en ciertas áreas, ya la organización se da cuenta y es impulsada al cambio, a un ambiente altamente competitivo que requiere de la informática para poder sobrevivir.
La tendencia a considerar a la auditoría informática como un recurso lleva a la organización a tratarlo como tal, entre más preciado sea el recurso y más valor tome para la organización mayor será la necesidad de cuidarlo y protegerlo.
Las primeras personas que deben involucrarse en este cambio son los altos directivos, muchos de ellos con una tradición de empresa familiar, cabe destacar que la cultura de la región se refleja en las organizaciones, una cultura muy conservadora y en ciertas ocasiones hasta hermética. Una barrera que se habrá de superar a través de un proceso de administración del cambio y que mejor oportunidad para la informática que ser el agente de cambio.
64
5.2 Conclusiones personales
Como conclusiones personales, esta investigación me permite definir no solo el marco de referencia de la auditoría informática sino el marco de referencia de la informática en las organizaciones.
Fue sorprendente como al ¡nteractuar con las empresas, se pueden descubrir procesos que tal vez su pueden suponer, pero en el momento de buscarlos descubres que no existen en la organización.
Como considera la organización a la informática fue un de los mayores impactos la frase "Es un mal necesario" o la opinión que dio un directivo y dueño de una de las empresas en cuanto a que "si existe el departamento bueno y sino también", habla de una falta de desarrollo dentro de la organización en el estado de Jalisco.
Podría definir las área de oportunidad como altas y variadas pero creo aun mas importante definir el proceso que se ve evidentemente necesario en la empresa Jaliscience para poder competir con otras empresas
A partir de este trabajo yo podría ver tres líneas de investigación a futuro, la primera de trabajo con las empresas sobre la concepción de la informática , posiblemente a través de seminarios, intervención directa a empresas, involucramiento de la empresa en talleres de integración etc.
La segunda línea en relación al trabajo del proceso de administración de la función informática.
Una tercera línea ya en la aplicación especifica de la auditoría en las organizaciones.
65
BIBLIOGRAFÍA
Autor Anónimo (a). "Businesses Ignore Computer Security" Internal Auditor Junio 1996.
Autor Anónimo (b). "Computer System Auditing Tips" Internal Auditor Diciembre 1995.
Autor Anónimo ( c ). "Businesses Ignore Computer Security" Internal Auditor Junio 1996.
Autor Anónimo (d). "Managing information tecnology risk" C A Maqazine Julio 1996.
Boockholdt, J.L. Accounting Information Systems Irwin, Tercera Edición USA 1993.
Carrol, Jim. "Computer Audit Update" C A Maqazine. Julio 1995
Cushing; Rommney Accounting Information System Addison-Wesley publishing company. Sexte Edición USA 1993
Daft, Richard L. Management Dryden. Tercera Edición Forth Worth, Tx, EUA. 1993
Derrien Yann. Técnicas de la Auditoría Informática AlfaOmega.Primera Edición. México, D.F. 1994
Echenique, José Antonio Auditoría en Informática , McGraw-Hill. Primera Edición. México, D.F. 1990
Hernández Hernández Enrique. Auditoría en Informática C E C S A . Primera Edición. México, D.F. 1995
66
Hoffman, G. The Tecnoloqv Pavoff Irwin, Primera Edición USA 1994
Gallegos, F; Jordon, S; Kneer, D. "Model Curricula for Information Systems Adutirn at the Undergraduate an Gradúate Levéis" ISACA, Enero 1997.
Guajardo, G. Contabilidad Financiera Me Graw Hill, Primera Edición México, D.F. 1992
Larson, Kermit; Spoede, Charlene W; Miller, Paul B. Financial an Managaerial Accountinq Irwin. Primera Edición. E.U.A. 1994
L¡, H. David.Auditoría en Centros de Cómputo Trillas, Primera Edición México, D.F. 1992
Little, David; Misra Santosh. "Auditing for Datábase Integrity" IS Management. Agosto 1994
Perel, Viocente L; Forastiero, Daniel O; Vaisberg, Horacio A. Auditoría para la Calidad. Ediciones Macchi. Primera Edición Buenos Aires, Argentina. 1994
Porter, M. Ventaja Competitiva C E C S A , Primera Edición México, D.F 1987.
Slosse, Carlos Auditoría un nuevo enfoque empresarial Ediciones Macchi, Primera Edición Buenos Aires 1991
Stoner, j. Administración Prentice Hall. Quinta Edición México, D. F.
Weber, Ron. EDP Auditing conceptual foundations and practice Me Graw Hill, Segunda Edición E.U.A 1988
67
Investigación en el Área de Auditoria en Informática I.T.E.S.M Campus Guadalajara
Programa de Graduados en Ingenierías y Tecnologías
FICHA DE TRABAJO
DATOS GENERALES Nombre de la empresa Giro de la empresa Tamaño de empresa Domicilio Calle
Ciudad Colonia Telefonos Fax E-Mail
FECHAS DE TRABAJO
F E C H A S ACTIVIDAD
DATOS DE LA PERSONA ENCUESTADA Nombre Departamento Puesto Reporta al departamento de Reporta al departamento de •
Observaciones
Investigación en el Área de Auditoria en Informática l .T.E.S.M Campus Guadalajara
Programa de Graduados en Ingenierías y Tecnologías
1. ¿Cuando se presentan situaciones relacionadas con Tecnología de Información el cliente?
Plantea su problemática El cliente expresamente Solicita Al
2. ¿Cuáles son las razones más frecuentes por la que son llamados para aplicar la Auditoria en Informática?
a) Falta de credibilidad en la Información generada por tecnología de Información b) Posibles fraudes c) Evaluación de decisiones en inversiones d) Evaluación del uso de la Tecnología e) Otros
Por favor mencione
3. ¿Cómo ofrecen el servicio de Auditoria en Informática?
a) Como un servicio permanente, parte formal de su cartera de servicios b) No forma parte formal de su cartera de servicios
4. ¿Cuáles considera usted son las barreras para ofrecer la Auditoria en Informática?
a) La carencia de demanda b) La carencia de personal especializado
5. ¿Considera conveniente promover la Auditoria en Informática en las organizaciones?
a) Si b) No
6. ¿De que forma se involucra en el proceso de promoción de la Auditoría en Informática en las organizaciones?
a) Con boletines informativos b) Ciclos de Conferencias c) Platicas informativas d) Visitas a empresas
Investigación en el área de Auditoría en Informática I.T.E.S.M Campus Guadalajara
Programa de Graduados en Ingenierías y Tecnologías
I. Menc ione 3 act iv idades básicas del departamento de Informática?
!. ¿ Cómo define la función del departamento o área de informática?
i) área de soporte operativo a la organización )) área o función que maneja información ;) área estratégica de la organización i) área de apoyo a nivel operativo, administración media y alta administración í) ninguna de las anteriores
l Cons idera su información como:
3) Un recurso de la Organización )) Como una elemento de trabajo cotidiano en la organización :) Como ventaja competit iva dentro de la organización i) Ninguno de los anteriores
1. ¿Considera confiable la información en su organización?
a) S i 3) No
3ue tan confiable
100% 0%
2. ¿Considera su información oportuna?
a) Si b) No
Altamente oportuna poco oportuna
3. En los procesos de operación diaria considera el impacto de las interrupciones en informática como de:
Alto impacto Bajo impacto
4. En su organización la perdida de información se considera como:
Muy frecuente Poco frecuente
5. En que porcentaje usted identificaría se utiliza en cada uno de estos rubros la información que se genera a través del área de informática
Trabajo operativo
Toma de decis iones
Herramienta de soporte operativo
Herramienta estratégica
6. En su organización se tiene establecidas políticas de uso y distribución de información
a) S i
b) No
7. En su organización se establecen controles sobre el acceso a la información
La mayoría de las veces Pocas veces
8. Usted identifica la auditoria informática como:
a) Mecan ismo para detectar errores y fraudes b) Herramientas para el control de abusos de la informática c) Discipl ina que auxilia en la prevención de riesgos informáticas en la organización d) Una forma de controlar la información y a la gente e) Conjunto de procedimientos y actividades orientados a la verificación y
aseguramiento de las políticas para el uso y manejo de información f) Ninguna de las anteriores 9. Su organización aplica Auditoria Informática
a) Si b) No
10. Si su respuesta a la pregunta anterior fue negativa cual definiría como la razón principal para no aplicarla
a) No la necesito
b) No se d isponen de recursos económicos c) La gente se sentiría vigilada d) No es necesar ia para este departamento e) Implica una inversión tal vez no justificable f) Ninguna de las anteriores
