Auditoría de las Tecnologías de la Información y las Comunicaciones.
Caso COPEXTEL S.A.
La investigación se enmarca en la temática de Auditoría,
específicamente en el tema relativo a la Auditoría a las Tecnologías de la
Información.
Los objetivos que nos trazamos son los siguientes:
Establecer
los
antecedentes
directos de la Auditoría de las Tecnologías de la Información y las
Comunicaciones; definir el Impacto de las TIC en la Gestión Empresarial; especificar
la doble función del Auditor Interno en
las Auditorías de las TIC y puntualizar la importancia que tiene validar
todos estos procesos sobre la base de Normas Internacionales,
definiéndose ello sobre la base de la experiencia de COPEXTEL SA, División
Territorial Villa Clara.
Auditor Interno en las Auditorías de
las TIC y puntualizar la importancia que
tiene validar todos estos procesos sobre la base de Normas
Internacionales, definiéndose ello sobre la base de la experiencia de COPEXTEL
SA, División Territorial Villa Clara.
La Auditoria de las TIC
está
adquiriendo
cada
vez
mayor
relevancia,
desde
su aparición en el año 1969, debido a la
cada vez mayor importancia y protagonismo de los sistemas informáticos en todos
los ámbitos de nuestra Sociedad. Estas auditorías ayudan a las organizaciones a evaluar la
manera en que hacen sus negocios o proveen sus servicios apoyados
por TIC, buscando
proteger
los
intereses
del
Estado,
de
los
Trabajadores y de
los Clientes. Un elemento que nos ha propiciado, en gran medida, reducir los
riesgos en materia de utilización de las TIC en nuestra División, ha sido incorporar
a los Auditores Internos de nuestro Sistema de Gestión de Calidad Integrada, a los procesos de desarrollo de Sistemas
Informáticos sobre los que se sostiene y organizan algunas de nuestras
actividades. La participación del Auditor Interno es uno de los mejores
controles en el desarrollo de sistemas informáticos de gestión empresarial, en tanto
es el mejor momento para que el Auditor pueda influir en el diseño de
controles. La información es el recurso más importante de cualquier compañía,
por ser el único que no se puede o es muy difícilmente reemplazable. Al mismo
tiempo, es el recurso que está sujeto a mayores vulnerabilidades. Cuando en
materia de Auditoría Interna logramos incluir los temas relacionados con la
aplicación de las TIC en la gestión empresarial, logramos evaluar la efectividad del control interno en esa importante esfera de la empresa,
alcanzando una verdadera diversidad en la Lista de Chequeo utilizada por los Auditores. Lograr contar con un
Sistema Integrado de Gestión, certificado ya por las Normas ISO 9001 nos ha permitido
direccionar el trabajo en función de alcanzar, a corto plazo, la certificación por las
Normas ISO 27001 y 27002, normas en las
que nos detendremos someramente a
continuación
Desarrollo
Los objetivos que nos trazamos son
los siguientes:
1. Establecer los antecedentes
directos de la Auditoría de las Tecnologías de la
Información y las Comunicaciones;
2. Definir el Impacto de las TIC en
la Gestión Empresarial;
3. Especificar la doble función del
Auditor Interno en las Auditorías de las TIC;
4. Puntualizar la importancia que
tiene validar todos estos procesos sobre
la base de Normas Internacionales
5. Destacar la experiencia de
COPEXTEL SA, División Territorial Villa Clara, en relación con la aplicación de
estas buenas prácticas
La Auditoria de las Tecnologías de la
Información y las Comunicaciones está adquiriendo cada vez mayor relevancia,
desde su aparición en el año 1969, debido a la cada vez mayor importancia y
protagonismo de los sistemas informáticos en todos los ámbitos de nuestra
Sociedad. Actualmente, las Empresas y Organismos depositan en sus
Sistemas de Información la
responsabilidad de gestionar de forma eficaz y eficiente sus transacciones de
negocio. Los procesos manuales son cada vez menos frecuentes y en la práctica se observa
que
la
casi
totalidad
de
las
empresas
hacen
uso
de
la
enorme
incapacidad de proceso, gestión y comunicación disponibles, todo ello a precios
cada vez más asequibles a Organizaciones de todos los tamaños. Esta
responsabilidad hace que una posible pérdida de la operatividad de estos sistemas
tenga un impacto muy importante en las capacidades de gestión corporativa, por
lo que se hace cada vez más imprescindible disponer de métodos y tecnologías
que minimicen las probabilidades de sufrir incidencias que conlleven estas
consecuencias negativas
Nuestra experiencia nos ha permitido definir algunos de los principales
problemas con que se encuentra el Auditor Interno durante el desarrollo
de los Sistemas
Informáticos de Gestión de la
Empresa, para lo cual formularemos algunas interrogantes a las que daremos
respuesta más adelante.
•Los Auditores pierden su
independencia mental y objetividad al participar en el desarrollo de sistemas?
•Si el Auditor participa y dice que los controles son
apropiados, posteriormente se sentirá
impedido para decir que son inadecuados los controles?
•Se justifica producir aplicativos
con pobres controles simplemente para que el Auditor pueda mantener
independencia?
Las soluciones a estas interrogantes
serían:
•Hacer que las aplicaciones en funcionamiento sean revisadas por
Auditores Internos diferentes a los
que participaron durante el desarrollo del sistema.
•Efectuar revisiones solo en puntos
críticos del ciclo de vida del desarrollo del sistema
Auditoría al Proyecto de Desarrollo de Sistemas
Informáticos, momento en que se evalúa e
informa a la dirección de la empresa “que tan bien se lleva a cabo las fases de
desarrollo del sistema” En tal sentido la labor del Auditor estaría encaminada
a:
a) Monitorear y evaluar el cumplimiento de las políticas y estándares de desarrollo del sistema.
b) Evaluar la objetividad de las
revisiones y aprobaciones administrativas de cada fase.
c) Evaluar la responsabilidad
y
grado
de
participación
de
los
usuarios, proveedores, técnicos.
d) Evaluar la planeación y ejecución
de la fase de implementación
Conclusiones
Las principales conclusiones a la que
arribamos en nuestra investigación es que el
vertiginoso desarrollo que tienen las
Tecnologías de la Informática y las Comunicaciones exigen del mundo empresarial
un accionar más efectivo en relación con el ordenamiento de los mecanismos
de
control
interno
sin
desvirtuar
su
esencia;
además pudimos
constatar que la labor del Auditor, desde los primeros momentos del
surgimiento e implementación de aplicaciones
informáticas,
permite
detectar
y
corregir
posibles
riesgos en la Gestión Empresarial, con menos costes y de manera más oportuna.
Otra de las conclusiones a la que arribamos es que es viable y objetivamente
posible integrar, en materia de Auditorías
Internas
de Sistemas
de
Gestión Empresarial,
los temas relacionados con el control, la
supervisión y la fiscalización a las Tecnologías de la Informática y las
Comunicaciones, además de tener la opción de validar esas mejores prácticas con
Normas Internacionales como son la ISO 27001 y 27002.
Recomendaciones
1.Implementar, de manera escalonada, en las empresas de nuestro territorio, la experiencia de la División Territorial
Villa Clara, en relación con la inserción, dentro de la Auditoría
Interna,
del
tema
relacionado
con
el
control
a
las
Tecnologías de la Informática y las
Comunicaciones.
2. Potenciar los cursos de formación
de los Auditores Internos en materia de las nuevas Tecnologías de la Informática y las Comunicaciones sobre
las que se sostiene gran parte del Sistema de Gestión Empresarial.
3. Introducir en los planes de
estudio y de habilitación de la asignatura de Auditoría, los temas vinculados a
las nuevas Tecnologías de la Informática y las comunicaciones.
Bibliografías
http://www.gestiopolis.com/auditoria-tecnologias-informacion-comunicaciones-caso-copextel-sa/
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwiTguD137jJAhXCND4KHXccATQQFggiMAE&url=http%3A%2F%2Fwww.auditool.org%2Fblog%2Fauditoria-externa%2F790-sin-planeacion-ila-auditoria-es-efectiva-y-eficiente&usg=AFQjCNEuksv_d4kThibP9ZqKCXnbNkPXQQ&sig2=RSwii20v-aWLy2Jl28O34A
No hay comentarios:
Publicar un comentario