2.5.14.10.- Definición y tipos de controles internos

Se pueden definir el control interno como cualquier actividad o acción realizada manualmente y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Clasificación de los controles informáticos: Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema, Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento, Controles correctivos: facilitan la vuelta a la normalidad cuándo se han producido incidencias. La auditoria en informática debe ser respaldada por un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. El uso de un proceso de trabajo metodológico y estándar en la función de auditoria informática genera las siguientes ventajas:

1. Los recursos orientan sus esfuerzos a la obtención de productos de calidad, con características y requisitos comunes para todos los responsables, 2. Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de todos los auditores en informática, 3. Se facilita en alto grado la administración y seguimiento de los proyectos pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios estándares, 4. Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración de funciones del auditor en informática, 5. Es un complemento clave en el desarrollo de cada individuo, ya que su formal seguimiento, aunado a las habilidades, normas y criterios personales coadyuva al cumplimiento exitoso de los proyectos de auditoria en informática, 6. El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y productos terminados perfectamente definidos.

Contar con un proceso metodológico formalmente documentado no es garantía de que los proyectos de auditoría en informática tendrán éxito; empero, no cumplir con las siguientes condiciones llevará a la función de auditoría en informática a que sus proyectos no cumplan con los tiempos, costos o resultados esperados, pero también es importante el mencionar que se puede presentar la situación en la que se justifique la revisión o evaluación de las áreas o funciones críticas relacionadas con informática.

Los productos terminados más importantes de la etapa son tres: Matriz de riesgo, Plan general de auditoría en informática, Compromiso ejecutivo. Cada uno forma parte esencial del proceso metodológico.

El primero porque define las áreas que serán auditadas; el segundo porque establece las tareas, tiempos, responsables, etc., del proyecto, y el tercero debido a que da el visto bueno al líder de proyecto para continuar con las siguientes etapas contempladas en el plan general.

2.5.14.11.- Áreas de oportunidad para la función de informática

El diagnóstico actual es el que conduce al auditor en informática a vislumbrar ciertas áreas de oportunidad para el mejoramiento de alguna función específica del negocio a través de informática y en ocasiones, el beneficio es directo para el área de informática. Aquí se comienza a conformar una parte de auditoría en informática debido a que las áreas de oportunidad que ven los entrevistados en la etapa preliminar no han sido implantadas y urge aprovecharlas.

2.5.14.12.- Matriz de riesgo

La siguiente tarea del auditor en informática en la presente etapa es elaborar la matriz de riesgo, cuyo objetivo principal es detectar las áreas de mayor riesgo en relación con informática y que requieren una revisión formal y oportuna. En la siguiente tabla, se representa lo relacionado a lo expuesto anteriormente.

2.5.14.13.- Conclusión

La calidad de un producto de software está sujeta a una serie de factores internos y externos llamados características del entorno, las cuales deben ser tomadas en cuenta. Si no se les da la importancia requerida, los costos por correcciones y modificaciones pueden ser muy altos o las consecuencias por resultados erróneos cuantiosas.

En resumen podemos mencionar que en la calidad de software debe de contribuir con la satisfacción completa y total de las necesidades de un usuario u organización.