Hoy, las empresas generan una cantidad infinita de datos. El valor de la información que se procesa y trata dentro de una empresa es incalculable. Como consecuencia de ello, cada vez más, las firmas necesitan contar con tecnología avanzada para su labor diaria, incluyendo complejos sistemas de software y equipos informáticos que les permitan realizar sus actividades de manera optimizada y eficiente. El mismo hecho de contar con una variedad de herramientas informáticas lleva a toda empresa, en este caso de la industria del juego, a la obligación de implementar una adecuada auditoría de sistemas de información.
DEFINICIONES, CARACTERÍSTICAS Y OBJETIVOS
La auditoría de sistemas de información se define como un proceso que engloba la revisión y evaluación de todos los aspectos (o cualquiera de ellos) de los sistemas de procesamiento automático de información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. El objetivo final del auditor de sistemas es dar recomendaciones a la alta dirección para mejorar u obtener un adecuado control interno en entornos de tecnologías de la información, con el fin de lograr una mayor eficiencia operativa y administrativa.
La auditoría de sistemas comprende las siguientes instancias: a) Verificación de controles en el procesamiento de información e instalación de sistemas, con el fin de evaluar su efectividad y también presentar alguna recomendación y asesoramiento; b) Chequear y juzgar objetivamente la información; c) Examen y evaluación de los procesos de informatización y gestión de datos. Además, se evalúa la cantidad de recursos invertidos, la rentabilidad de cada proceso, y su efectividad.
Los objetivos de la auditoría de sistemas son, entre otros, los siguientes: 1) Mejorar la relación costo-beneficio de los sistemas de información; 2) Incrementar la satisfacción y seguridad de los usuarios de esos sistemas computarizados; 3) Garantizar la confidencialidad e integridad mediante sistemas de control y seguridad profesionales; 4) Minimizar la existencia de riesgos, como, por ejemplo, virus o hackers; 5) Optimizar y acelerar la toma de decisiones; 6) Educar sobre el control de los sistemas de información, ya que es un sector muy cambiante y relativamente nuevo, por lo que es necesario instruir a los usuarios de estos procesos informatizados.
Por lo tanto, la auditoría de sistemas es una forma de monitorear y evaluar no sólo los equipos informáticos en sí. Su ámbito de actuación también gira en torno al control de los sistemas de entrada a esos equipos (pensemos en contraseñas y claves de acceso), archivos y su seguridad, etc. Además, esta auditoría es fundamental para garantizar el rendimiento y la seguridad de los sistemas informáticos de una empresa, para que sean confiables a la hora de utilizarlos y garanticen la máxima privacidad posible.
EVALUACIÓN DE RIESGOS
Un aspecto clave de la auditoría es la evaluación de los riesgos asociados a estos elementos: a) Hardware: Descuido o desprotección. Condiciones inapropiadas, mal manejo, incumplimiento de las reglas. Destrucción; b) Software: Uso o acceso, copia, modificación, destrucción, robo, errores u omisiones; c) Archivos: Uso o acceso, copia, modificación, destrucción, robo; d) Organización: Inadecuada, no funcional, sin división de roles. Falta de seguridad, políticas y planes; e) Personal: Deshonesto, incompetente y descontento; f) Usuarios: Enmascaramiento, falta de autorización, desconocimiento de su función.
Por otro lado, en cuanto a las tareas específicas a evaluar en la auditoría de sistemas, se pueden mencionar estas diez acciones:
1. Participación en el desarrollo de nuevos sistemas: evaluación de controles. Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de la suficiencia en planes de contingencia. Backups, anticipo de lo que sucederá si ocurren fallas.
4. Opinión sobre el uso de recursos informáticos. Salvaguarda y protección de activos.
5. Control de modificaciones de las aplicaciones existentes. Fraude y control de modificaciones de programas.
6. Participación en la negociación de contratos con proveedores.
7. Revisión del uso del sistema operativo y programas. Utilidades. Control sobre el uso de sistemas operativos. Programas de utilidad.
8. Auditoría de la base de datos. Definición de la estructura sobre la que se desarrollan las aplicaciones.
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
En conclusión, el objetivo final de una auditoría de sistemas bien implementada es desarrollar un software capaz de ejercer control continuo sobre las operaciones del área de procesamiento de datos.