Documente Academic
Documente Profesional
Documente Cultură
L
a auditoría de los sistemas de información Tales aspectos estaban reservados antaño a
y la informática se define como el proceso otras áreas del conocimiento; ahora, por el con-
que se lleva a cabo con el propósito de re- trario, se deja de figurar en la estructura de las
visar y evaluar todos los aspectos de los sistemas organizaciones como área de simple apoyo, y
automáticos de procesamiento de datos y alma- se pasa a ser protagonista de un nuevo escenario:
cenamiento de la información; sin embargo, esto el empresarial.
se hace a partir de la revisión y de la evaluación, En un mundo tan dinámico y cambiante como
los procedimientos no automáticos relacionados el de la informática, vista solo desde hace poco
con ellos. como una herramienta fundamental para apoyar
De igual forma, se deben tener en cuenta la la toma de decisiones en la organización, se hace
revisión y la evaluación de: 1) los procesos, los necesario incorporar el concepto de auditoría,
procedimientos, las actividades y los controles como un recurso que permite orientar (o, en algu-
previstos por los responsables en la organización; nos casos, reorientar) los procesos relacionados
2) los equipos de cómputo, su utilización, su efi- en la organización con el análisis, el desarrollo
ciencia y su seguridad; 3) el registro de datos y el y la implementación de proyectos informáticos.
procesamiento de la información. En ese senti- Desde cuando la informática se enfocó hacia
do, es necesario comprender la operación que se el apoyo de la sistematización en las áreas de
llevó a cabo y la información que se obtuvo; en producción de la organización, se empezaron
términos generales, las entradas (datos), el proce- a implantar aplicaciones administrativas como
samiento de los datos, los controles y la seguridad nómina, presupuesto, contabilidad, inventarios,
de la que dispone la organización para obtener in- etc. Después, el uso de la informática cubrió las
formación, para poder tomar decisiones. Además, diferentes áreas y unidades funcionales en todos
es necesario evaluar los procesos y la tecnología los niveles de la organización, con diversos pro-
que soportan la operación del sistema. ductos para apoyar el trabajo asistencial, como
la historia clínica y, en general, aplicaciones para
soportar la operación de los diferentes servicios
Antecedentes en las organizaciones de salud.
Este uso amplio de la informática, orientado,
La informática no se remite en la época actual a fundamentalmente, a apoyar el desempeño de
la actividad de programar, como ocurría hace las organizaciones, promovió la incorporación
algunos años; no se trata solamente de codifi- de la auditoría como un proceso fundamental que
car en un lenguaje determinado, pues cada vez procurará que todo cuanto se planea se cumpla
Malagón-Londoño,Pontón Laverde, Reynales Londoño: Auditoria en Salud.
Para una gestión eficiente 3Ed. Editorial Médica Panamericana © 2014
242 Sección 2. La calidad
Como la informática apoya, entre otros, los El establecimiento de políticas claras por
procesos de evaluación y control de la utiliza- parte de la gerencia asegurará el control de todos
ción de los diferentes recursos que emplea la los elementos relacionados con la informática y
organización para el logro de sus objetivos, evitará que el proceso de auditoría se convierta en
se debe comprender con mucha claridad el una serie de actividades tensas e improductivas
entorno de esta como parte de sus actividades para la organización.
principales. Es recomendable ubicar la función de audi-
Existen, además, los procesos de planeación toría de informática en un nivel de la organiza-
y de auditoría de la informática, que se encar- ción que asegure la independencia y el soporte
gan de orientar y controlar, así como de verificar requeridos por la gerencia.
y asegurar, el adecuado uso de los recursos para La auditoría en informática debe ser de alto
el logro de los objetivos formulados por la orga- nivel en la organización. La ubicación reco-
nización. No contar con estos dos procesos pone mendada debe ser subordinada a la gerencia,
a la organización en una permanente incerti- teniendo en cuenta que su objetivo fundamental
dumbre, pues los problemas pueden aparecer en es asegurar que el desempeño de las actividades
cualquier momento. Lo que se puede asegurar de auditoría en informática sea oportuno y efi-
es que el entorno de la organización condiciona ciente, de tal forma que el auditor disponga de:
su desempeño.
Los objetivos del auditor de informática al • Independencia funcional.
estudiar el entorno deben estar relacionados • Libertad de acción.
con la evaluación y el seguimiento oportu- • Facultad para la toma de decisiones.
nos al conjunto de proyectos de informática, • Capacidad de negociación con los niveles
gerenciales.
teniendo en cuenta los aspectos del entorno
relacionados con la organización; el auditor de
informática dirigirá e inducirá la participación Funciones de la auditoría
directa del personal de informática durante el en informática
proceso de auditoría.
Hay que asegurar, como mínimo, las siguientes
Es importante tener en cuenta que en las or-
funciones:
ganizaciones de salud se ha iniciado un proceso
de incorporación o renovación de su recurso tec- • Implantación, verificación y evaluación de
nológico para apoyar la administración, y se ha los controles establecidos para el seguimien-
asumido el reto de realizar los cambios que hay to de la unidad de informática.
que hacer; ya no solo planearlos, sino ejecutar- • Validación de los controles y los proce-
los. Todo esto lleva a pensar en un cambio de la dimientos utilizados para asegurar el uso
cultura, la conformación y la tecnología de las adecuado y permanente de los computa-
organizaciones. dores y el sistema de información en la
Si bien el auditor no investiga mercados ni organización.
entrega el producto a la organización, sí debe • Seguridad sobre la existencia y el cumpli-
brindar el apoyo requerido por esta a partir de la miento de los controles y los procedimientos
evaluación y el análisis de la tecnología dispo- que regulan el uso de los diferentes recursos
nible en el medio y el estudio de nuevas alterna- con los que cuenta la organización para el
tivas en cuanto a tecnología. desempeño de la unidad de informática.
• Desarrollo de la auditoría de conformidad
Ubicación en la estructura con las normas que para las unidades de in-
organizacional formática estén definidas a escala nacional
o internacional.
La gerencia de la organización debe tener claro
que la función de la auditoría se debe realizar Administración de la auditoría
con independencia personal y jerárquica; es
decir, las acciones no deben ser afectadas por
en informática
las emociones ni la autoridad generadas por los Una vez definidas las funciones es necesario
involucrados durante el proceso de evaluación. definir los procesos de administración y control.
Malagón-Londoño,Pontón Laverde, Reynales Londoño: Auditoria en Salud.
Para una gestión eficiente 3Ed. Editorial Médica Panamericana © 2014
Capítulo 16 • Auditoría del sistema de información y de la informática en las instituciones de salud 247
Dichos procesos garantizarán que todos los re- Informática
cursos utilizados en el desempeño y la gestión
de la auditoría en informática cumplan con los • Unidades funcionales.
principios básicos del proceso administrativo. • Procesos.
Los objetivos principales de la administra- • Procedimientos.
• Tecnología (equipos de cómputo, equipos de
ción de la auditoría en informática son:
comunicación, software y redes).
• Asegurar que la auditoría cubra los riesgos
existentes de la organización. Auditoría
• Garantizar que los recursos de informática • Planes.
sean orientados al logro de los objetivos de • Proyectos.
la organización. • Programas.
• Asegurar la formalización y la difusión de
las políticas, los procedimientos y los con-
troles definidos para la unidad de informá- Implementación de la
tica. auditoría informática
• Asegurar el cumplimiento de las políticas,
los procedimientos y los controles definidos Identificación de la situación actual
para la unidad de informática.
Teniendo en cuenta que los sistemas de informa-
Para cumplir con los objetivos de la unidad ción son un recurso vital para la operatividad de
de informática en la organización es necesario cualquier organización, se hace necesario prio-
considerar las siguientes acciones: rizar los siguientes aspectos:
• Elaborar y formalizar los planes de auditoría • Identificar los sistemas de información con
en informática. los que cuenta la organización.
• Organizar y administrar de forma eficiente • ¿Cuál es el volumen de operaciones pro-
medio durante un periodo definido previa-
la unidad de informática.
mente?
• Controlar de forma permanente el desarrollo
• ¿Cuáles son las prioridades de operación y
de los proyectos de informática.
las fallas más comunes?
• Evaluar de forma permanente la función del
• ¿Cuáles son los antecedentes de las audito-
auditor de informática.
rías realizadas en la organización?
• Evaluar permanentemente la operación de
la unidad de informática. El auditor en informática debe conocer de la
organización que se ha comprometido a auditar,
Es necesario revisar y evaluar permanente- por lo menos, lo siguiente:
mente el logro de los objetivos de la informática
en la organización validando y verificando los • Plataforma estratégica (visión, misión, ob-
siguientes aspectos: jetivos, estrategias, planes, etc.).
• Áreas y unidades funcionales de la organi-
• La totalidad de los datos requeridos. zación, y la relación de estas con la misión
• La exactitud de los datos. y los objetivos.
• La oportunidad. • Relación de la organización con otras ex-
• La actualización oportuna. ternas.
• La seguridad.
De igual forma, debe obtener una idea del
Además de lo anterior, es necesario, con el fin tipo de apoyo que requieren de la informática:
de garantizar una estructura confiable y eficiente
para la operación de los procesos en la organi- • La alta gerencia.
zación, considerar la informática y la auditoría • Las gerencias medias.
como áreas clave de resultado: • Los niveles operativos.
Malagón-Londoño,Pontón Laverde, Reynales Londoño: Auditoria en Salud.
Para una gestión eficiente 3Ed. Editorial Médica Panamericana © 2014
248 Sección 2. La calidad
Hardware
Aspectos por
Preguntas Sí No Observaciones
revisar
Sistema operativo
Aspectos por
Preguntas Sí No Observaciones
revisar
• ¿Están alineados con el plan
de sistema de información de
la organización?
• ¿Cumplen con los
Procedimientos requerimientos del sistema de
para la selección de información?
software • ¿Cumplen con los objetivos
de la organización?
• ¿Está prevista la capacidad
del software y de los
mecanismos de control?
• ¿Las solicitudes
corresponden a los objetivos
trazados por la organización?
• ¿Se tienen en cuenta los
costos asociados al producto
que se va a adquirir?
• ¿Se tienen en cuenta los
Estudios de
recursos requeridos para la
viabilidad y
adquisición del hardware
factibilidad
necesario?
• ¿Se tienen en cuenta los
recursos requeridos para la
capacitación de los usuarios?
• ¿Se tienen en cuenta los
recursos requeridos para el
mantenimiento del producto?
• ¿Se han establecido los
procedimientos para el
control de acceso al sistema?
• ¿Se tiene previsto el cambio
de contraseñas con alguna
Seguridad del periodicidad?
sistema • ¿Se cambian las contraseñas
para el acceso al sistema?
• ¿Las disposiciones de
seguridad física y lógica
existentes son adecuadas para
restringir el acceso?
• ¿Se dispone de controles de
cambio?
• ¿Se cuenta con
Implementación de procedimientos para la
software autorización de accesos?
• ¿Se conocen los
requerimientos de
documentación?
Aspectos por
Preguntas Sí No Observaciones
revisar