Professional Documents
Culture Documents
DE
AUDITORÍA INFORMÁTICA
1
1 CONCEPTOS BÁSICOS DE SISTEMAS DE
INFORMACIÓN
1.1 INTRODUCCIÓN
1.1 INTRODUCCIÓN
La información ocupa cada vez más un lugar preponderante en la escala de valores
empresariales. Sobre todo, a medida que crece la empresa y se dividen y especializan sus
funciones, la coordinación necesaria sólo puede alcanzarse con un buensistema de
información.
Entendemos por información el conjunto de datos que sirven para tomar una
decisión. En consecuencia, su necesidad es evidente tanto en la planificación estratégica a
largo plazo como en la fijación de estándares para la planificación a corto. La información
también es necesaria para el estudio de las desviaciones y de los efectos de las acciones
correctoras; es un componente vital para el Control.
2
Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenos
observables reduciéndolos a unidades y elementos independientes unos de otros; la ciencia
contemporánea se centra en el estudio de problemas de organización, de fenómenos no
desagregables en sucesos independientes, de interacciones dinámicas y, en definitiva, en el
estudio de totalidades. Lo más notable es que esta actitud aparece de forma independiente
en distintas disciplinas científicas.
La Teoría General de Sistemas, pues, nos proporcionará los conceptos y métodos que
constituirán un marco de referencia fructífero para el estudio de las organizaciones y
facilitarán la integración del conocimiento fragmentario que existe sobre ellas.
3
Antes de pasar a la siguiente sección, donde se expondrán los orígenes, proble- mas
y tendencias actuales en los sistemas de información para gestión, nos parece conveniente,
siguiendo un paralelismo con el desarrollo histórico del punto anterior, incluir algunas ideas
relativas a la evolución de las estrategias y estructuras empresariales y su conexión con la
información.
Los inicios del tipo de empresa actual, caracterizada por departamentos y divisiones
con gran autonomía, se sitúa en 1.908, con la creación de la General Motors Corporation.
Reuniendo un grupo de fabricantes de automóviles inició una cadena de sucesos que
cambiaron la naturaleza de la organización, dirección y estrategia en los EE.UU.
Otra idea precursora del pensamiento moderno de gestión lo tenemos en las ideas de
mercadotecnia masiva. En 1.891 Sears, Roebuck and Co. publicó su primer catálogo. En
1.908 la compañía Sears se había consolidado suministrando a la América rural y aislada
diversidad de productos a precios relativamente bajos. Aprovechando el buen servicio de
correos y los bajos precios postales, la compra por correo sirvió para transmitir grandes
cantidades de información sobre su negocio (anuncios, descripciones de productos e
impresos y procedimientos para hacer pedidos) directamente a la casa de sus clientes. La
introducción del sistema de paquete postal, en 1.913, facilitó el crecimiento de este tipo de
actividad comercial.
Fue en 1.925, siendo el automóvil ya muy popular, cuando Sears empezó su
importante expansión geográfica estableciendo las cadenas de tiendas.
Hoy día esta tendencia de tiendas abiertas al público empieza a declinar a medida que los
teléfonos libres de cargo, las tarjetas magnéticas de crédito y las posibilidades del
videotexto y de la telemática en los hogares vuelven a hacer atractiva la venta por correo ya
distancia.
En 1.927 la Bell desarrolló una teoría sobre la organización que se iniciaba con el
individuo y los elementos que le inducían hacia su participación en la empresa. Luego, se
analizó cómo se organizan los grupos que favorecen un comportamiento cooperativo; y de
estas investigaciones se dedujeron las siguientes funciones del ejecutivo:
4
• Formular y definir los objetivos de la empresa.
• Capitalizar y organizar la adquisición de los recursos necesarios para lograr estos
objetivos.
• Aportar un sistema de comunicación para todos los miembros de la empresa
cooperadora.
5
En el libro Information Organization and Power: Effective Management in the
Knowledge Society" (1.981), se exponen muchas implicaciones prácticas de esta
perspectiva.
6
a la irrupción de los ordenadores, llevaron en 1.958 la publicación de un artículo que
proporcionó una base conceptual inicial para el análisis del proceso de datos (utilización de
los ordenadores para el tratamiento de los datos) y de su influencia en las organizaciones y
toma de decisiones. Los autores predijeron que la Tecnología de la información tendría una
importante repercusión organizativa.
De forma progresiva, ya en los años 60 y en los 70, las empresas trataban de utilizar
la tecnología de la información para contrarrestar: tanto el aumento del número
de datos e información dentro de la empresa, como las. fuertes alzas de costes en personal,
energía y materias primas. Las claras ventajas de las tecnologías de la información como
medio cada vez más imprescindible para afrontar las crecientes necesidades de tratamiento
de datos, unido al abaratamiento de los equipos, ha llevado a una penetración continua y
profunda de la informática en las empresas.
7
Como se indicó en el apartado anterior, los Sistemas de Información para Gestión
(SIG) constituyen un campo de conocimientos reciente en el contexto de la dirección
general de la empresa.
La década de los años 50 marca en EE.UU. la introducción de los grandes
ordenadores en las empresas privadas. Desde entonces, las mejoras tecnológicas y de precio
se han sucedido a gran ritmo, provocando un creciente número de oportunidades de
aplicación y problemas de implantación cuya tendencia permanece en la actualidad.
Algunas razones sobre el por qué estudiar los Sistemas de Información para Gestión
(SIG) son:
• Fuente de empleo: "El 90% de los puestos de trabajo creados desde 1970 pertenece a
información/ educación/ servicios; sólo el 5% corresponde a fabricación.
• La Unión Europea (U.E.) la ha señalado como una de las áreas prioritarias de
investigación, buena prueba de ello son los proyectos de desarrollo de tecnología
ESPRIT, junto a los programas educativos como ERASMUS, o incluso aquellos más
enfocados a la transferencia de tecnología como los BRITTE, entre otros.
• La Tecnología de Información (T.I.) es una fuerza económica y social de los 90, al igual
que calidad lo fue en los 80, finanzas en los 70, mercados en los 60, y producción en los
50.
• Los Sistemas de Información para Gestión (SIG) forman un componente de la empresa
del que dependen todos los demás, y especialmente los procesos de planificación,
control, toma de decisiones y operaciones. Si la información de partida falla, no es de
esperar mejor fortuna en las decisiones de ella derivadas.
• La inclusión de la Tecnología de Información (TI) en los planes estratégicos de muchas
empresas están convirtiendo a este departamento en un subsistema clave dentro de las
políticas competitivas.
Para poder aplicar plenamente las TIs es necesario comprender algunas ideas básicas,
expuestas en los apartados siguientes.
8
La primera función es la más extendida, de tal manera que se estima que e195% de
todas las aplicaciones actuales de los ordenadores se incluyen en esta categoría.
9
Figura 1.2. Sistemas de información para Gestión soportados por la Base de Datos
10
El aprendizaje continuo a que da lugar. Además de la formación necesaria en el uso de las
herramientas, como sucede en la tecnología tradicional, aquí hace falta también
aprender cómo aplicarla en el conjunto de problemas correspondientes. Este proceso
suele empezar automatizando formas antiguas de hacer las cosas. obteniendo mejoras
en eficiencia, y continuando con cambios posteriores más profundos y eficaces a
medida que se va aprendiendo de su uso.
A lo anterior habría que añadir la evolución vertiginosa de las TIs (Figura 1.3). Por
citar algunos cambios radicales: trabajo por lotes, interactivo, tiempo real, miniordenadores,
microordenadores, bases de datos (B.D.), comunicaciones y redes, sistemas de fabricación
flexible, ingeniería concurrente, sistemas expertos y visión artificial. Difícilmente da
tiempo a madurar el conocimiento de una tecnología, cuánto menos su aplicación y gestión.
Además, el recurso información es algo más que el recurso físico o dato; requiere de
una interpretación de los datos dentro de un contexto determinado. Incluso se ha señalado
que la información debería tener un efecto sorpresa, debería aportar luz sobre algo
desconocido. La información que no sorprende es probablemente irrelevante o redundante.
Por otra parte, la información no tiene valor intrínseco, a diferencia de los demás
recursos. Si pierdo un diamante y el papel con la dirección del joyero que lo iba a tallar, el
que se encuentre el diamante mantendrá el valor del mismo, pero el que se encuentre el
papel con la dirección no podrá darle ningún significado y consiguiente valor.
11
Un ejemplo de utilización de la Tecnología de la Información para obtener ventaja
competitiva se puede ver con un caso de una empresa distribuidora de revistas a quioscos y
tiendas. Este segmento industrial se encontraba dominado por un tipo de competencia
basado en distribuir a precio mínimo. La distribuidora en cuestión decidió apoyarse en el
hecho de que sus clientes eran pequeñas empresas, poco complejas, y desconocedoras de su
mercado potencial, así como de la combinación de revistas a vender mas adecuada (mix del
producto). Utilizando sus registros de envíos semanales y devoluciones de los distintos
puestos, la distribuidora podía ver lo que se estaba vendiendo en cada quiosco. El desarrollo
de unos programas que calculaban el beneficio por metro cuadrado para cada revista, y que
comparaba estos datos con los de los puestos similares en características económicas y del
entorno socio-económico, permitió a la distribuidora decir a sus clientes cómo podrían
mejorar su combinación de productos. Este uso inteligente de un sistema de gestión de
inventarlos cambió la forma de competencia para dicha empresa, hasta ese momento basada
en precios. El servicio aportado la diferenciaba de las demás y le permitió la subida de
precios sin reducir la demanda.
12
complejidad o por su importancia. En este caso, lo procedente es usar el ordenador como
ayuda en la toma de decisiones, típicamente en forma interactiva hombre/máquina, como
ocurre con las hojas electrónicas, lenguajes de interrogación a
B.D., etc.
Algunos autores dividen el proceso humano de decisión y resolución de problemas
en tres partes:
• Inteligencia o información: viene a ser la respuesta a ¿cuál es el problema?
• Diseño: ¿cuáles son las alternativas?
• Selección: ¿cuál es la mejor alternativa?
13
1.3.2.5.3. Fusión de ambas perspectivas
Las dos perspectiva anteriores se pueden combinar como se muestra la Figura 1.6,
denominando decisiones semiestructuradas aquellas en las que alguna de las fases de
inteligencia, diseño o selección no está estructurada.
14
Ya en publicaciones de los 60s se daba una señal de alarma sobre la falta de
resultados satisfactorios en los SIGs y se señalaba cinco supuestos erróres sobre su diseño,
muy extendidos entre los directivos.
Dichos errores se siguen cometiendo en la actualidad. A continuación destacamos
tres de ellos, por su especial importancia.
• La limitación más crucial de la mayoría de directivos es la falta de información.
Aun cuando esto es un factor importante, es más limitante el exceso de información
irrelevante. Las consecuencias de partir del primer supuesto nos llevan a la Base de
Datos infinita y a sobrecarga de información y problemas de estrés; mientras que
partiendo del segundo supuesto se tenderá a diseñar un SIG con filtros, rutas de
distribución, etc.
1.3.2.7. Ampliación del concepto Estructura del Sistema de Información para Gestión
1.3.2.7.1. Formas de describir un SIG
Al igual que cualquier sistema complejo, como es el caso de un automóvil, que
puede explicarse en términos de sus características externas (forma, color, tamaño, ..), o por
sus componentes (chasis, motor, transmisión..), su uso (deportivo, familiar, utilitario,..),
etc., puede obtenerse una mejor comprensión del concepto del SIG analizándolo bajo
diferentes criterios.
Cada una de estas clasificaciones aporta información adicional para entender mejor
el sistema en estudio.
15
Las clasificaciones relevantes, en nuestro caso son:
• Componentes del SIG: computador y demás equipo físico; programas; BD; Base de
Modelos; Procedimientos y manuales; y recursos humanos. La integración de todos
estos elementos se consigue por diferentes vías, tales como Bases de Datos,
planificación, directrices, procedimientos, normalizaciones, etc.
• Funciones del SIG: (ver Figura 1.1)
• Departamento al que va dirigido (ver Figura 1.2)
• Tipo de apoyo en la toma de decisiones (ver Figura 1.3)
• Nivel de la pirámide de gestión al que va dirigido (ver Figura 1.4);
• Salidas del SIG,...
En definitiva, la estructura del SIG queda definida como una federación de subsistemas
para las diversas funciones de los departamentos, cada una de las cuales está dividida en los
cuatro niveles de gestión señalados en la Figura 1.7. Cada subsistema contiene a su vez
ficheros y programas específicos del subsistema y ficheros (BD) y programas (BM) que
comparte con otros sistemas.
La Figura 1.8 muestra otra clasificación de los SIGs, (a) estructura d SIG según la
pertenencia y perdurabilidad, (b) efecto de los SIGs sobre los tamaños relativos a los
componentes del Sistema de Información (b ). Al mismo tiempo se aprecia el efecto del
SIG informatizado en el sentido de aumentar la importancia del SI público formal.
16
Figura 1.8. Estructura del Sistema de Información para Gestión
17
2. INTRODUCCIÓN A LA AUDITORÍA
2.1. INTRODUCCIÓN
2.1 INTRODUCCIÓN
Auditoría, en su sentido más general, se puede entender como la investigación,
consulta, revisión, verificación, comprobación y obtención de evidencia, desde una
posición de independencia, sobre la documentación e información de una organización,
realizadas por un profesional, el auditor, designado para desempeñar tales funciones.
El auditor, cuando actúa como tal, no es responsable ni de la operación del
organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los
órganos directivos del organismo auditado. La función del auditor es la de examinar e
informar sobre la documentación elaborada por los órganos directivos.
Ante la creciente complejidad de las estructuras empresariales y la creciente
dinámica de los mercados y las interrelaciones de las empresas con sus mercados, la
18
Auditoría ha tenido que ir ampliando su campo de aplicación y salir del entorno Contable y
Financiero, para abordar otras áreas operativas y funcionales de las empresas. También ha
tenido que abarcar toda la diversidad de empresas y organismos públicos y privados que
componen el tejido industrial, económico y social de nuestra sociedad. Por lo que, según el
ámbito en que se aplique, hay que hablar de Auditoría Contable, Auditoría Financiera,
Auditoría de Gestión, que comprende las dos anteriores, y, desde hace algunos años, de
Auditoría de los Sistemas de Información.
Las auditorías son necesarias por diversos motivos, y entre los más importantes
podemos citar los siguientes:
• Ofrecer la seguridad a los propietarios de las empresas, o a las partes interesadas en las
organizaciones auditadas (accionistas), o a los responsables de sus actividades, de la
fiabilidad de los estados financieros que se les presentan, en la medida indicada por el
auditor en su informe.
• Según los países y el ámbito en que se mueve la empresa, hay obligación legal de
efectuar auditorías de forma periódica.
19
2. La responsabilidad de la gestión y control corresponde a la administración de la
empresa. El auditor no puede ejercer ninguna labor de protección en caso de
incumplimiento de esas responsabilidades. En cambio, puede planificar su trabajo para
poder descubrir los errores significativos provocados por irregularidades o fraudes, de
los que informará cumplidamente a los administradores o a los socios, según
corresponda.
3. El auditor no es responsable de la preparación de la documentación de la gestión
(estados financieros, por ejemplo), ni de la valoración critica de la gestión directiva
reflejada en dicha documentación. En cambio, debe asistir a la dirección en el
establecimiento y mantenimiento de un sistema de control interno adecuado,
informando de las deficiencias observadas en el mismo a lo largo de la auditoría.
4. El auditor está en condiciones de hacer sugerencias constructivas al cliente en relación
con los aspectos operativos de la empresa.
Real Decreto 1636/1990 del Reglamento que desarrolla la Ley de Auditoría de Cuentas,
Artículo 1°:
" 1.- Se entenderá por auditoría de cuentas la actividad, realizada por una persona
cualificada e independiente, consistente en analizar, mediante la utilización de las
técnicas de revisión y verificación idóneas, la información económico-financiera
deducida de los documentos contables examinados, y que tiene por objeto la
emisión de un informe dirigido a poner de manifiesto su opinión responsable sobre
la fiabilidad de la citada información, a fin de que se pueda conocer y valorar dicha
información por terceros".
20
• la obligación de informar a terceros con una opinión fundada.
Hemos de tener en cuenta que la auditoría no es un fin en si misma, sino que se trata
de un instrumento que permite obtener la respuesta a objetivos de calidad y fiabilidad.
Por su amplitud:
• Auditoría total: Afecta a todos los elementos de la empresa.
• Auditoría parcial: Se concentra en determinados elementos de la empresa.
Por su frecuencia:
• Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.
21
• Auditoría ocasional: Se realiza de forma esporádica.
22
Norteamérica, como consecuencia del desarrollo económico de principios de siglo y de la
crisis de 1929.
El "American Institute of Accountants" publicó un documento sobre auditoría de
balances en 1917, a petición de la "Federal Trade Comission ". En 1929 se efectuó una
revisión a cargo del American Institute of Certified Public Accountants(AICPA). En 1934
se publica un documento conjunto entre el AICPA y la recién , creada "Securities and
Exchange Commission" (SEC): " Audit of Corporate Accounts".
23
España, para poder incorporarse como miembro de pleno derecho en la CEE, tuvo
que adaptar parte de su legislación a las directivas promulgadas. Por tanto, a partir de 1988,
se realiza una paulatina adaptación del ordenamiento mercantil con la promulgación de
varias leyes y decretos, como la Ley de Auditoría de Cuentas (12/7/88) [26], el Texto
Refundido de la Ley de Sociedades Anónimas (22/12/89) y el Plan General de Contabilidad
(20/12/90) [37], entre los más importantes.
24
Otro objetivo de la auditoría interna es la supervisión del cumplimiento de las
políticas contables y procedimientos establecidos por la empresa.
La eficacia del departamento de auditoría interna está basada en los factores que
relacionamos a continuación:
• Adecuada planificación: elaboración de un plan de auditoría interna.
• Adecuada y efectiva supervisión: participación en la planificación, revisión de los
papeles de trabajo y de los informes preparados.
• Fomación continuada: formación técnica suficiente inicial y actualización mediante la
participación en cursillos y seminarios. Se recomienda la inscripción en asociaciones
profesionales de auditoría.
• Evidencia documental: preparación de papeles de trabajo necesarios para soporte del
trabajo realizado y de las conclusiones alcanzadas.
Ambos tipos de auditoría no son excluyentes. El auditor externo debe tener en cuenta el
trabajo efectuado por el auditor interno a la hora de fijar la naturaleza y extensión de los
procedimientos. Se debe establecer una colaboración entre ambos. Con este propósito, el
25
auditor externo debe considerar la objetividad y competencia de los auditores internos y
evaluar el trabajo realizado por los mismos.
La forma y contenido van a ser diferentes para cada uno de los trabajos realizados,
siempre y cuando se ajusten a los objetivos establecidos. Sin embargo, los papeles de
trabajo deberán contemplar temas como:
1. Dejar constancia del proceso de planificación y de los programas de auditoría.
2. Dejar constancia del estudio y evaluación del sistema de control interno contable.
3. Los principios contables y criterios de valoración seguidos.
4. Las conclusiones alcanzadas por el auditor.
5. Copia de las cuentas anuales auditadas y del informe de auditoría.
6. Constancia de la naturaleza, momento de realización y amplitud de las pruebas
realizadas.
7. Confirmaciones o certificados recibidos de terceros.
8. Indicación del autor de los procedimientos de auditoría y de la fecha de realización.
9. Constancia de la supervisión y revisión del trabajo de los ayudantes.
10. Extractos de las actas de las Juntas de Accionistas, Consejos de Administración y de
otros órganos de dirección y vigilancia.
Hay una información mínima común a todos los papeles de trabajo que es la
siguiente:
• Nombre del cliente o empresa sujeta a la auditoría.
26
• Fecha del examen.
• Descripción del papel de trabajo.
• Nombre de la persona que ha preparado el documento.
• Evidencia de que ha sido revisado por otra persona distinta al que ha preparado el
documento.
• Detalles, cifras y explicaciones de los datos financieros y procedimientos de
verificación utilizados.
• Fuentes de información de los datos incluidos.
• Conclusiones alcanzadas.
Por otra parte, el auditor está obligado a conservar durante cinco años, a partir de la
fecha del informe, toda la documentación de la auditoría.
27
1. Datos generales: actividades de la empresa, organigrama general y reparto de las
funciones, composición del Consejo de Administración, extracto de las actas de la Junta
de Accionistas y del Consejo de Administración, y detalle de firmas autorizadas.
2. Información contable: Plan de cuentas, descripción del sistema contable, normas
especiales de contabilización, descripción de los procedimientos de contabilidad y de
las medidas de control interno, y cuestionario de control interno.
3. Escrituras y contratos.
4. Detalles de cuentas y otros datos.
28
• Informe de auditoría completa.
• Informe de auditoría limitada.
• Informe de auditoría especial
• Informe de auditoría de gestión u operativa.
29
3. Opinión desfavorable (o adversa): cuando las cuentas anuales no presentan la imagen
fiel de la situación de la empresa.
4. Opinión denegada (o renuncia de opinión): cuando el auditor no ha obtenido la
evidencia necesaria para formar una opinión.
30
enunciar una serie de puntos comunes que suelen tener las cartas de recomendaciones, que
vemos a continuación:
• Párrafo de introducción: se explica el trabajo realizado, el periodo cubierto y la
limitación en el uso de los comentarios que se incluyen a continuación en la carta.
• Referencia de las personas con las que se han comentado los temas.
• Comentarios individualizados por áreas de las cuentas anuales u otros temas:
explicación del problema encontrado y sugerencias o recomendaciones para solventarlo.
31
3 LA FUNCIÓN DE AUDITORÍA INFORMÁTICA Y SU
ORGANIZACIÓN
3.1. ANTECEDENTES
3.1. ANTECEDENTES
El concepto de auditoría informática ha estado siempre ligado al de auditoría en
general y al de auditoría interna en particular, y éste ha estado unido desde tiempos
históricos al de contabilidad, control, veracidad de operaciones, etc.
En tiempo de los egipcios ya se hablaba de contabilidad y de control de los registros
y de las operaciones. Aún algunos historiadores fijan el nacimiento de la escritura como
consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Years
of Progress). Esta referencia histórica a fin de explicar la evolución de la corta pero intensa
historia de la auditoría informática, y para que posteriormente nos sirva de referencia al
objeto de entender las diferentes tendencias que existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditoría informática desde un
punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y el
entorno en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo
de las organizaciones actuales, los SIs y la arquitectura que los soportan desempeñan un
importante papel como uno de los soportes básicos para la gestión y el control del negocio,
siendo así uno de los requerimientos básicos de cualquier organización. Esto da lugar a los
Sis de una organización.
Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una
función de gestión de dichos sistemas, de los recursos que los manejan y de las inversiones
que se ponen a disposición de dichos recursos para que el funcionamiento y los resultados
sean los esperados. A esta función es lo que llamamos el Departamento de Sistemas de
Información
Finalmente, y en función de lo anterior, aunque no como algo no enteramente
aceptado aún, debe existir una función de control de la gestión de los sistemas y del
departamento de sistemas de información. A esta función la llamamos auditoría
informática.
32
desarrollar aplicaciones informáticas. En ese momento, la auditoría trataba con sistemas
manuales. Posteriormente, en función de que las organizaciones empezaron con sistemas
cada vez más complejos, se hizo necesario que parte del trabajo de auditoría empezara a
tratar con sistemas que utilizaban sistemas informáticos.
En ese momento, los equipos de auditoria, tanto externos como internos, empezaron
a ser mixtos, con involucración de auditores informáticos junto con auditores financieros.
En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunos
casos convergían:
• Trabajos en los que el equipo de auditoría informática trabajaba bajo un programa de
trabajo propio, aunque entroncando sus objetivos con los de la auditoría financiera; éste
era el caso de trabajos en los que se revisaban controles generales de la instalación y
controles específicos de las aplicaciones bajo conceptos de riesgo, pero siempre unido
al hecho de que el equipo de auditoría financiera utilizaría este trabajo para sus
conclusiones generales sobre el componente financiero determinado.
• Revisiones en las que la auditoría informática consistía en la extracción de información
para el equipo de auditoría financiera. En este caso el equipo o función de auditoría
interna era un exponente de la necesidad de las organizaciones y departamentos de
auditoría de utilizar expertos en informática para proveer al personal de dicho
departamento de información extraída del sistema informático cuando la información a
auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de cómo se
había creado.
Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que es
la función y de lo que son los objetivos de la auditoría informática.
Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que es
la función y de lo que son los objetivos de la auditoría informática.
33
Hay cierta confusión sobre lo que es auditoría informática. Si preguntamos a diferentes personas, probablemente, nos darán
diferentes definiciones.
La siguiente lista es un resumen de las diferentes definiciones que nos podemos encontrar:
34
De esta forma, dentro de la función de auditoría informática, se deben contemplar
las siguientes características para mantener un perfil profesional adecuado y actualizado:
1. La persona o personas que integren esta función deben contemplar en su formación
básica una mezcla de conocimientos de auditoría financiera y de informática general.
Estos últimos deben contemplar conocimientos básicos en cuanto a:
• Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo.
• Gestión del departamento de sistemas.
• Análisis de riesgos en un entorno informático.
• Sistema operativo (este aspecto dependerá de varios factores, pero principalmente
de si va a trabajar en un entorno único -auditor interno- o, por el contrario, va a
tener posibilidades de trabajar en varios entornos como auditor externo).
• Telecomunicaciones.
• Gestión de bases de datos.
• Redes locales.
• Seguridad física.
• Operaciones y planificación informática; efectividad de las operaciones y del
rendimiento de los sistemas.
• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de
planes de contingencia de la información.
• Gestión de problemas y de cambios en entornos informáticos.
• Administración de datos.
• Ofimática.
• Comercio electrónico.
• Encríptación de datos.
3. Uno de los problemas que más han incidido en la escasa presencia de auditores
informáticos en nuestro país, es quizás la a veces escasa relación entre el trabajo de
auditoría informática y las conclusiones con el entorno empresarial donde se ubicaba la
entidad auditada. Esta sensación de que las normas van por sitios diferentes de por
donde va el negocio ha sido fruto muchas veces de la escasa comunicación entre el
auditado (objetivos empresariales) y el auditor (objetivos de control). Como quiera que
la cruda realidad nos está demostrando en la actualidad cada vez más la necesidad de
cada vez mayor control en los sistemas de información, se hace necesario para el
auditor informático conocer técnicas de gestión empresarial, y sobre todo de gestión del
cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la línea
de la búsqueda óptima de la mejor solución para los objetivos empresaríales que se
persiguen y con los recursos que se tienen.
35
4. El auditor informático debe tener siempre el concepto de Calidad Total (últimamente
también llamado Excelencia Empresarial). Como parte de un colectivo empresarial,
bien sea permanentemente como auditor interno o puntualmente como auditor externo,
el concepto de calidad total hará que sus conclusiones y trabajo sea reconocido como un
elemento valioso dentro de la organización y que los resultados sean aceptados en su
totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor
informático sea más reconocida de forma positiva por la organización.
36
Es así que entonces la función de Auditoría Informática debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales se enumeran a continuación:
• Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos.
• Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo
de seguridad, de gestión y de efectividad de la gestión-
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos,
están empezando ya a desarrollarla los auditores financieros.
• Auditoría del riesgo operativo de los circuitos de información.
• Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con
los auditores financieros)-
• Análisis del Estado del Arte tecnológico de la instalación revisada y de las
consecuencias empresariales que un desfase tecnológico pueda acarrear.
• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organización.
37
auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de
los sistemas de información que los soportan.
38
Son responsables para la ejecución directa del trabajo, Deben tener una especialización
genérica, pero también una especifica. Su trabajo consistirá en la obtención de
información, realización de pruebas, documentación del trabajo, evaluación y
diagnóstico de resultados.
• El tamaño sólo se puede precisar en función de los objetivos de la función; para una
organización tipo, el abanico de responsabilidades debería cubrir:
• Especialista en el entorno informático a auditar y en gestión de bases de datos.
• Especialista en comunicaciones y/o redes.
• Responsable de gestión de riesgo operativo y aplicaciones.
• Responsable de la auditoría de sistemas de información, tanto en explotación como
en desarrollo.
• En su caso, especialista para la elaboración de programas de trabajo conjuntos con
la Auditoría Financiera.
39