APUNTES

DE
AUDITORÍA INFORMÁTICA

Fco. Javier Nava García

1
1 CONCEPTOS BÁSICOS DE SISTEMAS DE
INFORMACIÓN
1.1 INTRODUCCIÓN

1.2 LA TEORÍA GENERAL DE SISTEMAS

1.2.1 Estrategia, estructura e información: evolución histórica
1.2.2 Consideraciones sobre los sistemas de información

1.3 LOS SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN(SIG)

1.3.1 Los Sistemas de Información para la Gestión: Orígenes
1.3.2 Situación actual
1.3.2.1 Introducción
1.3.2.2 Concepto de Sistema de Información para Gestión
1.3.2.3 Problemas del entorno sociotécnico
1.3.2.4 Particularidades del recurso Información
1.3.2.5 Análisis de los diferentes tipos de información a considerar
1.3.2.5.1 Influencia del tipo de problema
1.3.2.5.2 Influencia del destino de la información
1.3.2.5.3 Fusión de ambas perspectivas
1.3.2.6 Problemas del entorno cultural
1.3.2.7 Ampliación del concepto Estructura del Sistema de Información para
Gestión
1.3.2.7.1 Formas de describir un SIG
1.3.2.7.2 Sistemas de Información formales e informales

1.1 INTRODUCCIÓN
La información ocupa cada vez más un lugar preponderante en la escala de valores
empresariales. Sobre todo, a medida que crece la empresa y se dividen y especializan sus
funciones, la coordinación necesaria sólo puede alcanzarse con un buensistema de
información.

Entendemos por información el conjunto de datos que sirven para tomar una
decisión. En consecuencia, su necesidad es evidente tanto en la planificación estratégica a
largo plazo como en la fijación de estándares para la planificación a corto. La información
también es necesaria para el estudio de las desviaciones y de los efectos de las acciones
correctoras; es un componente vital para el Control.

Finalmente, la incorporación de la informática en la empresa, al igual que en los

demás aspectos de la sociedad, va a introducir un enfoque nuevo del tratamiento de los
datos que cambiará en alto grado las funciones que actualmente existen en las empresas.

1.2 LA TEORÍA GENERAL DE SISTEMAS

La Teoría General de Sistemas lleva la atención al carácter dinámico ya la
naturaleza interrelacionada de las empresas, su gestión y su entorno.

2
 Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenos
observables reduciéndolos a unidades y elementos independientes unos de otros; la ciencia
contemporánea se centra en el estudio de problemas de organización, de fenómenos no
desagregables en sucesos independientes, de interacciones dinámicas y, en definitiva, en el
estudio de totalidades. Lo más notable es que esta actitud aparece de forma independiente
en distintas disciplinas científicas.

Esta orientación general de la ciencia denota la necesidad de una nueva disciplina

científica, la Teoría General de los Sistemas, cuyo objeto es la formulación de principios
válidos para los sistemas en general, sin que importe la naturaleza de los elementos
integrantes, ni de sus interrelaciones.

En el fondo de la Teoría General de Sistemas late la línea de pensamiento de que, si

bien no es posible reducir a un solo nivel común todos los planos de la realidad, sí es
posible, en cambio, detectar uniformidades estructurales, es decir, es posible establecer
isomorfismos entre aspectos muy distintos de la realidad.

La Teoría General de Sistemas ofrece al investigador y al ingeniero una serie de

posibilidades:
• Aporta un enfoque holístico apoyado sobre la definición de sistema. Así pues, con la
perspectiva total se evita la visión miope que se preocupa de un aspecto pero ignora los
demás.
• Patrocina la generalización de leyes particulares, mediante el hallazgo de isomorfismos
entre distintas disciplinas.
• Fomenta el uso de modelos matemáticos que, con su lenguaje carente de contenido y su
generalidad, pueden sugerir la existencia (o inexistencia) de analogías.

La Teoría General de Sistemas ofrece una solución cuando se contempla la empresa

como formando un todo unitario y en una eficaz relación con el entorno económico-social
dentro del cual desarrolla su actividad. Las empresas son sistemas abiertos que reciben
entradas (flujos de materias y energía, trabajo, capital, información, etc.), las transforman
(operaciones que añaden valor o utilidad), y generan unas salidas (bienes y servicios,
progreso de la empresa y su personal, satisfacción, beneficios sociales, etc.).

La Teoría General de Sistemas, pues, nos proporcionará los conceptos y métodos que
constituirán un marco de referencia fructífero para el estudio de las organizaciones y
facilitarán la integración del conocimiento fragmentario que existe sobre ellas.

La importancia que este enfoque interdisciplinario tendrá para la Organización de

Empresas es indudable, pero en el área de los sistemas de información para gestión, es ya
un enfoque imprescindible para un desarrollo eficaz. Característica ésta lógica si se
considera la repercusión interdepartamental de la información como se analizará más
adelante.

1.2.1. Estrategia, estructura e información: evolución histórica

3
 Antes de pasar a la siguiente sección, donde se expondrán los orígenes, proble- mas
y tendencias actuales en los sistemas de información para gestión, nos parece conveniente,
siguiendo un paralelismo con el desarrollo histórico del punto anterior, incluir algunas ideas
relativas a la evolución de las estrategias y estructuras empresariales y su conexión con la
información.

Los inicios del tipo de empresa actual, caracterizada por departamentos y divisiones
con gran autonomía, se sitúa en 1.908, con la creación de la General Motors Corporation.
Reuniendo un grupo de fabricantes de automóviles inició una cadena de sucesos que
cambiaron la naturaleza de la organización, dirección y estrategia en los EE.UU.

La crisis económica de 1.920 y los cambios internos de dirección de la GM,

consolidaron este enfoque. Se desarrolló una organización descentralizada y coordinada
con líneas de responsabilidad y autoridad claramente establecidas. Dos conceptos de
información tuvieron notable importancia en esta reorganización: la coordinación por
comités y la gestión con controles estadísticos y financieros.
La estructura de comités suministró la comunicación necesaria entre las distintas
funciones en la empresa. El sistema de control proporcionaba los hechos significativos de la
empresa a utilizar en decisiones estratégicas, sobre todo en períodos de crisis.

Mientras la GM se estaba constituyendo en una firma diversificada e integrada

verticalmente, que ofrecía diversidad de automóviles, la Ford perseguía una estrategia de
mayor concentración. En 1.908, Ford produjo el primer modelo T. Quince millones de este
modelo se venderían en los 19 años de vida del producto. Con el automóvil de Ford a bajo
precio y de distribución masiva, llegaron las ideas de la fabricación en serie y salarios
mínimos altos.

Otra idea precursora del pensamiento moderno de gestión lo tenemos en las ideas de
mercadotecnia masiva. En 1.891 Sears, Roebuck and Co. publicó su primer catálogo. En
1.908 la compañía Sears se había consolidado suministrando a la América rural y aislada
diversidad de productos a precios relativamente bajos. Aprovechando el buen servicio de
correos y los bajos precios postales, la compra por correo sirvió para transmitir grandes
cantidades de información sobre su negocio (anuncios, descripciones de productos e
impresos y procedimientos para hacer pedidos) directamente a la casa de sus clientes. La
introducción del sistema de paquete postal, en 1.913, facilitó el crecimiento de este tipo de
actividad comercial.
Fue en 1.925, siendo el automóvil ya muy popular, cuando Sears empezó su
importante expansión geográfica estableciendo las cadenas de tiendas.
Hoy día esta tendencia de tiendas abiertas al público empieza a declinar a medida que los
teléfonos libres de cargo, las tarjetas magnéticas de crédito y las posibilidades del
videotexto y de la telemática en los hogares vuelven a hacer atractiva la venta por correo ya
distancia.

En 1.927 la Bell desarrolló una teoría sobre la organización que se iniciaba con el
individuo y los elementos que le inducían hacia su participación en la empresa. Luego, se
analizó cómo se organizan los grupos que favorecen un comportamiento cooperativo; y de
estas investigaciones se dedujeron las siguientes funciones del ejecutivo:

4
• Formular y definir los objetivos de la empresa.
• Capitalizar y organizar la adquisición de los recursos necesarios para lograr estos
objetivos.
• Aportar un sistema de comunicación para todos los miembros de la empresa
cooperadora.

La teoría desarrolada en Bell influenció a algunos investigadores y les llevó a

considerar que el proceso de toma de decisiones es la unidad básica para el análisis de las
organizaciones. La necesidad de decidir origina un problema que se resuelve con la
búsqueda de soluciones satisfactorias aceptables y se mejora con el aprendizaje adaptativo.
Esta teoría integra plenamente el proceso de la información y comunicación en la teoría de
las organizaciones.
En 1.967 en el libro "Organización y Entorno , se aborda el problema del diseño
organizativo diferenciando las actividades de la empresa en tareas realizables y
controlables y luego integrando estas tareas en una estructura que asegure el correcto
cumplimiento de cada una de ellas. Para llevar a cabo acertadamente este proceso de
diferenciación e integración de tareas hace falta coordinar con comunicación e información.

Pocos años después, un investigador analizó al directivo desde la perspectiva

de sistemas de tratamiento de la información. Centros nerviosos que adquirían información
del entorno externo y la operativa interna, la transformaban, la diseminaban selectivamente
a subordinados y personal externo, y la utilizaban para tomar decisiones y formular la
estrategia.

En el libro Organization Design, se hacían de la información, comunicación y

coordinación las ideas centrales del diseño de las organizaciones. En su enfoque, la
información consiste en la reducción de la incertidumbre, lo mismo que postulaban
Shannon, Wiener y otros. Además, las organizaciones se diseñan para afrontar la
incertidumbre. Cuanto mayor es la incertidumbre de la tarea, mayor es la cantidad de
información que han de manejar los decisores para realizarla.ñ

Desde otro punto de vista para la misma situación, en otro libro

Organizational Design (1.978) se introduce otro factor. Puesto que el manejo de la
información es básico para el funcionamiento de una empresa, constituye la fuente primera
de poder en la empresa. Quien sea que controle la información seleccionándola, filtrándola,
transformándola y distribuyéndola, adquiere poder sociopolítico.

La centralización de la información centraliza el poder; la distribución de la in-

formación descentraliza el poder. Además, el mismo sistema de información determina los
criterios de evaluación del cumplimiento y para la distribución de premios y
penalizaciones. Los sistemas de información implantados con una tecnología de la
información de crecientes posibilidades permiten el tipo de seguimiento necesario para
convertir el control de esta tecnología y de los sistemas en una fuente de poder en la
empresa.

5
 En el libro Information Organization and Power: Effective Management in the
Knowledge Society" (1.981), se exponen muchas implicaciones prácticas de esta
perspectiva.

1.2.2. Consideraciones sobre los sistemas de información

Las relaciones entre tecnología de la información, conceptos e ideas sobre la in-
formación y las formas de organización humana, han estado próximas desde los inicios
de la civilización. Se pueden destacar tres instantes como críticos en el progreso de la
humanidad. Unos 100 años después de Cristo tuvo lugar la invención del papel en China.
Tuvo una gran repercusión social el pasar del conocimiento privado y oral al conocimiento
público y escrito. Aparecieron los primeros diccionarios y farmacopeas, y se impulsó el
desarrollo de nuevas instituciones educadoras y alquímicas.
Unos 1.500 años después, el mismo proceso social se puso en marcha con la
invención de la imprenta por Gutenberg. Desaparecieron muchos trabajos de escribientes y
se redujo aún más la importancia de la tradición oral. En contrapartida, se abrieron nuevos
cauces para la educación pública y se hizo posible la proliferación
de las bibliotecas.
El tercero es la aparición del ordenador.
¿Qué diferencia a las dos primeras innovaciones del pasado de la de la era moderna?
La diferencia está en que el papel y la imprenta se introdujeron en sociedades ajenas a la
información. Las preocupaciones sociales prevalecientes en la época eran la agricultura y
pequeñas industrias, respectivamente. Fueron tecnologías pioneras que propugnaban nuevas
ideas y formas organizativas; pero el paso de la sociedad era
más lento, y su germinación y difusión lo fue también.

La situación ha cambiado, el signo de nuestro tiempo es la información. Por primera

vez en la historia de la humanidad algunos países desarrollados están dedicando
aproximadamente la mitad de su producto económico a actividades relacionadas con la
información; y en naciones como EE.UU., más de la mitad de los puestos de trabajo
existentes están ligados de alguna forma a ocupaciones relacionadas con la información.

1.3. LOS SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN(SIG)

1.3.1. Los Sistemas de Información para la Gestión: Orígenes
Aunque este campo de conocimientos se caracteriza en la actualidad por la
utilización de la tecnología informática y de telecomunicaciones, su origen se remonta a
los primeros trabajos sobre gestión donde ya se resaltaba la importancia de la información
en el proceso de toma de decisiones de los directivos.
Por ejemplo, ya en 1.938 se señalaba en el libro Las Funciones del Ejecutivo que la
proliferación rápida y creciente de datos exigiría una mayor atención a la calidad de las
decisiones. A su vez, la calidad en la toma de decisiones depende de la capacidad del
directivo para transformar los datos en la información que se ajuste a la perspectiva del
mismo para decidir.

En 1.947 algunos investigadores trataron de determinar procesos que permitieran a

los directivos estructurar la información necesaria para las decisiones. Estos trabajos, junto

6
a la irrupción de los ordenadores, llevaron en 1.958 la publicación de un artículo que
proporcionó una base conceptual inicial para el análisis del proceso de datos (utilización de
los ordenadores para el tratamiento de los datos) y de su influencia en las organizaciones y
toma de decisiones. Los autores predijeron que la Tecnología de la información tendría una
importante repercusión organizativa.

Tras dicho artículo, muchos investigadores empezaron a explorar los desarrollos en

ingeniería eléctrica y en los centros de cálculo; así como a especular sobre el posible
impacto sobre las personas, las organizaciones, las actividades de gestión, etc. Esta
corriente de estudio sigue en la actualidad.

Simultáneamente, el crecimiento explosivo de los datos y la información fue

teniendo lugar a un ritmo superior al previsto. Una muestra representativa típica de ello la
constituye la Biblioteca del Congreso en EEUU. El número de volúmenes se duplicó entre
1.933 y 1.966. Se volvió a duplicar en 1.979 y así mismo en 1.987.

De forma progresiva, ya en los años 60 y en los 70, las empresas trataban de utilizar
la tecnología de la información para contrarrestar: tanto el aumento del número
de datos e información dentro de la empresa, como las. fuertes alzas de costes en personal,
energía y materias primas. Las claras ventajas de las tecnologías de la información como
medio cada vez más imprescindible para afrontar las crecientes necesidades de tratamiento
de datos, unido al abaratamiento de los equipos, ha llevado a una penetración continua y
profunda de la informática en las empresas.

En los últimos años, el ritmo de la penetración de las tecnologías de la informática y

las comunicaciones en las empresas y la sociedad se ha acelerado impresionantemente. En
gran medida esto se ha facilitado mucho con la introducción de los miniordenadores y sobre
todo con la llegada del PC y sus económicos precios.
Así, por ejemplo, un PC actual tiene más de 100 veces la capacidad de cálculo de
un ordenador de 35 millones de pesetas en 1.970. Este cambio de economía ha
transformado esencialmente tanto la naturaleza como la repercusión de las nuevas
aplicaciones de esta tecnología. Las previsiones señalan que esta penetración en la empresa
continuará durante esta década con las mismas características de reducción de costes y
aumento de capacidades técnicas.

Como respuesta a esta evolución, muchas compañías crearon departamentos de

proceso de datos dependientes de aquel departamento que más le hiciera falta. En la
actualidad, muchos de estos departamentos han pasado a depender directamente de la alta
dirección de la empresa. Su liderazgo ha cambiado de una situación fundamentalmente
técnica a otra con una gran componente de dirección general. Importantes dotaciones
de personal y equipos se han distribuido en muchas partes de la organización como son
ingeniería, producción, I+D y mercadotecnia.

1.3.2. Situación actual

1.3.2.1. Introducción

7
 Como se indicó en el apartado anterior, los Sistemas de Información para Gestión
(SIG) constituyen un campo de conocimientos reciente en el contexto de la dirección
general de la empresa.
La década de los años 50 marca en EE.UU. la introducción de los grandes
ordenadores en las empresas privadas. Desde entonces, las mejoras tecnológicas y de precio
se han sucedido a gran ritmo, provocando un creciente número de oportunidades de
aplicación y problemas de implantación cuya tendencia permanece en la actualidad.

Algunas razones sobre el por qué estudiar los Sistemas de Información para Gestión
(SIG) son:
• Fuente de empleo: "El 90% de los puestos de trabajo creados desde 1970 pertenece a
información/ educación/ servicios; sólo el 5% corresponde a fabricación.
• La Unión Europea (U.E.) la ha señalado como una de las áreas prioritarias de
investigación, buena prueba de ello son los proyectos de desarrollo de tecnología
ESPRIT, junto a los programas educativos como ERASMUS, o incluso aquellos más
enfocados a la transferencia de tecnología como los BRITTE, entre otros.
• La Tecnología de Información (T.I.) es una fuerza económica y social de los 90, al igual
que calidad lo fue en los 80, finanzas en los 70, mercados en los 60, y producción en los
50.
• Los Sistemas de Información para Gestión (SIG) forman un componente de la empresa
del que dependen todos los demás, y especialmente los procesos de planificación,
control, toma de decisiones y operaciones. Si la información de partida falla, no es de
esperar mejor fortuna en las decisiones de ella derivadas.
• La inclusión de la Tecnología de Información (TI) en los planes estratégicos de muchas
empresas están convirtiendo a este departamento en un subsistema clave dentro de las
políticas competitivas.

Para poder aplicar plenamente las TIs es necesario comprender algunas ideas básicas,
expuestas en los apartados siguientes.

1.3.2.2. Concepto de Sistemas de Información para Gestión:

El concepto del Sistema de Información para Gestión no ha cambiado en las dos
últimas décadas.
Fundamentalmente consiste en un sistema integrado usuario-máquina que
desempeña cuatro funciones principales (ver la Figura 1.1):
• registrar las transacciones u operaciones diarias de la empresa,
• aportar información para planificación y control,
• ayudar a la toma de decisiones, y
• tomar decisiones previamente programadas.

8
 La primera función es la más extendida, de tal manera que se estima que e195% de
todas las aplicaciones actuales de los ordenadores se incluyen en esta categoría.

Figura 1.1. Componentes de un Sistema de Información para Gestión.

En la segunda se incluyen la generación de informes predefinidos para

planificación, control por excepción, etc.
Los sistemas de ayuda a la toma de decisiones constituyen la tercera vía a
considerar. Consisten en una interacción directa hombre/máquina, típicamente a través de
lenguajes de interrogación a una Base de Datos (BD) o a una Base de modelos (BM). Esta
última permite analizar los datos de diversas formas (optimización, simulación,
descripción,..). De esta manera, el ordenador no solo aporta información sino que también
ayuda activamente en diversas etapas del proceso de toma de decisiones.
La cuarta contiene aquellos programas que ofrecen una decisión completa sobre un
problema. El sector con mayores repercusiones de este área lo forman los llamados
sistemas expertos. Estos sistemas pretenden sustituir las funciones de un experto humano
en un área muy concreta, así como tenerlas disponibles en cualquier punto donde se pueda
ejecutar dicho programa.

1.3.2.3. Problemas del entorno sociotécnico

El problema capital de los SIGs y origen de todos los demás reside en su
complejidad. Se trata de sistemas sociales y técnicos que además pueden verse gravemente
afectados por factores de tipo de volumen, comunicativo, económico, psicológico o
político.
Empezando con los problemas de volumen, la infinidad de datos y aplicaciones que
se utilizan en la empresa ha llevado a abandonar el concepto de un único sistema
completamente integrado, en favor de una federación de subsistemas que se van
incorporando al SIG con arreglo a un plan maestro, normas y procedimientos
preestablecidos. La Figura 1.2 muestra los subsistemas típicos y su integración a través de
los datos.

9
 Figura 1.2. Sistemas de información para Gestión soportados por la Base de Datos

En cuanto a la comunicación, algunos autores estiman que un 80% de los problemas

de las empresas radican en problemas de esta índole.
En el caso de los SIGs, en donde los sistemas que se construyen requieren de la
participación y colaboración de personas de muy diversas procedencias, la necesidad de
conseguir una comunicación fluida, fiable, y que no fomente falsas expectativas es vital.

Respecto al económico, estamos en la economía de la información y todavía no

hemos aprendido a valorarla adecuadamente. La consideración de beneficios intangibles, la
convergencia de los objetivos del SIG con los de la empresa, y la adecuación a la capacidad
técnica disponible, son factores adicionales que pueden limitar en cualquier momento los
resultados potenciales.
Los factores psicológicos, y especialmente los referentes a la motivación, suponen
otro imperativo para lograr la aceptación, uso, colaboración, responsabilización y apoyo,
tanto de la alta dirección como de los usuarios.

El carácter interdepartamental de muchas de las aplicaciones también precisa de

la creación de grupos de trabajo, siendo muy conveniente el conocimiento de disciplinas
como la dinámica de grupos y relaciones interpersonales.

El temor a lo desconocido, así como los cambios profundos en la estructura de

la empresa que muchas veces acompañan a estos proyectos, hace necesaria una correcta
gestión del cambio. Las técnicas del Desarrollo de la Organización se hacen indispensables
en estos casos.

El último problema del entorno lo presenta la Tecnología de la Información. En

primer lugar, es una tecnología diferente a la tecnología industrial tradicional. Dos de sus
características mas destacables son:
Su flexibilidad y maleabilidad. El hecho de ser modificable a voluntad. Hace que un
cambio radical de diseño en un producto sea fácil de introducir y apenas encarezca los
costes; basta con cambiar los programas y/o los diseños de las Bases de Datos en
cuestión.

10
El aprendizaje continuo a que da lugar. Además de la formación necesaria en el uso de las
herramientas, como sucede en la tecnología tradicional, aquí hace falta también
aprender cómo aplicarla en el conjunto de problemas correspondientes. Este proceso
suele empezar automatizando formas antiguas de hacer las cosas. obteniendo mejoras
en eficiencia, y continuando con cambios posteriores más profundos y eficaces a
medida que se va aprendiendo de su uso.

A lo anterior habría que añadir la evolución vertiginosa de las TIs (Figura 1.3). Por
citar algunos cambios radicales: trabajo por lotes, interactivo, tiempo real, miniordenadores,
microordenadores, bases de datos (B.D.), comunicaciones y redes, sistemas de fabricación
flexible, ingeniería concurrente, sistemas expertos y visión artificial. Difícilmente da
tiempo a madurar el conocimiento de una tecnología, cuánto menos su aplicación y gestión.

1.3.2.4. Particularidades del recurso Información

La información constituye hoy en día uno de los recursos más importantes de
muchas empresas. Sin embargo, presenta características que ninguno de los demás recursos
posee, y que contribuyen a incrementar los problemas anteriormente citados.

A diferencia del carbón, automóviles, alimentos o ropa, la información es

expandible (crece con el uso); está diseminada (tiende a difundirse o filtrarse, siendo difícil
mantenerla secreta); y es compartible (si doy comida o vendo un coche dejo de tener esos
recursos, si doy información no dejo de poseerla, sino que el dador y el receptor la
comparten).

Además, el recurso información es algo más que el recurso físico o dato; requiere de
una interpretación de los datos dentro de un contexto determinado. Incluso se ha señalado
que la información debería tener un efecto sorpresa, debería aportar luz sobre algo
desconocido. La información que no sorprende es probablemente irrelevante o redundante.

Por otra parte, la información no tiene valor intrínseco, a diferencia de los demás
recursos. Si pierdo un diamante y el papel con la dirección del joyero que lo iba a tallar, el
que se encuentre el diamante mantendrá el valor del mismo, pero el que se encuentre el
papel con la dirección no podrá darle ningún significado y consiguiente valor.

Por último, el coste de la información crece con la precisión, cantidad o volumen,

calidad, rapidez de respuesta, y distribución. Proporcionar la información adecuada, en el
instante adecuado, a la persona adecuada, con el coste mínimo, son los objetivos
tradicionales del SIG desde el punto de vista de apoyo a los demás subsistemas de la
empresa.

Sin embargo, con ser importante el lograr el objetivo mencionado en el anterior

párrafo, y constituir la meta tradicional del SIG, no deja de ser un objetivo orientado a
mejorar la productividad o eficiencia principalmente. La Figura 1.3 destaca un segundo
objetivo que cada vez está adquiriendo una mayor relevancia, y que se podría incluir en los
de eficacia empresarial: uso de la Tecnología de la Información para obtener ventajas
competitivas.

11
 Un ejemplo de utilización de la Tecnología de la Información para obtener ventaja
competitiva se puede ver con un caso de una empresa distribuidora de revistas a quioscos y
tiendas. Este segmento industrial se encontraba dominado por un tipo de competencia
basado en distribuir a precio mínimo. La distribuidora en cuestión decidió apoyarse en el
hecho de que sus clientes eran pequeñas empresas, poco complejas, y desconocedoras de su
mercado potencial, así como de la combinación de revistas a vender mas adecuada (mix del
producto). Utilizando sus registros de envíos semanales y devoluciones de los distintos
puestos, la distribuidora podía ver lo que se estaba vendiendo en cada quiosco. El desarrollo
de unos programas que calculaban el beneficio por metro cuadrado para cada revista, y que
comparaba estos datos con los de los puestos similares en características económicas y del
entorno socio-económico, permitió a la distribuidora decir a sus clientes cómo podrían
mejorar su combinación de productos. Este uso inteligente de un sistema de gestión de
inventarlos cambió la forma de competencia para dicha empresa, hasta ese momento basada
en precios. El servicio aportado la diferenciaba de las demás y le permitió la subida de
precios sin reducir la demanda.

Figura 1.3. Utilización de la Tecnología de la Información para conseguir ventaja competitiva.

1.3.2.5. Análisis de los diferentes tipos de información a considerar

Hasta este apartado se ha tratado al recurso información desde el punto de vista
externo. La dificultad, una vez más, aumenta por la disparidad de propiedades y
consiguiente tratamiento, según se analice el origen de la información o su destino.

1.3.2.5.1. 1nfluencia del tipo de problema

Las tomas de decisiones se pueden clasificar en un rango de tipos, estando en un
extremo las estructuradas y en el otro las no estructuradas. Otras formas de dar nombre a
estos tipos son: programadas y no programadas, implícitas y abiertas, analíticas y
sintéticas.
Dentro del primer grupo se incluyen aquellas decisiones repetitivas y rutinarias,
para las que existe previamente un método bien definido para su tratamiento. En
consecuencia son candidatas a una plena automatización.
El otro grupo corresponde a decisiones para las que hace falta definir el
procedimiento para abordar el problema, ya sea por el carácter nuevo del mismo, por su

12
complejidad o por su importancia. En este caso, lo procedente es usar el ordenador como
ayuda en la toma de decisiones, típicamente en forma interactiva hombre/máquina, como
ocurre con las hojas electrónicas, lenguajes de interrogación a
B.D., etc.
Algunos autores dividen el proceso humano de decisión y resolución de problemas
en tres partes:
• Inteligencia o información: viene a ser la respuesta a ¿cuál es el problema?
• Diseño: ¿cuáles son las alternativas?
• Selección: ¿cuál es la mejor alternativa?

Un problema completamente estructurado lo ha de ser en las tres etapas y, por lo

tanto, ha de disponer de un algoritmo que permita dar respuesta a las tres preguntas
formuladas.
Por otro lado, si el problema no está estructurado, pero alguna parte si lo está , se
puede automatizar dicha parte y apoyar interactivamente las otras en los procesos que sean
factibles de mecanización.
Esta es una de las ventajas de realizar este análisis de la toma de decisiones y que
hace muy recomendable su consideración antes del diseño del sistema en cuestión.

1.3.2.5.2. Influencia del destino de la información

En la figura 1.4 se muestran las diferentes caracteristicas de la información
necesaria para el desempeño de las funciones de gestión en los tres niveles típicos:
operativo, gestión y estratégico.

Figura 1.4. El recurso información: disparidad de características según el destino de la

información.
La disparidad que se muestra en la Figura 1.4, unida al hecho de que la implantación
de las TIs conlleva un proceso de aprendizaje continuo y consiguientes mejoras, cambios y
desarrollo de nuevas aplicaciones, hace que la creación del SI totalmente integrado sea
ineficiente e ineficaz.
Ello es debido, en primer lugar, al elevado coste que supondría la realización de un
sistema tan complejo y con tan diversos usos; lo segundo, porque las fuentes de
información son también, en gran medida, distintas según su finalidad.

13
1.3.2.5.3. Fusión de ambas perspectivas
Las dos perspectiva anteriores se pueden combinar como se muestra la Figura 1.6,
denominando decisiones semiestructuradas aquellas en las que alguna de las fases de
inteligencia, diseño o selección no está estructurada.

Figura 1.5. El recurso información: disparidad de características según el tipo de problema.

Al mismo tiempo señalan las siguientes consecuencias:

• Necesidad de distribuir adecuadamente los esfuerzos de desarrollo de aplicaciones entre
las seis áreas en función de su importancia para cumplir los objetivos de la empresa y
no empecinarse sólo en alguna de ellas, como puede ser el caso típico del control de
operaciones estructuradas por la tendencia natural hacia ellas.
• El proceso continuo de aprendizaje de las TIs hace que lo que inicialmente no estaba
estructurado con el tiempo se entienda mejor y pase a estar estructurado, y plenamente,
o en menor medida, mecanizable.
• Los problemas menos estructurados requieren más atención para la parte de definición
del problema y desarrollo, mientras que los estructurados se centran básicamente en la
implantación de un modelo general predeterminado, por ejemplo, de Investigación
Operativa Esto hace que los procedimientos y conocimientos requeridos en cada uno
de los dos casos sean distintos.
• Tanto en usuarios como en analistas los conocimientos implicados son muy distintos,
según se trate de un problema de control de operaciones o de planificación estratégica.
En el primer caso, es también más un proceso de aplicación de un modelo preexistente,
mientras que en el segundo centra su atención en la creación de un modelo nuevo.

Además, el control de operaciones suele ser repetitivo y la eficiencia de diseño es un

factor muy relevante, mientras que el segundo caso suele corresponder a modelos
de un sólo uso pero de amplia repercusión en la empresa, siendo por ello la situación
opuesta.

1.3.2.6. Problemas del entorno cultural

14
 Ya en publicaciones de los 60s se daba una señal de alarma sobre la falta de
resultados satisfactorios en los SIGs y se señalaba cinco supuestos erróres sobre su diseño,
muy extendidos entre los directivos.
Dichos errores se siguen cometiendo en la actualidad. A continuación destacamos
tres de ellos, por su especial importancia.
• La limitación más crucial de la mayoría de directivos es la falta de información.
Aun cuando esto es un factor importante, es más limitante el exceso de información
irrelevante. Las consecuencias de partir del primer supuesto nos llevan a la Base de
Datos infinita y a sobrecarga de información y problemas de estrés; mientras que
partiendo del segundo supuesto se tenderá a diseñar un SIG con filtros, rutas de
distribución, etc.

• El director necesita la información que desea.

Los problemas del mundo real son muy complejos y tienen un elevado grado de
incertidumbre. En consecuencia, hay tendencia a reducirla con información, necesaria real
o presumible, orientándose así de nuevo hacia la sobrecarga de información.

• Directores controlados por ordenador.

Las TIs se están introduciendo por todas las partes de las empresas; el director debe
conocerlas lo suficiente para poder valorar si Las Tis están haciendo lo que se supone que
deben hacer. Aquellos directivos que no se preocupan en tener este mínimo de
conocimientos informáticos y tienen a su servicio estos sistemas, se convierten muy
fácilmente en víctimas de sus propios sistemas.

Las consecuencias de fracasos de implantación de SIGs pueden verse en un reciente

informe del Govemment Accounting Office de los EEUU sobre el desarrollo de proyectos
informáticos, recogido en la Figura 1.6.

Figura 1.6. El problema del desarrollo de proyectos informáticos, basado en un informe

del Government Accounting Office de los EE.UU.

1.3.2.7. Ampliación del concepto Estructura del Sistema de Información para Gestión
1.3.2.7.1. Formas de describir un SIG
Al igual que cualquier sistema complejo, como es el caso de un automóvil, que
puede explicarse en términos de sus características externas (forma, color, tamaño, ..), o por
sus componentes (chasis, motor, transmisión..), su uso (deportivo, familiar, utilitario,..),
etc., puede obtenerse una mejor comprensión del concepto del SIG analizándolo bajo
diferentes criterios.
Cada una de estas clasificaciones aporta información adicional para entender mejor
el sistema en estudio.

15
 Las clasificaciones relevantes, en nuestro caso son:
• Componentes del SIG: computador y demás equipo físico; programas; BD; Base de
Modelos; Procedimientos y manuales; y recursos humanos. La integración de todos
estos elementos se consigue por diferentes vías, tales como Bases de Datos,
planificación, directrices, procedimientos, normalizaciones, etc.
• Funciones del SIG: (ver Figura 1.1)
• Departamento al que va dirigido (ver Figura 1.2)
• Tipo de apoyo en la toma de decisiones (ver Figura 1.3)
• Nivel de la pirámide de gestión al que va dirigido (ver Figura 1.4);
• Salidas del SIG,...

En definitiva, la estructura del SIG queda definida como una federación de subsistemas
para las diversas funciones de los departamentos, cada una de las cuales está dividida en los
cuatro niveles de gestión señalados en la Figura 1.7. Cada subsistema contiene a su vez
ficheros y programas específicos del subsistema y ficheros (BD) y programas (BM) que
comparte con otros sistemas.

Figura 1.7. Estructura del Sistema de Información para Gestión

La Figura 1.8 muestra otra clasificación de los SIGs, (a) estructura d SIG según la
pertenencia y perdurabilidad, (b) efecto de los SIGs sobre los tamaños relativos a los
componentes del Sistema de Información (b ). Al mismo tiempo se aprecia el efecto del
SIG informatizado en el sentido de aumentar la importancia del SI público formal.

16
 Figura 1.8. Estructura del Sistema de Información para Gestión

1.3.2.7.2. Sistemas de Información formales e informales

La diferencia entre formal e informal suele basarse en que quede constancia escrita
o no. La diferencia entre público o privado suele centrarse en la pertenencia a la empresa o
al individuo.
El SIG basado en ordenadores es parte del SI público formal, sin embargo la última
corriente de usuarios finales, sobre todo en lo que se refiere a aplicaciones de PCs, da
también lugar a muchos SIs privados formales.

Es interesante resaltar la importancia de estos subsistemas, porque todos ellos ocupan un

lugar necesario en la empresa. Así, el SI público formal se caracteriza por pertenecer más a
la posición que al individuo, sobreviviendo, en consecuencia, al cambio de personal.
Simultáneamente proporciona un esquema de conceptos de la empresa común a todos,
aumentando así la eficacia de comunicación y liberando tiempo para otras actividades.

El peligro de este sistema reside en que adquiera excesiva prepotencia y pase a

dictar el comportamiento del personal de la empresa, en lugar de enriquecer a dicho
comportamiento. Además, el coste de desarrollo y mantenimiento es alto, el tiempo de
respuesta puede ser lento (recoger datos, introducirlos, tratarlos..), la fiabilidad en muchos
casos puede ser baja (errores, asunciones, limitaciones de los modelos, tendencia a
seleccionar información fácil de medir,..). Por otro lado, muchas decisiones importantes, en
especial las más altas en la pirámide de gestión, necesitan información recibida a través de
canales informales e incluso no formalizables.

17
2. INTRODUCCIÓN A LA AUDITORÍA
2.1. INTRODUCCIÓN

2.2. OBJETIVOS DE UNA AUDITORÍA

2.3. DEFINICIONES DE AUDITORÍA

2.4. ASPECTOS DE LA AUDITORÍA

2.4.1. Principio de Autenticidad
2.4.2. Clases de Auditoría
2.4.3. Beneficiarios de la auditoría

2.5. DESARROLLO HISTÓRICO DE LA AUDITORÍA

2.6. CONTROL INTERNO Y AUDITORÍA INTERNA

2.6.1. Concepto de control interno
2.6.2. Concepto y objetivos de auditoría interna
2.6.3. Características de la auditoría interna
2.6.4. Diferencias entre auditoría interna y externa

2.7. LOS PAPELES DE TRABAJO

2.7.1. Concepto y objetivos
2.7.2. Forma y contenido
2.7.3. Propiedad, custodia y conservación
2.7.4. Organización y archivo

2.8. LOS INFORMES DE AUDITORÍA

2.8.1. El Informe de auditoría
2.8.2. Objetivos del informe
2.8.3. Clases de informes
2.8.4. Elementos básicos del informe de auditoría
2.8.5. Tipos de opinión
2.8.6. Requisitos de un buen informe, responsabilidad de su contenido y publicidad
2.8.7. La carta de recomendaciones

2.1 INTRODUCCIÓN
Auditoría, en su sentido más general, se puede entender como la investigación,
consulta, revisión, verificación, comprobación y obtención de evidencia, desde una
posición de independencia, sobre la documentación e información de una organización,
realizadas por un profesional, el auditor, designado para desempeñar tales funciones.
El auditor, cuando actúa como tal, no es responsable ni de la operación del
organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los
órganos directivos del organismo auditado. La función del auditor es la de examinar e
informar sobre la documentación elaborada por los órganos directivos.
Ante la creciente complejidad de las estructuras empresariales y la creciente
dinámica de los mercados y las interrelaciones de las empresas con sus mercados, la

18
Auditoría ha tenido que ir ampliando su campo de aplicación y salir del entorno Contable y
Financiero, para abordar otras áreas operativas y funcionales de las empresas. También ha
tenido que abarcar toda la diversidad de empresas y organismos públicos y privados que
componen el tejido industrial, económico y social de nuestra sociedad. Por lo que, según el
ámbito en que se aplique, hay que hablar de Auditoría Contable, Auditoría Financiera,
Auditoría de Gestión, que comprende las dos anteriores, y, desde hace algunos años, de
Auditoría de los Sistemas de Información.

Las auditorías son necesarias por diversos motivos, y entre los más importantes
podemos citar los siguientes:
• Ofrecer la seguridad a los propietarios de las empresas, o a las partes interesadas en las
organizaciones auditadas (accionistas), o a los responsables de sus actividades, de la
fiabilidad de los estados financieros que se les presentan, en la medida indicada por el
auditor en su informe.

• Ofrecer la seguridad a otros posibles usuarios de los estados financieros, de la fiabilidad

de los estados financieros que se les presentan, en la medida indicada por el auditor en
su informe. Estos usuarios pueden ser: acreedores, entidades financieras, personal,
Hacienda Pública, inversores potenciales e instituciones supranacionales.

• Cuando se realiza una venta o cambio de titularidad o liquidación de una empresa, es

necesario conocer la fiabilidad de la valoración de dicha empresa.

• Cuando se quiere acceder a subvenciones, o intervenir en proyectos de desarrollo o

producción promovidos por instituciones públicas nacionales o supranacionales, suele
haber el requisito que obliga a efectuar una auditoría lo más completa posible.

• Según los países y el ámbito en que se mueve la empresa, hay obligación legal de
efectuar auditorías de forma periódica.

2.2. OBJETIVOS DE UNA AUDITORÍA

El objetivo fundamental de un trabajo de auditoría es permitir que el auditor llegue a
estar en condiciones de informar fundadamente sobre la fidelidad y razonabilidad de la
situación que refleja la documentación aportada por la empresa.
El auditor está obligado a establecer de forma inequívoca, según su criterio, si la
imagen de la empresa es fiel y razonable en la documentación aportada. Si no ha podido
confirmar estos términos, debe calificar su informe justificando las razones que le han
llevado a considerar las desviaciones de fidelidad y razonabilidad, y en qué aspectos, y en
qué medida, se ha incurrido en una formulación errónea. El auditor debe expresar con
independencia su opinión.

Un trabajo de auditoría también tiene unos objetivos secundarios:

1. El examen del auditor no está específicamente destinado a descubrir actuaciones
anómalas, fraudulentas o, simplemente erróneas. Por tanto, no se debe esperar como
resultado necesario.

19
2. La responsabilidad de la gestión y control corresponde a la administración de la
empresa. El auditor no puede ejercer ninguna labor de protección en caso de
incumplimiento de esas responsabilidades. En cambio, puede planificar su trabajo para
poder descubrir los errores significativos provocados por irregularidades o fraudes, de
los que informará cumplidamente a los administradores o a los socios, según
corresponda.
3. El auditor no es responsable de la preparación de la documentación de la gestión
(estados financieros, por ejemplo), ni de la valoración critica de la gestión directiva
reflejada en dicha documentación. En cambio, debe asistir a la dirección en el
establecimiento y mantenimiento de un sistema de control interno adecuado,
informando de las deficiencias observadas en el mismo a lo largo de la auditoría.
4. El auditor está en condiciones de hacer sugerencias constructivas al cliente en relación
con los aspectos operativos de la empresa.

2.3. DEFINICIONES DE AUDITORÍA

Hay diversas definiciones del concepto de Auditoría, entre ellas podemos tener
en cuenta las siguientes:
Norma AENOR X50-109:
Examen metódico de una situación relativa a un producto, proceso, organización, en
materia de calidad, realizado en cooperación con los interesados, a fin de verificar la
concordancia de la realidad con lo preestablecido, y la adecuación al objetivo
buscado.

Ley 19/1988 de Auditoría de Cuentas:

"... la actividad que, mediante la utilización de determinadas técnicas de revisión,
tiene por objeto la emisión de un informe acerca de la fiabilidad de los documentos
contables auditados; delimitándose, pues, a la mera comprobación de que los saldos
que figuran en sus anotaciones contables concuerdan con los ofrecidos en el balance
y en la cuenta de resultados, ...".

Real Decreto 1636/1990 del Reglamento que desarrolla la Ley de Auditoría de Cuentas,
Artículo 1°:
" 1.- Se entenderá por auditoría de cuentas la actividad, realizada por una persona
cualificada e independiente, consistente en analizar, mediante la utilización de las
técnicas de revisión y verificación idóneas, la información económico-financiera
deducida de los documentos contables examinados, y que tiene por objeto la
emisión de un informe dirigido a poner de manifiesto su opinión responsable sobre
la fiabilidad de la citada información, a fin de que se pueda conocer y valorar dicha
información por terceros".

En resumen, en todas las definiciones de auditoría podemos encontrar varios puntos

comunes:
• la realización de un examen ordenado y planificado,
• la comprobación de la calidad de lo examinado,
• la verificación de la fiabilidad de lo examinado en cuanto a los hechos reales que
refleja, y

20
• la obligación de informar a terceros con una opinión fundada.

Hemos de tener en cuenta que la auditoría no es un fin en si misma, sino que se trata
de un instrumento que permite obtener la respuesta a objetivos de calidad y fiabilidad.

2.4. ASPECTOS DE LA AUDITORÍA

2.4.1. Principio de Autenticidad
El principio fundamental de la Auditoría es el de autenticidad, atendiendo a las
definiciones dadas anteriormente en el apartado 2.2. El auditor tiene que analizar todos los
elementos informativos de la empresa con dos objetivos principales: comprobar la
corrección de lo realizado (calidad), y que la información presentada refleja la situación
verdadera sin ambigüedades (fiabilidad).

2.4.2. Clases de Auditoría

La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que
la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.

Pasamos a desarrollar estos aspectos:

Por el sujeto que la efectúa:
• Auditoría interna: Está a cargo de empleados de la propia empresa, encuadrados en un
departamento directamente dependiente de la dirección general.
• Auditoría externa: Está a cargo de auditores profesionales, ajenos a la empresa y
totalmente independientes.

Por su contenido y fines:

• Auditoría de gestión: Afecta a la situación global de la empresa.
• Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la
adecuada, según las necesidades y problemas de la misma.
• Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o
función dentro de una organización, está cumpliendo los objetivos establecidos por la
gerencia; así como identificar las condiciones que necesiten mejora.
• Auditoría financiera: Examen y verificación de los estados financieros de la empresa,
para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.
• Auditoría contable: Analiza la adecuación de los criterios empleados para recoger los
hechos derivados de la actividad de la empresa y su representación, mediante apuntes
contables, en los estados financieros.
• Auditoría informática: Examen y verificación del correcto funcionamiento y control del
sistema informático de la empresa.

Por su amplitud:
• Auditoría total: Afecta a todos los elementos de la empresa.
• Auditoría parcial: Se concentra en determinados elementos de la empresa.

Por su frecuencia:
• Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.

21
• Auditoría ocasional: Se realiza de forma esporádica.

2.4.3. Beneficiarios de la auditoría

Los beneficiarios de la auditoría son los que tienen relación con la empresa y
necesitan información correcta y auténtica sobre la situación y actividades de la misma.
Según el sujeto que la realiza, los beneficiarios son distintos:
• En la A. interna, es la propia empresa y todos los órganos de gobierno y ejecutivos.
• En la A. externa:
• Accionistas o socios.
• Consejeros y ejecutivos.
• Proveedores, acreedores y otros.
• Inversores.
• La Banca
• La Bolsa.
• La Hacienda Pública.
• Los empleados de la empresa.
• Otros organismos públicos e institucionales.

2.5. DESARROLLO HISTÓRICO DE LA AUDITORÍA

Los antecedentes de la auditoría podemos encontrarlos en civilizaciones
preocupadas en controlar los gastos y los ingresos del Estado, para vigilar el manejo de los
fondos por los funcionarios asignados. Entre estas civilizaciones tenemos la cultura egipcia.
Se afirma que el término "auditor" procede de la persona que efectuaba estos controles,
quien escuchaba las relaciones de cuentas de los funcionarios de viva voz, puesto que éstos
carecían de la instrucción necesaria para presentarlas en forma escrita.
Durante el reinado de Eduardo I de Inglaterra, a fines del siglo XIII, se acuña el
vocablo auditor como denominación propia de la persona encargada de realizar los
controles de cuentas.

Las actuales asociaciones profesionales de auditores tuvieron sus precursores

en los Consejos Londinenses de Londres (1310), el Colegio de Contadores de Venecia
(1581), el Tribunal de Cuentas de París (1640) y la "Academia dei Ragioneri" de Milán y
Bolonia (1658).

El concepto moderno de auditoría contable surge con los fracasos financiero-

económicos de las sociedades de acciones nacidas de la revolución industrial, en la segunda
mitad del siglo XVIII. La falta de seriedad y de profesionalidad en sus gestores provocó la
quiebra de una gran número de empresas. Esta situación dio lugar a la imposición tácita, y
posteriormente legal, de revisiones de la situación financiera de las empresas a cargo de
contables independientes. Inglaterra, como una de las pioneras en la revolución industrial,
fue también una de las pioneras en el desarrollo de la profesión de auditor, entendida en el
sentido mencionado anteriormente. El gobierno británico aprobó oficialmente la creación
del Instituto de Auditores Titulados de Inglaterra y Gales, en 1880.

Las normas de auditoría se elaboraron inicialmente en los Estados Unidos de

22
Norteamérica, como consecuencia del desarrollo económico de principios de siglo y de la
crisis de 1929.
El "American Institute of Accountants" publicó un documento sobre auditoría de
balances en 1917, a petición de la "Federal Trade Comission ". En 1929 se efectuó una
revisión a cargo del American Institute of Certified Public Accountants(AICPA). En 1934
se publica un documento conjunto entre el AICPA y la recién , creada "Securities and
Exchange Commission" (SEC): " Audit of Corporate Accounts".

El primer documento donde se puede hallar la descripción de la profesión de

auditor, así como de los procedimientos detallados de auditoría, es el "Examination of
Financial Statements by Independent Public Accountants", publicado por
el AICPA.

En 1939 se establece las primeras acciones para la definición de las Normas de

Auditoría Generalmente Aceptadas (NAGA), mediante la creación de un Comité especial
sobre Procedimientos de Auditoría en el AICP A. La documentación fruto de los trabajos
de este Comité se denominó "Extensions of Auditing Procedure" (mayo de 1939), que
posteriormente pasó a denominarse "Statements on Auditing Procedure" (SAP). Hasta 1972
se publicaron un total de 54 SAP.

En 1972, el comité pasa a llamarse "Comité Ejecutivo de Normas de Auditoría",

cuya misión es la interpretación de las NAGA, produciendo los "Statements on Auditing
Standard" (SAS). A partir de 1978, el "Auditing Standard Board" (AICPA) es el
responsable de la promulgación de normas y procedimientos de
auditoría para los miembros del AICPA.

En Europa se han desarrollado diversas instituciones de auditoría, oficiales y

privadas, que han publicado normas de auditoría con clara influencia de los normas
publicadas en Estados Unidos, adaptadas a las legislaciones y usos propios de cada país.
Por ejemplo, tenemos la serie de Declaraciones sobre Auditoría, publicadas en 1951 por el
"Institute of Chartered Accountants in England and Wales".

En España no se empieza a considerar la aplicación y desarrollo de la auditoría hasta

la publicación del Código de Comercio (Ley 21/7/73) [7]. Anteriormente, se contemplaban
unas revisiones contables (ordinaria y extraordinaria) con fuertes limitaciones, fijadas en la
Ley de Sociedades Anónimas (17/7/51) [28].
En 1943 se crea el Instituto de Censores Jurados de Cuentas, institución profesional
privada que agrupa a los profesionales dedicados a la censura de cuentas, precedente de la
auditoría de cuentas. La Ley de Sociedades Anónimas fue un importante freno al desarrollo
de la profesión auspiciado por dicho Instituto. Posteriormente, en la década de los sesenta y
setenta, aparecieron algunas disposiciones legales que regulaban la actuación de los
auditores. Sin embargo, en la práctica, la totalidad de las actuaciones de auditoría estaban a
cargo de miembros del Instituto de Censores Jurados de Cuentas de España.

Con la constitución y posterior desarrollo de la Comunidad Económica Europea, se

ha tratado de armonizar y estandarizar las normas de auditoría de los países miembros, a
través de las directivas y de los reglamentos, publicadas desde 1968.

23
 España, para poder incorporarse como miembro de pleno derecho en la CEE, tuvo
que adaptar parte de su legislación a las directivas promulgadas. Por tanto, a partir de 1988,
se realiza una paulatina adaptación del ordenamiento mercantil con la promulgación de
varias leyes y decretos, como la Ley de Auditoría de Cuentas (12/7/88) [26], el Texto
Refundido de la Ley de Sociedades Anónimas (22/12/89) y el Plan General de Contabilidad
(20/12/90) [37], entre los más importantes.

2.6. CONTROL INTERNO Y AUDITORÍA INTERNA

2.6.1 Concepto y objetivos de control interno
Una de las formas de definir el concepto de control interno es la siguiente:
el control interno es un proceso que lleva a cabo el Consejo de Administración, la
dirección y el resto de los miembros de una entidad, con el objeto de proporcionar un
grado razonable de confianza en la consecución de objetivos de fiabilidad de la
información financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyes
y las normas aplicables.
La dirección de la organización tiene la responsabilidad de decidir el alcance
adecuado del sistema de control interno. La naturaleza de los controles depende de la clase
de grado de control, distribución geográfica y estructura de la organización, entre los
factores más importantes.
El control interno tiene limitaciones, puesto que no garantiza, por si mismo, una
administración eficiente y tampoco puede evitar el fraude, cuando se da la complicidad
entre los cargos de confianza.
Los objetivos de salvaguarda de los activos, integridad de los datos, efectividad del
sistema y eficiencia del sistema solo se pueden conseguir si la dirección de una
organización establece un sistema de control interno.

Tradicionalmente, los principales componentes de un sistema de control interno han

incluido: (1)la segregación de funciones, (2) la delegación de la responsabilidad y de la
autoridad, (3) existencia de personal competente y de confianza, (4) el sistema de
autorizaciones, (5) documentación y registros adecuados, (6) el control físico sobre activos
y registros, (7) la adecuada supervisión de la gestión, (8) la verificación independiente de
las operaciones y (9) la comparación periódica de los registros contabilizados con los
activos.

2.6.2. Concepto y objetivos de auditoría interna

La auditoría interna es la actividad, dentro de una organización, dirigida a la
revisión de las operaciones contables, financieras y de otro tipo.
Es un control que la gerencia de la empresa aplica para medir y evaluar la eficacia
del control interno.

Su objetivo principal es la asistencia a la gerencia en el eficaz desempeño de sus

funciones. La auditoría interna proporciona a la gerencia análisis, evaluaciones y
recomendaciones de las actividades revisadas.

24
 Otro objetivo de la auditoría interna es la supervisión del cumplimiento de las
políticas contables y procedimientos establecidos por la empresa.

La auditoría interna se lleva a cabo en un departamento que depende directamente

de la gerencia de la empresa.

2.6.3. Características de la auditoría interna

Las principales características de un departamento de auditoría interna son:
• Independencia limitada: en su estructura pero no en la realización y evaluación de su
trabajo.
• Personal cualificado para la realización de auditorías: características similares a las del
auditor externo.
• Preparación de informes periódicos a la gerencia: actividades del departamento, con
expresión del alcance y resultados de la auditoría.
• No participación en actividades que posteriormente serán auditadas por el propio
departamento.

La eficacia del departamento de auditoría interna está basada en los factores que
relacionamos a continuación:
• Adecuada planificación: elaboración de un plan de auditoría interna.
• Adecuada y efectiva supervisión: participación en la planificación, revisión de los
papeles de trabajo y de los informes preparados.
• Fomación continuada: formación técnica suficiente inicial y actualización mediante la
participación en cursillos y seminarios. Se recomienda la inscripción en asociaciones
profesionales de auditoría.
• Evidencia documental: preparación de papeles de trabajo necesarios para soporte del
trabajo realizado y de las conclusiones alcanzadas.

2.6.4. Diferencias entre auditoría interna y externa

1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa; mientras
que en la auditoría externa, es un profesional independiente.
2. En la auditoría interna, la independencia está limitada; mientras que en la auditoría
externa, la independencia es total.
3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo laboral;
mientras que en la auditoría externa, es de tipo profesional, que puede llegar a ser penal.
4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión; mientras
que en la auditoría externa, el objetivo es el examen de los estados financieros para
determinar si representan la situación real de la entidad auditada.
5. En la auditoría interna, el informe emitido es un informe con recomendaciones para la
gerencia; mientras que en la auditoría externa, está dirigido también a terceros.
6. En la auditoría interna, el uso del informe está restringido al ámbito de la propia
empresa; mientras que en la auditoría externa, el uso trasciende la propia empresa.

Ambos tipos de auditoría no son excluyentes. El auditor externo debe tener en cuenta el
trabajo efectuado por el auditor interno a la hora de fijar la naturaleza y extensión de los
procedimientos. Se debe establecer una colaboración entre ambos. Con este propósito, el

25
auditor externo debe considerar la objetividad y competencia de los auditores internos y
evaluar el trabajo realizado por los mismos.

2.7. DOCUMENTOS DE AUDITORÍA

2.7.1 los papeles de trabajo
2.7.1.1 Concepto y objetivos
Los papeles de trabajo es la documentación que mantiene el auditor sobre los
procedimientos aplicados, sobre las comprobaciones parciales realizadas y sobre las
conclusiones alcanzadas después del examen. En resumen, constituyen la totalidad de los
documentos preparados o recibidos por el auditor.

En las normas técnicas de auditoría se establecen los objetivos principales de

los papeles de trabajo, que son los siguientes:
1. Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción de
los medios que han conducido a formar la opinión del auditor.
2. Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría.
3. Ayudar al auditor en la ejecución de su trabajo.
4. Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías,
5. Hacer posible que cualquier persona capacitada pueda supervisar la actuación realizada

2.7.1.2 Forma y contenido

En base al último de los objetivos formulados, las normas técnicas de auditoría
resaltan una regla general en cuanto a la forma y contenido de los papeles de trabajo: deben
estar elaborados con la suficiente claridad y precisión para que cualquier auditor que no
haya participado en la auditoría pueda revisar el trabajo y comprobar que se ajusta a las
normas técnicas.

La forma y contenido van a ser diferentes para cada uno de los trabajos realizados,
siempre y cuando se ajusten a los objetivos establecidos. Sin embargo, los papeles de
trabajo deberán contemplar temas como:
1. Dejar constancia del proceso de planificación y de los programas de auditoría.
2. Dejar constancia del estudio y evaluación del sistema de control interno contable.
3. Los principios contables y criterios de valoración seguidos.
4. Las conclusiones alcanzadas por el auditor.
5. Copia de las cuentas anuales auditadas y del informe de auditoría.
6. Constancia de la naturaleza, momento de realización y amplitud de las pruebas
realizadas.
7. Confirmaciones o certificados recibidos de terceros.
8. Indicación del autor de los procedimientos de auditoría y de la fecha de realización.
9. Constancia de la supervisión y revisión del trabajo de los ayudantes.
10. Extractos de las actas de las Juntas de Accionistas, Consejos de Administración y de
otros órganos de dirección y vigilancia.

Hay una información mínima común a todos los papeles de trabajo que es la
siguiente:
• Nombre del cliente o empresa sujeta a la auditoría.

26
• Fecha del examen.
• Descripción del papel de trabajo.
• Nombre de la persona que ha preparado el documento.
• Evidencia de que ha sido revisado por otra persona distinta al que ha preparado el
documento.
• Detalles, cifras y explicaciones de los datos financieros y procedimientos de
verificación utilizados.
• Fuentes de información de los datos incluidos.
• Conclusiones alcanzadas.

2.7.1.3 Propiedad, custodia y conservación

El auditor está encargado de la custodia de la privacidad de los papeles de trabajo,
que tienen un carácter estrictamente privado. Cualquier información contenida en los
mismos no debe trascender del ámbito de trabajo exclusivamente. Además, si el cliente
solicita alguno de los documentos de los papeles de trabajo, si no es un papel elaborado por
el auditor con información reservada incluso pare el cliente, el auditor debe facilitarle una
copia o fotocopia y retener el original.

Por otra parte, el auditor está obligado a conservar durante cinco años, a partir de la
fecha del informe, toda la documentación de la auditoría.

2.7.1.4 Organización y archivo

El auditor debe organizar y archivar la documentación que está manejando o
elaborando para acceder a ella con eficacia. El criterio de organización y archivo se deja a
elección del profesional. Sin embargo, a lo largo de la experiencia de auditoría, se ha
confeccionado unas normas de trabajo que facilitan esta función del auditor,
fundamentalmente respecto del acceso rápido a la información contenida en los papeles de
trabajo. Estas normas se relacionan a continuación:
1. Identificar todos los papeles de trabajo por áreas o cuentas, aplicando la técnica de
índices de referencia (símbolos utilizados en la preparación de los papeles de trabajo
para conseguir una ordenación lógica).
2. Referenciar adecuadamente cada papel de detalle en cada área de trabajo, con papeles
de otras áreas, etc.
3. Agrupar los papeles de trabajo por áreas, cuentas, etc.
4. Separar los papeles de trabajo en dos grupos:
• Papeles de trabajo permanentes: Archivo permanente.
• Papeles de trabajo corrientes (del ejercicio):
• Carpeta general
• Carpeta de las áreas.

La carpeta general y las carpetas de las áreas constituyen el Archivo general de

auditoría.

En el archivo permanente se registra la información siguiente:

27
1. Datos generales: actividades de la empresa, organigrama general y reparto de las
funciones, composición del Consejo de Administración, extracto de las actas de la Junta
de Accionistas y del Consejo de Administración, y detalle de firmas autorizadas.
2. Información contable: Plan de cuentas, descripción del sistema contable, normas
especiales de contabilización, descripción de los procedimientos de contabilidad y de
las medidas de control interno, y cuestionario de control interno.
3. Escrituras y contratos.
4. Detalles de cuentas y otros datos.

En la carpeta general se registra fundamentalmente la información siguiente.

1. Copia del informe de auditoría.
2. Copia de la carta de recomendaciones.
3. Cuentas anuales finales.
4. Cuentas anuales iniciales.
5. Balances de Situación de Activos y de Pasivos y Cuentas de Pérdidas y Ganancias.
6. Cuadros de financiación.
7. Programas de auditoría.
8. Cuestionarios de comprobación.

En las carpetas por áreas se registra fundamentalmente la información siguiente.

Memorándum de sección.
Memorándum de procedimientos.
Programa de auditoría.
Análisis resumen del área.
Análisis principales.
Análisis de detalle.

2.7.2 El Informe de auditoría

El informe de auditoría constituye el producto final del trabajo de auditoría y la
única documentación que va a llegar a quien ha encargado la auditoría. Por tanto, el nivel
de calidad del informe ha de ser el máximo que se pueda alcanzar.

2.7.2.1 Objetivos del informe

Los objetivos principales del informe son:
1. Permitir a quien esté revisando el informe entender el trabajo realizado, las
circunstancias que afectan a la falta de fiabilidad de las cuentas anuales y las
conclusiones del auditor.
2. Prevenir una interpretación errónea del grado de responsabilidad que asume el auditor.

2.7.2.2 Clases de informes

Como el informe representa el trabajo de auditoría realizado, su naturaleza estará en
consonancia con la naturaleza de la auditoría, y ésta se ha desarrollado según las
instrucciones recibidas del solicitante del encargo. Vimos en la sección ¿¿2.3.2
las distintas clases de auditoría empresarial, que determinan las clases de informes de
auditoría. Cabe destacar los siguientes, dentro del tipo de auditoría financiero-contable:

28
• Informe de auditoría completa.
• Informe de auditoría limitada.
• Informe de auditoría especial
• Informe de auditoría de gestión u operativa.

2.7.2.3 Elementos básicos del informe de auditoría

1. Título del informe:
2. Identificación de los destinatarios y de los solicitantes del trabajo: accionistas, Consejo
de Administración u organismos oficiales.
3. Identificación de la empresa auditada: nombre o razón social completos.
4. Párrafo de alcance de la auditoría:
• Identificación de las cuentas anuales (nombre de la empresa y régimen jurídico, estados objetos del
examen, fecha del balance de situación, periodo que cubren el resto de estados y referencia de la
responsabilidad de los Administradores en la formulación de las cuentas anuales.
• Referencia a la aplicación de las normas de auditoría generalmente aceptadas o de las normas
técnicas de auditoría legalmente permitidas.
• Naturaleza y motivo de los procedimientos que no hubieran podido aplicarse.
5. Párrafo de opinión: expresa la opinión del auditor sobre si las cuentas anuales reflejan la
imagen fiel de la situación de la empresa y si la información es necesaria y suficiente
para la interpretación y comprensión adecuada de conformidad con los PCGA. Se pide
claridad y precisión en la forma y contenido. También se menciona la naturaleza de
cualquier salvedad significativa con la partícula "excepto por...". En este párrafo se
puede expresar una opinión negativa o denegar la opinión cuando las excepciones son
significativas.
6. Párrafo de salvedades: detalles de los efectos en las cuentas anuales de las salvedades
recogidas en los puntos 4 y 5.
7. Párrafo de énfasis: a diferencia de las salvedades, este párrafo sirve para enfatizar
excepcionalmente alguna circunstancia relacionada con las cuentas anuales.
8. Párrafo sobre el informe de gestión: alcance del informe y si la información contable
contenida concuerda con la de las cuentas anuales del ejercicio.
9. Nombre, dirección y datos registrales del autor: aparte debe incluirse la dirección y
número de registro en el ROAC.
10. Firma del auditor: firma del auditor de cuentas que ha dirigido el trabajo o uno de los
socios si es una sociedad de auditoría.
11. Fecha de emisión del informe: debe coincidir con la fecha de terminación del trabajo en
la empresa auditada y no debe ser anterior a la fecha de formulación de las cuentas
anuales por los Administradores.

2.7.2.4 Tipos de opinión

La opinión que se expresa en el informe, se puede clasificar como viene a
continuación:
1. Opinión favorable (o sin salvedades): cuando se haya realizado el trabajo sin
limitaciones, según las Normas Técnicas; y las cuentas anuales estén formuladas de
acuerdo con los PCGA.
2. Opinión con salvedades: cuando el auditor concluye que existen una o más
circunstancias que marcan limitaciones al alcance, incumplimiento de los PCGA,
incertidumbre y no uniformidad con los PCGA.

29
3. Opinión desfavorable (o adversa): cuando las cuentas anuales no presentan la imagen
fiel de la situación de la empresa.
4. Opinión denegada (o renuncia de opinión): cuando el auditor no ha obtenido la
evidencia necesaria para formar una opinión.

2.7.2.Requisitos de un buen informe, responsabilidad de su contenido y publicidad

Un informe de calidad debe cumplir los siguientes requisitos para alcanzar sus
objetivos primordiales:
1. Claridad en la explicación del alcance del trabajo efectuado.
2. Sencillez en la descripción de los problemas encontrados.
3. Precisión en las salvedades que se inserten en la opinión.
4. Cumplimiento con las normas relacionadas con los informes de auditoría completa:
• Las cuentas anuales deberán contener la información necesaria y suficiente para su
interpretación y comprensión adecuadas y formuladas de conformidad con
principios y normas generalmente aceptados.
• Uniformidad en la aplicación de los principios y normas generalmente aceptados, en
relación con el ejercicio anterior.
• Las cuentas anuales expresarán, en todos los aspectos significativos, la imagen fiel
del patrimonio y de la situación financiera de la empresa o entidad y de los
resultados de sus operaciones y de los recursos obtenidos y aplicados.
• El informe de auditoría debe contener una expresión de opinión acerca de las
cuentas anuales en su conjunto o indicar por qué tal opinión no se expresa.
• En el informe de auditoría se indicará si la información contable que contienen el
informe de gestión concuerda con la de las cuentas anuales auditadas.

El auditor solamente es responsable de su opinión, expresada en el informe, pero la

responsabilidad de la formulación de las cuentas anuales recae en la Administración de la
empresa auditada. .

El auditor no puede facilitar directamente a terceros copia del informe de auditoría.

Por regla general, el auditor debe remitir el informe a la Administración de la empresa y,
ésta, es la responsable de remitir las copias pertinentes del informe junto con la
documentación de las cuentas anuales. Solamente en los supuestos establecidos por la ley
vigente, o con la autorización expresa de la empresa, se puede facilitar una copia del
informe a terceros sin que pase por la administración de la empresa.

2.7.2.6 La carta de recomendaciones

La carta de recomendaciones constituye un complemento al informe de auditoría,
donde el auditor, basado en su experiencia profesional, relaciona los problemas que ha
detectado y sugiere las posibles soluciones para solventarlos. El auditor también se puede
ayudar de cuestionarios o formularios para la preparación de la carta de recomendaciones.
Sin embargo, sigue siendo fundamental la experiencia individual del auditor o de los
miembros del equipo de auditoría.

No hay una estructura estandarizada de la carta de recomendaciones, cada auditor o

sociedad de auditoría confecciona sus propias normas. Sin embargo, se puede

30
enunciar una serie de puntos comunes que suelen tener las cartas de recomendaciones, que
vemos a continuación:
• Párrafo de introducción: se explica el trabajo realizado, el periodo cubierto y la
limitación en el uso de los comentarios que se incluyen a continuación en la carta.
• Referencia de las personas con las que se han comentado los temas.
• Comentarios individualizados por áreas de las cuentas anuales u otros temas:
explicación del problema encontrado y sugerencias o recomendaciones para solventarlo.

Los problemas típicos que puede encontrar el auditor son:

• Debilidades en el control interno contable;
• circuitos administrativos deficientes;
• prácticas contables incorrectas; y
• errores no significativos detectados en el curso de la auditoría.

31
3 LA FUNCIÓN DE AUDITORÍA INFORMÁTICA Y SU
ORGANIZACIÓN
3.1. ANTECEDENTES

3.2. TIPOS DE AUDITORÍA INFORMÁTICA

3.3. LA FUNCIÓN DE AUDITORÍA INFORMÁTICA

3.3.1. Perfiles de un auditor de Sistemas de Información
3.3.2. Funciones a desarrollar por la función de Auditoría Informática

3.4. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA INFORMÁTICA

3.1. ANTECEDENTES
El concepto de auditoría informática ha estado siempre ligado al de auditoría en
general y al de auditoría interna en particular, y éste ha estado unido desde tiempos
históricos al de contabilidad, control, veracidad de operaciones, etc.
En tiempo de los egipcios ya se hablaba de contabilidad y de control de los registros
y de las operaciones. Aún algunos historiadores fijan el nacimiento de la escritura como
consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Years
of Progress). Esta referencia histórica a fin de explicar la evolución de la corta pero intensa
historia de la auditoría informática, y para que posteriormente nos sirva de referencia al
objeto de entender las diferentes tendencias que existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditoría informática desde un
punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y el
entorno en el que se mueve.

Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo
de las organizaciones actuales, los SIs y la arquitectura que los soportan desempeñan un
importante papel como uno de los soportes básicos para la gestión y el control del negocio,
siendo así uno de los requerimientos básicos de cualquier organización. Esto da lugar a los
Sis de una organización.

Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una
función de gestión de dichos sistemas, de los recursos que los manejan y de las inversiones
que se ponen a disposición de dichos recursos para que el funcionamiento y los resultados
sean los esperados. A esta función es lo que llamamos el Departamento de Sistemas de
Información
Finalmente, y en función de lo anterior, aunque no como algo no enteramente
aceptado aún, debe existir una función de control de la gestión de los sistemas y del
departamento de sistemas de información. A esta función la llamamos auditoría
informática.

El concepto de la función de auditoría informática, en algunos casos llamada

función de control informático y en los menos, llamada y conocida por ambos términos,
arranca en su corta historia, cuando en los años cincuenta las organizaciones empezaron a

32
desarrollar aplicaciones informáticas. En ese momento, la auditoría trataba con sistemas
manuales. Posteriormente, en función de que las organizaciones empezaron con sistemas
cada vez más complejos, se hizo necesario que parte del trabajo de auditoría empezara a
tratar con sistemas que utilizaban sistemas informáticos.

En ese momento, los equipos de auditoria, tanto externos como internos, empezaron
a ser mixtos, con involucración de auditores informáticos junto con auditores financieros.
En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunos
casos convergían:
• Trabajos en los que el equipo de auditoría informática trabajaba bajo un programa de
trabajo propio, aunque entroncando sus objetivos con los de la auditoría financiera; éste
era el caso de trabajos en los que se revisaban controles generales de la instalación y
controles específicos de las aplicaciones bajo conceptos de riesgo, pero siempre unido
al hecho de que el equipo de auditoría financiera utilizaría este trabajo para sus
conclusiones generales sobre el componente financiero determinado.
• Revisiones en las que la auditoría informática consistía en la extracción de información
para el equipo de auditoría financiera. En este caso el equipo o función de auditoría
interna era un exponente de la necesidad de las organizaciones y departamentos de
auditoría de utilizar expertos en informática para proveer al personal de dicho
departamento de información extraída del sistema informático cuando la información a
auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de cómo se
había creado.

Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que es
la función y de lo que son los objetivos de la auditoría informática.

Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que es
la función y de lo que son los objetivos de la auditoría informática.

Parece que la tendencia futura de la auditoría informática radicará en los siguientes

principios:
1. Todos los auditores tendrán que tener conocimientos informáticos que les permitan
trabajar en el cada vez más fluctuante entorno de las tecnologías de la información
dentro de las organizaciones empresariales, culturales y sociales.
2. Este aspecto no eliminará la necesidad de especialistas en auditoría informática, es más,
los especialistas necesitarán cada vez más unos conocimientos muy específicos que, de
la misma forma que a los especialistas en sistemas de información, les sirva para ser
expertos en las diferentes ramas de la tecnología informática: redes y comunicaciones,
bases de datos, seguridad, internet, comercio electrónico, etc.
3. El auditor informático dejará de ser un profesional procedente de otra área, para pasar a
ser un profesional formado y titulado en auditoría informática que tendrá a su alcance
diferentes medios de formación y, además, formar parte de una red de conocimientos
compartidos con otros profesionales, de su misma organización y de otras
organizaciones.

3.2 CLASES Y TIPOS DE AUDITORÍA INFORMÁTICA

33
 Hay cierta confusión sobre lo que es auditoría informática. Si preguntamos a diferentes personas, probablemente, nos darán
diferentes definiciones.
La siguiente lista es un resumen de las diferentes definiciones que nos podemos encontrar:

• Auditoría informática como soporte a la auditoría tradicional.

• Auditoría informática con el concepto anterior, añadiendo la función de auditoría de la
función de gestión del entorno informático.
• Auditoría informática como función independiente, enfocada hacia la obtención de la
situación actual de un entorno de información e informático en aspectos de seguridad y
riesgo, eficiencia y veracidad e integridad.
• Las acepciones anteriores desde un punto de vista interno y externo-
• Auditoría como función de control dentro de un departamento de sistemas.

3.3. FUNCIÓN DE AUDITORÍA INFORMÁTICA

3.3.1 Definición
Por lo dicho hasta ahora, está claro que la auditoría, revisión, diagnóstico y control
de los SIs deben ser realizados por personas con experiencia en las disciplinas, de
informática y auditoría Además, estas personas deben completar su formación con
conocimientos de gestión empresarial.
Para tratar de definir el perfil de un auditor informático, la definición más exacta,
quizás, es que es un profesional dedicado al análisis de sistemas de información
informatizados que está especializado en alguna de las múltiples ramas de la auditoría
informática, que tiene conocimientos generales de los ámbitos en los que ésta se mueve,
que tiene conocimientos empresariales generales, y que además:
• Posea las características necesarias para actuar como consultor con su auditado, dándole
ideas de cómo enfocar la construcción de los elementos de control y de gestión que le
sean propios.
• Que pueda actuar como consejero con la organización en la que está desarrollando su
labor. Un entorno informático bien controlado, puede ser un entorno ineficiente si no es
consistente con los objetivos de la organización.

El eterno problema que se ha suscitado durante mucho tiempo es si el auditor

informático, al no existir tal formación académica en nuestro país, tenía que ser un auditor
convertido en informático, o por el contrario un informático reciclado como auditor
informático. En las experiencias habidas, los éxitos y los fracasos se acumulaban por igual
en ambos orígenes. ¿ Qué hacer en estos casos? ¿Cuál debe ser el perfil correcto de un
auditor informático?.
En los dos siguientes apartados se esbozan unas directrices sobre los perfiles de los
auditores informáticos y las responsabilidades de la función de auditoría informática.

3.3.2. Perfiles profesionales de la función de Auditoría Informática

A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor
informático debe ser un persona con un alto grado de calificación técnica y al mismo
tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en
día.

34
 De esta forma, dentro de la función de auditoría informática, se deben contemplar
las siguientes características para mantener un perfil profesional adecuado y actualizado:
1. La persona o personas que integren esta función deben contemplar en su formación
básica una mezcla de conocimientos de auditoría financiera y de informática general.
Estos últimos deben contemplar conocimientos básicos en cuanto a:
• Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo.
• Gestión del departamento de sistemas.
• Análisis de riesgos en un entorno informático.
• Sistema operativo (este aspecto dependerá de varios factores, pero principalmente
de si va a trabajar en un entorno único -auditor interno- o, por el contrario, va a
tener posibilidades de trabajar en varios entornos como auditor externo).
• Telecomunicaciones.
• Gestión de bases de datos.
• Redes locales.
• Seguridad física.
• Operaciones y planificación informática; efectividad de las operaciones y del
rendimiento de los sistemas.
• Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de
planes de contingencia de la información.
• Gestión de problemas y de cambios en entornos informáticos.
• Administración de datos.
• Ofimática.
• Comercio electrónico.
• Encríptación de datos.

2. A estos conocimientos básicos se les deberá añadir una especialización en función de la

importancia económica que distintos componentes financieros puedan tener en un
entorno empresarial. Así, en un entorno financiero pueden tener mucha importancia las
comunicaciones, y será necesario que alguien dentro de la función de auditoría
informática tenga esta especialización, pero esto mismo puede no ser válido para un
entorno productivo en el que las transacciones EDI pueden ser más importantes.

3. Uno de los problemas que más han incidido en la escasa presencia de auditores
informáticos en nuestro país, es quizás la a veces escasa relación entre el trabajo de
auditoría informática y las conclusiones con el entorno empresarial donde se ubicaba la
entidad auditada. Esta sensación de que las normas van por sitios diferentes de por
donde va el negocio ha sido fruto muchas veces de la escasa comunicación entre el
auditado (objetivos empresariales) y el auditor (objetivos de control). Como quiera que
la cruda realidad nos está demostrando en la actualidad cada vez más la necesidad de
cada vez mayor control en los sistemas de información, se hace necesario para el
auditor informático conocer técnicas de gestión empresarial, y sobre todo de gestión del
cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la línea
de la búsqueda óptima de la mejor solución para los objetivos empresaríales que se
persiguen y con los recursos que se tienen.

35
4. El auditor informático debe tener siempre el concepto de Calidad Total (últimamente
también llamado Excelencia Empresarial). Como parte de un colectivo empresarial,
bien sea permanentemente como auditor interno o puntualmente como auditor externo,
el concepto de calidad total hará que sus conclusiones y trabajo sea reconocido como un
elemento valioso dentro de la organización y que los resultados sean aceptados en su
totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor
informático sea más reconocida de forma positiva por la organización.

3.3.3. Funciones a desarrollar por la función de Auditoría Informática

Se han suscitado múltiples controversias sobre las funciones a desarrollar en cuanto
al trabajo de Auditoría Informática que se debe realizar. ¿Cuál es el objetivo de
una Auditoría Informática? ¿Qué se debe revisar, analizar o diagnosticar?

¿Puede la función de Auditoría Informática aportar sólo lo que le piden o debe

formar parte de un ente organizativo total, lo que le exige una actitud de contribución total
al entorno empresarial en el que está realizando su trabajo? En definitiva, los aspectos que
debe revisar el auditor informático son: la seguridad, el control interno, la efectividad, la
gestión del cambio y la integridad de la información.

Si analizamos la realidad más actual, diremos que la función Auditoría Informática

debe mantener en la medida de lo posible los objetivos de revisión que le demande la
organización, pero como esto es muy general, vamos a precisar algo más lo que sería un
entorno ideal que tiene que ser auditado.
Supongamos una organización que produce componentes tecnológicos de audio y vídeo, tanto en
formato primario como en producto semiterminado y terminado. Esta organización mantiene sus
programas y resultados de investigación bajo control informático. Además tiene las características
propias de cualquier empresa productora y comercial en cuanto a sistemas de información. Mantiene
en INTERNET un sistema de información de sus productos con la posibilidad de que usuarios de la
Red puedan hacer consultas sobre diferentes características de los productos. Gasta anualmente un
uno por ciento de su facturación en sus sistemas de información y un diez por ciento en
investigación.
¿Cuáles serían los objetivos de revisión de la Auditoría Informática en este ejemplo? Desde luego
parece que la Auditoría Informática debería enfocarse hacia aspectos de seguridad, de comercio
electrónico y de control interno en general, añadiendo en función de lo expuesto en cuanto al gasto
anual que debería realizarse una revisión de la efectividad del departamento.
Esto nos indica que solamente con un ejemplo simple vemos que la Auditoría
Informática abarca campos de revisión más allá de los que tradicionalmente se han
mantenido; esto es, la revisión del control interno informático de los servicios centrales y
de las aplicaciones.

El mundo complejo de las empresas en el que nos movemos, con industrias

emergentes y con una tendencia globalizadora en los negocios, hace muy necesario que los
sistemas de control interno sean lo más efectivos posibles, pero también conceptos más
amplios, como el riesgo de la información, la continuidad de las operaciones, la gestión del
centro de información o la efectividad y actualización de las inversiones realizadas son
necesarias para poder mantener el nivel competitivo que el mundo empresarial demanda a
sus sistemas de información.

36
 Es así que entonces la función de Auditoría Informática debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales se enumeran a continuación:
• Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos.
• Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo
de seguridad, de gestión y de efectividad de la gestión-
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos,
están empezando ya a desarrollarla los auditores financieros.
• Auditoría del riesgo operativo de los circuitos de información.
• Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con
los auditores financieros)-
• Análisis del Estado del Arte tecnológico de la instalación revisada y de las
consecuencias empresariales que un desfase tecnológico pueda acarrear.
• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organización.

3.4. ORGANIZACION DE LA FUNCION DE AUDITORIA

INFORMÁTICA
Según lo que hemos comentado hasta ahora, la función de auditoría informática
ha pasado de ser una función meramente de ayuda al auditor financiero a ser una función
que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia
que para las organizaciones tienen los sistemas informáticos y de información que son su
objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente
empresarial, en el que va a ser analista, auditor y asesor en materias de:
• Seguridad.
• Control interno operativo.
• Eficiencia y eficacia
• Tecnología informática.
• Continuidad de operaciones.
• Gestión de riesgos
no solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e
implicaciones operativas que dichos sistemas tienen en el contexto empresarial.

Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de la

empresa? Está claro que en este caso estamos hablando de una función interna de auditoría
informática.

La concepción típica en las empresas españolas hasta ahora, es la de que la función

de auditoría informática está entroncada dentro de lo que es la función de auditoría interna
con rango de subdepartamento. Esta concepción se basa en el nacimiento histórico de la
auditoría informática y en la dificultad de separar el elemento informático de lo que es la

37
auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de
los sistemas de información que los soportan.

La organización tipo de la auditoría informática, debe contemplar los siguientes

principios:
• Su localización puede estar ligada a la localización de la auditoría interna operativa y
financiera, pero con independencia de objetivos (aunque haya una coordinación lógica
entre ambos departamentos), de planes de formación y de presupuestos.
• La organización operativa tipo debe ser la de un grupo independiente del de auditoría
interna, con una accesibilidad total a los sistemas informáticos y de información, e
idealmente dependiendo de la misma persona en la empresa que la auditoría interna,
que debería ser el director general o consejero delegado. Cualquier otra dependencia
puede dar al traste con la imagen del auditor informático y consecuentemente con la
aceptación de su trabajo y de sus conclusiones.
• La dependencia, en todo caso, debe ser del máximo responsable operativo de la
organización, nunca del departamento de organización o del de sistemas (abundan los
casos en que esta dependencia existe), ni del departamento financiero/ administrativo.
• La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a
cabo por personal que haya o esté trabajando en auditoría informática.
• Los recursos humanos con los que debe contar el departamento deben contemplar una
mezcla equilibrada entre personas con formación en auditoría y organización y personas
con perfil informático. No obstante, este perfil genérico debe ser tratado con un amplio
programa de formación en donde se especifiquen no sólo los objetivos de la función,
sino también de la persona.
• Este personal debe contemplar entre su titulación la certificación CISA como un
elemento básico para comenzar su carrera como auditor informático.
• La organización interna tipo de la función podría ser:
• Jefe del departamento.
Desarrolla el plan operativo del departamento, las descripciones de los puestos de
trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos
de gestión del cambio en su función y los programas de formación individualizados, así
como gestiona los programas de trabajo y los trabajos en sí, los cambios en los métodos
de trabajo y evalúa la capacidad de las personas a su cargo.
• Gerente o supervisor de auditoría informática.
Trabaja estrechamente con el Jefe del departamento en la tareas operativas diarias.
Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de
trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los
que es responsable. Realiza la formación sobre el trabajo. Es responsable junto con su
jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los
conceptos de valor añadido y gestión del cambio dentro de su trabajo. Es el que mas
"vende" la función con el auditado.
• Auditor informático.

38
 Son responsables para la ejecución directa del trabajo, Deben tener una especialización
genérica, pero también una especifica. Su trabajo consistirá en la obtención de
información, realización de pruebas, documentación del trabajo, evaluación y
diagnóstico de resultados.

• El tamaño sólo se puede precisar en función de los objetivos de la función; para una
organización tipo, el abanico de responsabilidades debería cubrir:
• Especialista en el entorno informático a auditar y en gestión de bases de datos.
• Especialista en comunicaciones y/o redes.
• Responsable de gestión de riesgo operativo y aplicaciones.
• Responsable de la auditoría de sistemas de información, tanto en explotación como
en desarrollo.
• En su caso, especialista para la elaboración de programas de trabajo conjuntos con
la Auditoría Financiera.

39