Marzo 2015 Artículo Técnico de la Comisión de Contabilidad y Auditoría Gubernamental Núm.

29

Auditoría de Tecnologías de la Información

C.P. y P.C.C.A. Roberto Enrique Farías Subías

 I. Introducción

El uso de sistemas informáticos en las entidades que conforman la Administración

Pública Federal se ha convertido en una necesidad imperiosa, debido a lo complejo de
las operaciones que desarrollan como parte de su aplicación. Una parte medular de estas
operaciones es la que consiste en un registro simultáneo contable y presupuestal, con la
finalidad de que dichas operaciones en el sistema consideren, por lo menos, los
siguientes aspectos:

 Reflejen la aplicación de los principios; las normas contables generales y

específicas, e instrumentos que establece la Ley General de Contabilidad
Gubernamental.

 Facilite el reconocimiento de las operaciones de ingresos, gastos, activos, pasivos

y patrimoniales de los entes públicos.

 Integre en forma automática el ejercicio presupuestario con la operación contable.

 Permita que los registros se efectúen considerando la base acumulativa para la

integración de la información presupuestaria y contable.

 Refleje un registro congruente y ordenado de cada operación que genere derechos

y obligaciones derivados de la gestión económica financiera de los entes públicos.

 Genere, en tiempo real, estados financieros, de ejecución presupuestaria y otra

información que coadyuve a la toma de decisiones, a la transparencia, a la
programación con base en resultados, a la evaluación y a la rendición de cuentas.

 Facilite el registro y control de los inventarios de los bienes muebles e inmuebles

de los entes públicos.

Para ello, los sistemas informáticos de las entidades gubernamentales deben diseñarse
y operarse de manera que faciliten el registro y la fiscalización de los activos, pasivos,
ingresos, costos y gastos; y contribuyan a medir los avances en la ejecución de
programas y proyectos.

Artículo Técnico Comisión de Contabilidad y Auditoría Gubernamental – Marzo de 2015

2
 Es indispensable que como parte de las auditorías a los estados financieros de las
entidades gubernamentales nos permitan verificar la existencia de los controles relativos
al procesamiento electrónico de datos, con el fin de cumplir con las Normas Profesionales
de Auditoría que establecen llevar a cabo una evaluación de los sistemas informáticos.

El objetivo de la Auditoría de sistemas informáticos es evaluar la eficiencia y eficacia con

que se está operando para que se tomen decisiones que permitan corregir los errores,
en caso de que existan, o bien mejorar la forma de actuación.

Objetivos generales de la Auditoría de TI:

 Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.

 Seguridad del personal, datos, hardware, software y las instalaciones.

 Minimizar existencias de riesgos en el uso de Tecnología de Información

 Conocer la situación actual del área informática para lograr los objetivos.

 Apoyo de función informática a las metas y objetivos de la entidad.

 Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente

informático.

 Incrementar la satisfacción de los usuarios de los sistemas informáticos.

 Capacitación y educación sobre controles en los Sistemas de Información.

 Buscar una mejor relación costo-beneficio de los sistemas automáticos.

 Decisiones de inversión presupuestal y gastos innecesarios.

II. Auditoría de TI

Actualmente, la tecnología forma parte integral en la gestión de la empresa, por eso las
normas y estándares propiamente informáticos deben estar sometidos a los generales
de la misma. Por lo tanto, debido a su importancia en el funcionamiento de una empresa

Artículo Técnico Comisión de Contabilidad y Auditoría Gubernamental – Marzo de 2015

3
 existe la Auditoría de TI. La auditoría de TI es un examen crítico que se realiza con el fin
de evaluar la eficacia y eficiencia de una Entidad Gubernamental.

Los principales objetivos que constituyen a la auditoría de TI son:

 El control de la función informática.

 El análisis de la eficacia del Sistema Informático

 La verificación de la implantación de la Normativa.

 La revisión de la gestión de los recursos informáticos.

III. Control Interno

Control Interno Informático es una herramienta enfocada a la adecuada gestión de los

Sistemas de la Información Gubernamental.

Muchos de los problemas informáticos se originan dentro de las mismas Entidades.

Por ello es cada vez más necesario un completo análisis del tráfico de:

 Los correos electrónicos del Gobierno Corporativo de las Entidades

Gubernamentales.

 Las páginas web que se visitan desde los ordenadores de las Entidades
Gubernamentales.

IV. Seguridad informática

La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten

asegurar la información contenida en un sistema computacional.

Áreas que cubre la seguridad informática:

 Políticas de Seguridad.

Artículo Técnico Comisión de Contabilidad y Auditoría Gubernamental – Marzo de 2015

4
  Seguridad Física.

 Autentificación.

 Integridad.

 Confidencialidad.

 Control de Acceso.

 Auditoría.

V. Políticas de seguridad

Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que
una entidad gubernamental previene, protege y maneja los riesgos de diferentes daños.

Objetivos de las políticas de seguridad: informar con el mayor nivel de detalle a los
usuarios, empleados y gerentes, las normas y los mecanismos que deben cumplir y
utilizar para proteger los componentes de los sistemas de la organización.

Componentes de una política de seguridad:

 Una política de privacidad.

 Una política de acceso.

 Una política de autenticación.

 Una política de contabilidad.

 Una política de mantenimiento para la red.

Artículo Técnico Comisión de Contabilidad y Auditoría Gubernamental – Marzo de 2015

5
 VI. Seguridad de la información

Sus puntos principales tienen por objetivo identificar los riesgos internos y externos de
toda la infraestructura informática; así como elaborar medidas de protección, disminución
o eliminación de dichos riesgos, y el establecimiento de medidas de recuperación, en
caso de que los riesgos se concreten.

VII. Conclusión

Una evaluación obligatoria de los sistemas informáticos durante el desarrollo de la

auditoría a las entidades gubernamentales nos permite otorgarle un grado de confianza
al sistema de control interno que está operando, de conformidad con las disposiciones
de la NIA 315 y de las Norma de Control Interno aplicables a las Entidades de la
Administración Pública Federal publicadas en el Diario Oficial de la Federación el 12 de
julio de 2010. Los resultados alcanzados con nuestra evaluación nos permitirán otorgarle
a las entidades gubernamentales, para efectos de nuestra revisión, un mayor o menor
grado de confianza sobre las operaciones registradas por las entidades, así como evaluar
el grado de cumplimiento con las disposiciones normativas establecidas en la Ley
General de Contabilidad Gubernamental apoyadas en los sistemas informáticos que
están operando.

Artículo Técnico Comisión de Contabilidad y Auditoría Gubernamental – Marzo de 2015

6
 VIII. Fuentes de consulta

 NIA 315: Identificación y valoración de los riesgos de incorrección material

mediante el conocimiento de la entidad y su entorno (párrafos A61, A62 y A63).

 DOF: 12 de julio de 2010, “Acuerdo por el que se emiten las Disposiciones en

Materia de Control Interno y se expide el Manual Administrativo de Aplicación
General en Materia de Control Interno”, Capítulo III: “Uso de Tecnologías de la
Información y Comunicaciones”.

 Marco de referencia COBIT para objetivos de control de Tecnologías de la

Información.

Artículo Técnico Comisión de Contabilidad y Auditoría Gubernamental – Marzo de 2015

7