View
223
Download
0
Embed Size (px)
Citation preview
8/7/2019 aui1
1/11
1
CAPITULO I
I. CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA
Introduccin
El concepto de auditoria informtica ha estado siempre ligado al de auditora en general y
al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de
contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan elnacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones
(Dale Flesher, 50 Yeras of progress). Hago este referencia histrica a fin de explicar la evolucin
de la corta pero intensa historia de la auditora informtica, y para que posteriormente nos sirvade referencia al objeto de entender las diferentes tendencias que existen en la actualidad.
Se analizamos el nacimiento y la existencia de la auditora informtica desde un punto devista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el
que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo de
las organizaciones actuales, los sistemas de informacin y la arquitectura que los soportadesempean un importante papel como uno de los soportes bsicos para la gestin y el control del
negocio, siendo as unos de los requerimientos bsicos de cualquier organizacin. Esto da lugar alos sistemas de informacin de una organizacin.
La auditoria se desarrolla con base a normas, procedimientos y tcnicas definidasformalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se
expondrn algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los
libros listados en la bibliografa, as como la participacin directa y activa en los institutos o
asociaciones relacionados con el campo de la especialidad.
Por lo anterior, en este capitulo se incluyen lecturas que analizan en diferentes tipos deauditora, as como lo expuesto por Mario Piattini y Emilio del Peso en su obra AuditoraInformtica: un enfoque practico en lo relativo a la auditora informtica y su alcance.
I.1 Concepto de auditora
Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha considerado
como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado aacuar la frase "tiene auditora" como sinnimo de que, desde antes de realizarse, ya se
encontraron fallas y por lo tanto se est haciendo la auditora. El concepto de auditora es ms
amplio: no slo detecta errores, sino que es un examen crtico que se realiza con objeto de
evaluar la eficiencia y eficacia de una seccin o de un organismo.
La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene lavirtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la
virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de
evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de
cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso deque existan, o bien mejorar la forma de actuacin.
8/7/2019 aui1
2/11
8/7/2019 aui1
3/11
8/7/2019 aui1
4/11
4
Control interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la
estructura Informtica ya no sera independiente. Hoy, ya existen varias organizacionesInformticas dentro de la misma empresa, y con diverso grado de autonoma, que son
coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:
o Necesidad de auditar una materia de gran especializacin, para la cual los serviciospropios no estn suficientemente capacitados.
o Contrastar algn Informe interno con el que resulte del externo. en aquellos supuestosde emisin interna de graves recomendaciones que chocan con la opinin generalizadade la propia empresa.
o Servir como mecanismo protector de posibles auditoras informticas externasdecretadas por la misma empresa.
o Aunque la auditora interna sea independiente del Departamento de Sistemas, siguesiendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras
externas como para tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la
empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o ainstancias de parte, esto es, por encargo de la direccin o cliente.
De acuerdo al objetivo de la auditora, tenemos:
Auditora de cumplimiento:
Es la comprobacin o examen de operaciones financieras, administrativas, econmicas yde otra ndoIe de una entidad para establecer que se han realizado conforme a las normas legales,
reglamentarias, estatuarias y de procedimientos que le son aplicables.
Esta auditora se practica mediante la revisin de documentos que soportan legal, tcnica,financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las
medidas de control interno estn de acuerdo con las normas que le son aplicables y si dichos
procedimientos estn operando de manera efectiva y son adecuados para et logro de los objetivosde la entidad.
Auditora operativa:
Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las
operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en particular,sus unidades integrantes u operacionales especficas. Su propsito es determinar los grados de
efectividad, economa y eficiencia alcanzados por la organizacin y formular recomendacionespara mejorar las operaciones evaluadas. Relacionada bsicamente con los objetivos de eficacia,
eficiencia y economa.
Auditora informtica de sistemas:
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus
facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las
comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por separado,
8/7/2019 aui1
5/11
5
aunque formen parte del entorno general de sistemas. Su finalidad es el examen y anlisis de los
procedimientos administrativos y de los sistemas de control interno de la compaa auditada. Alfinalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos dbiles que
hayan podido detectar, as como las recomendaciones sobre los cambios convenientes a
introducir, en su opinin, en la organizacin de la compaa. Normalmente, las empresasfuncionan con polticas generales, pero hay procedimientos y mtodos, que son trminos ms
operativos. Los procedimientos son tambin sistemas; si estn bien hechos, la empresa funcionar
mejor. La auditora de sistemas analiza todos los procedimientos y mtodos de la empresa con la
intencin de mejorar su eficacia.
Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe
verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones delfabricante, indagando las causas de las omisiones. El anlisis de las versiones de los Sistemas
Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software
Bsicos adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse losparmetros variables de las libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
Software Bsico es fundamental para el auditor conocer los productos de software bsico
que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por
razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por
el cliente. En cuanto al software desarrollado por el personal informtico de la empresa, el auditordebe verificar que este no agreda ni condicione al Sistema Igualmente, debe considerar el
esfuerzo en trminos de costes, por si hubiera alternativas ms econmicas.
Auditora a los planes de desarrollo empresarial:
La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursosde las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la defensiva,
reaccionando a las circunstancias y eventualidades, haga que las circunstancias y eventualidades
se ajusten a su voluntad mediante el establecimiento de un buen plan que le permita prever todos
los posibles factores y elementos que pudieran incidir en las acciones, fijarse objetivos quedeseen alcanzar, establecer las polticas que deban normar las operaciones y reglamentndolas en
sistemas, mtodos y procedimiento, que allanen el camino para el buen logro de esos objetivos,
colocndolo a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez deestar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayora de los casos
son desagradables. La auditora, al igual que cualquier otra actividad, requiere de una buena
planeacin, que le permita desarrollarse eficientemente y oportunamente.
Auditora administrativa:
Es el revisar y evaluar Si los mtodos, sistemas y procedimientos que se siguen en todas
las fases del proceso administrativo aseguran el cumplimiento con polticas, planes, programas,leyes y reglamentaciones que puedan tener un impacto significativo en operacin de los reportes
y asegurar que la organizacin los este cumpliendo y respetando. Es el examen metdico yordenado de los objetivos de una empresa de su estructura orgnica y de la utilizacin del
elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de
que proporciona a los directivos de una organizacin un panorama sobre la forma como estasiendo administrada por los diferentes niveles jerrquicos y operativos, sealando aciertos y
desviaciones de aquellas reas cuyos problemas administrativos detectados exigen una mayor o
pronta atencin.
8/7/2019 aui1
6/11
6
Auditora financiera:
Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a
conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posibleIIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor hace su
trabajo posterior a las operaciones de la empresa.
La Auditora Financiera es la ms conocida de todas, pues es la requerida por lasempresas y es la que ha presentado el mximo desarrollo.
Auditora de gestin:
La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere deigualo mayor importancia que esta ltima, pues sus efectos tienen consecuencias que mejoran en
forma apreciable el desempeo de la organizacin. La denominacin auditora de gestin funde
en una, dos clasificaciones que tradicionalmente se tenan: auditora administrativa y auditoraoperacional.
Auditora de gestin de ambiental:
La creciente necesidad de controlar el impacto ambiental que generan las actividades
humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento de la
sensibilizacin respecto al medio ambiente. Debido a esto, las simples actuaciones para asegurarel cumplimiento legislativo han dado paso a sistemas de gestin medioambiental que permiten
estructurar e integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza
la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo momentotodos los factores de contaminacin que generan las actividades de la empresa, y por este motivo
ser necesario que dentro del equipo humano se disponga de personas cualificadas para evaluar el
posible impacto que se derive de los vectores ambientales. Establecer una forma sistemtica de
realizar esta evaluacin es una herramienta bsica para que las conclusiones de las mismasaporten mejoras al sistema de gestin establecido.
La aplicacin permanente del concepto mejora continua es un referente que en el campomedioambiental tiene una incidencia prctica constante, y por este motivo la revisin de todos los
aspectos relacionados con la minimizacin del impacto ambiental tiene que ser una accin
realizadas sin interrupcin.
Auditora de gestin y resultados:
Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la
eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros ytcnicos utilizados, la organizacin y coordinacin de dichos recursos y los controles establecidos
sobre dicha gestin. Es una herramienta de apoyo efectivo a la gestin empresarial, donde sepuede conocer las variables y los distintos tipos de control que se deben producir en la empresa y
que estn en condiciones de reconocer y valorar su Importancia como elemento que repercute en
la competitividad de la misma. Se tiene en cuenta la descripcin y anlisis del control estratgico,el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o ejecucin y
un anlisis del control como factor clave de competitividad.
8/7/2019 aui1
7/11
7
La auditora integral se ha desarrollado en los pases industrializados, especialmente en el
Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En s la auditoraintegral no es ms que la integracin de la auditora financiera con la auditora de gestin y la
auditora de cumplimiento.
La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin, venia
ejecutando la Contralora General de la Repblica, y que consista en el simple control numrico
legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Tcnico de la
Contadura Pblica en su pronunciamiento No. 7 define as la Auditora de Cumplimiento:
La auditora de cumplimiento consiste en la comprobacin o examen de las operaciones
financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que sehan realizado conforme a las normas legales, estatutarias y de procedimientos que le son
aplicables.
La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre
tres grandes sistemas de informacin de la organizacin: sistema de informacin financiera,
sistema de informacin de gestin y sistema de informacin legal. El concepto de auditoraintegral realmente no es nuevo en nuestro pas y por el contrario es si se quiere el ms antiguo,
pues si se considera la figura de la institucin de la Revisarla Fiscal, sta cumple con los
requerimientos de una auditora integral, pues en esencia el Revisor Fiscal debe examinar los tres
grandes sistemas objeto de examen por esta ltima.
Por lo dicho anteriormente se podra construir el siguiente concepto de auditora integral:
Auditora integral:
Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero, degestin y legal de una organizacin, realizado con independencia y utilizando tcnicas
especificas, con el propsito de emitir un informe profesional sobre la razonabilidad de la
informacin financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el
apego de las operaciones econmicas a las normas contables, administrativas y legales que le sonaplicables, para la toma de decisiones que permitan la mejora de la productividad de la misma.
I.3 Auditora en informtica
Fuente: Piattini, Mario G y del peso, Emilio 2000.Auditoria Informtica: un enfoque practico computec RAMA. Madrid, Espaa.
Auditora en informtica
Concepto de auditora en informtica.
La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicasdefinidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms se
sealarn algunos aspectos bsicos para su entendimiento.
As, la auditora en informtica es:
A) Un proceso formal ejecutado por especialistas del rea de auditora y de informtica;se orienta a la verificacin y aseguramiento de las polticas y procedimientos
8/7/2019 aui1
8/11
8
establecidos para el manejo y uso adecuado de la tecnologa de informtica en la
organizacin se lleve a cabo de una manera oportuna y eficiente.B) Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora
encaminadas a evaluar el grado de cumplimiento de polticas, controles y
procedimientos correspondientes al uso de los recursos de informtica por el personalde la empresa (usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser
la pauta para la entrega del informe de auditora en informtica, el cual ha de contener
las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y la
optimizacin permanente de la tecnologa de informtica en el negocio.C) El conjunto de acciones" que realiza el personal especializado en las reas de auditora
y de informtica para el aseguramiento continuo de que todos los recursos de
informtica operen en un ambiente de seguridad y control eficientes, con la finalidadde proporcionar a la alta direccin o niveles ejecutivos la certeza de que la
informacin que pasa por el rea se manejan con los conceptos bsicos de integridad,
totalidad, exactitud, confiabilidad, etc.D) Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos
(humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de
informtica para garantizar al negocio que dicho conjunto opera con un criterio deintegracin y desempeos de niveles altamente satisfactorios para que apoyen la
productividad y rentabilidad de la organizacin.(Hernndez, 1997).
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias paradeterminar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.
De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivostradicionales de la auditoria:
Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino
tambin los de eficacia y eficiencia.
El auditor evala y comprueba en determinados momentos del tiempo los controles y
procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas deauditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar
manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo
que se deber emplear software de auditoria y otras tcnicas asistidas por ordenador.
El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el
diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacinsuministrada.
Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:
Participar en las revisiones durante y despus del diseo, realizacin, implantacin yexplotacin de las aplicaciones informticas, as como en las fases anlogas de
realizacin de cambios importantes.
Revisar y juzgar los controles implantados en los sistemas informticos para verificarsu adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales,proteccin de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos einformacin.
8/7/2019 aui1
9/11
9
Fuente: http://www4.ujaen.es/-fmta/temasaudi/quinto.doc
Auditora informtica:
Es un examen metdico del servicio informtico, o de un sistema informtico enparticular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la
intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio
informtico.
En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y
"objetivo":
La auditora informtica es un examen, pues se verifica o comprueba el sistemainformtico actualmente en uso.
Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado,que permite llegar a conclusiones suficientemente fundamentadas. Este examen espuntual, ya que se realiza en un momento determinado y bajo peticin de la direccin.
Este examen es objetivo, ya que se realiza por un equipo externo al servicio deinformtica para buscar la objetividad requerida.
El servicio de auditora cubre una serie de actividades (controles, verificaciones, pruebas,
etc.) para concluir elaborando un conjunto de recomendaciones y un plan de accin.
La elaboracin de este plan de accin es una de las caractersticas que verdaderamente
diferencia la auditora informtica del resto de tipos de auditoras.
Objetivos de la auditora informtica.
La definicin de los objetivos de la auditora informtica es un tema difcil y complejo.
No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en elestablecimiento de las funciones que debe desarrollar un auditor informtico.
Para precisar esta situacin sera necesario:
Definir el campo de actuacin del auditor informtico. Definir los objetivos de la auditora informtica.Para el campo de actuacin del auditor, seria preciso reflexionar sobre los siguientes
aspectos:
Organizacin en la que se desenvolver el auditor.
Estructura. Tipo de actividad de la empresa. Departamento de informtica objeto de la auditora. Grado de sofisticacin. Tamao. Recursos del departamento Relaciones con la auditora financiera. las propias limitaciones tcnicas del auditor.
8/7/2019 aui1
10/11
10
De un modo general los objetivos de la auditora informtica podran ser:
Elaborar un informe sobre los aspectos que afecten al alcance de una auditora ysealar riesgos de errores o fraudes de un sistema informtico.
Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de los datosy a las informaciones tratadas.
Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad fsica y lgica. Evaluar la dependencia de una organizacin respecto a sus sistemas informticos,
revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan
asegurar la continuidad de las actividades normales.
Emisin de informes con la evaluacin independiente de los sistemas informticos.sintetizando riesgos, deficiencias, sugerencias y recomendaciones.
Anlisis de la calidad y eficacia del servicio de atencin a los usuarios. Participacin yseguimiento de proyectos de investigacin.
Bibliografa Capitulo I
Gonzlez, Gonzalo. "Informtica 11 Coleccin Ciencia Educativa". Nueva Imagen.
Hernndez, Enrique. 1997. "Auditoria Informtica: Un Enfoque Metodolgico y Practico.
Continental. Mxico.
IMCP (Instituto Mexicano de Contadores Pblicos A. C.).2000 "Normas y Procedimientos de
Auditoria".
Kell, Walter y Ziegler, Richard. "Auditoria Moderna" Continental.
Piattini, Mario G. y Del Peso, Emilio. 1998. "Auditoria Informtica: Un Enfoque Prctico".Computec RAMA. Madrid, Espaa.
Zamarrita, Eduardo. "Sistemas Tutoriales de Auditora". Prentice Hall.
CAIB. 21/01/2002. Auditora Informtica.
http://dmi.uib.es/bbuades/auditoria/index.htm
http://html.rincondelvago.com/auditoria 7.html
http://Ienguaies-de-programacion.com/concepto-de-lnformatica.shtml
http://members.fortunecity.es/robertexto/archivo1/auditoria.htm
http://members.tripod.com/Guillerrno Cuellar M/financiera.html
http://members.tripod.com/Guillerrno Cuellar M /gestion.html
http://members.tripod.com/Guillerrno Cuellar M M/intearal.html
8/7/2019 aui1
11/11