8/7/2019 aui1

1/11

1

CAPITULO I

I. CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA

Introduccin

El concepto de auditoria informtica ha estado siempre ligado al de auditora en general y

al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de

contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan elnacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones

(Dale Flesher, 50 Yeras of progress). Hago este referencia histrica a fin de explicar la evolucin

de la corta pero intensa historia de la auditora informtica, y para que posteriormente nos sirvade referencia al objeto de entender las diferentes tendencias que existen en la actualidad.

Se analizamos el nacimiento y la existencia de la auditora informtica desde un punto devista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el

que se mueve.

Empezaremos diciendo que tanto dentro del contexto estratgico como del operativo de

las organizaciones actuales, los sistemas de informacin y la arquitectura que los soportadesempean un importante papel como uno de los soportes bsicos para la gestin y el control del

negocio, siendo as unos de los requerimientos bsicos de cualquier organizacin. Esto da lugar alos sistemas de informacin de una organizacin.

La auditoria se desarrolla con base a normas, procedimientos y tcnicas definidasformalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se

expondrn algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los

libros listados en la bibliografa, as como la participacin directa y activa en los institutos o

asociaciones relacionados con el campo de la especialidad.

Por lo anterior, en este capitulo se incluyen lecturas que analizan en diferentes tipos deauditora, as como lo expuesto por Mario Piattini y Emilio del Peso en su obra AuditoraInformtica: un enfoque practico en lo relativo a la auditora informtica y su alcance.

I.1 Concepto de auditora

Con frecuencia la palabra auditora se ha empleado incorrectamente y se ha considerado

como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado aacuar la frase "tiene auditora" como sinnimo de que, desde antes de realizarse, ya se

encontraron fallas y por lo tanto se est haciendo la auditora. El concepto de auditora es ms

amplio: no slo detecta errores, sino que es un examen crtico que se realiza con objeto de

evaluar la eficiencia y eficacia de una seccin o de un organismo.

La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene lavirtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la

virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de

evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de

cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso deque existan, o bien mejorar la forma de actuacin.

8/7/2019 aui1

2/11

8/7/2019 aui1

3/11

8/7/2019 aui1

4/11

4

Control interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la

estructura Informtica ya no sera independiente. Hoy, ya existen varias organizacionesInformticas dentro de la misma empresa, y con diverso grado de autonoma, que son

coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.

Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones

contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

o Necesidad de auditar una materia de gran especializacin, para la cual los serviciospropios no estn suficientemente capacitados.

o Contrastar algn Informe interno con el que resulte del externo. en aquellos supuestosde emisin interna de graves recomendaciones que chocan con la opinin generalizadade la propia empresa.

o Servir como mecanismo protector de posibles auditoras informticas externasdecretadas por la misma empresa.

o Aunque la auditora interna sea independiente del Departamento de Sistemas, siguesiendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras

externas como para tener una visin desde afuera de la empresa.

La auditora informtica, tanto externa como interna, debe ser una actividad exenta de

cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la

empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o ainstancias de parte, esto es, por encargo de la direccin o cliente.

De acuerdo al objetivo de la auditora, tenemos:

Auditora de cumplimiento:

Es la comprobacin o examen de operaciones financieras, administrativas, econmicas yde otra ndoIe de una entidad para establecer que se han realizado conforme a las normas legales,

reglamentarias, estatuarias y de procedimientos que le son aplicables.

Esta auditora se practica mediante la revisin de documentos que soportan legal, tcnica,financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las

medidas de control interno estn de acuerdo con las normas que le son aplicables y si dichos

procedimientos estn operando de manera efectiva y son adecuados para et logro de los objetivosde la entidad.

Auditora operativa:

Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las

operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en particular,sus unidades integrantes u operacionales especficas. Su propsito es determinar los grados de

efectividad, economa y eficiencia alcanzados por la organizacin y formular recomendacionespara mejorar las operaciones evaluadas. Relacionada bsicamente con los objetivos de eficacia,

eficiencia y economa.

Auditora informtica de sistemas:

Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus

facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las

comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por separado,

8/7/2019 aui1

5/11

5

aunque formen parte del entorno general de sistemas. Su finalidad es el examen y anlisis de los

procedimientos administrativos y de los sistemas de control interno de la compaa auditada. Alfinalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos dbiles que

hayan podido detectar, as como las recomendaciones sobre los cambios convenientes a

introducir, en su opinin, en la organizacin de la compaa. Normalmente, las empresasfuncionan con polticas generales, pero hay procedimientos y mtodos, que son trminos ms

operativos. Los procedimientos son tambin sistemas; si estn bien hechos, la empresa funcionar

mejor. La auditora de sistemas analiza todos los procedimientos y mtodos de la empresa con la

intencin de mejorar su eficacia.

Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe

verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones delfabricante, indagando las causas de las omisiones. El anlisis de las versiones de los Sistemas

Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software

Bsicos adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse losparmetros variables de las libreras ms importantes de los Sistemas, por si difieren de los

valores habituales aconsejados por el constructor.

Software Bsico es fundamental para el auditor conocer los productos de software bsico

que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por

razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por

el cliente. En cuanto al software desarrollado por el personal informtico de la empresa, el auditordebe verificar que este no agreda ni condicione al Sistema Igualmente, debe considerar el

esfuerzo en trminos de costes, por si hubiera alternativas ms econmicas.

Auditora a los planes de desarrollo empresarial:

La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursosde las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la defensiva,

reaccionando a las circunstancias y eventualidades, haga que las circunstancias y eventualidades

se ajusten a su voluntad mediante el establecimiento de un buen plan que le permita prever todos

los posibles factores y elementos que pudieran incidir en las acciones, fijarse objetivos quedeseen alcanzar, establecer las polticas que deban normar las operaciones y reglamentndolas en

sistemas, mtodos y procedimiento, que allanen el camino para el buen logro de esos objetivos,

colocndolo a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez deestar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayora de los casos

son desagradables. La auditora, al igual que cualquier otra actividad, requiere de una buena

planeacin, que le permita desarrollarse eficientemente y oportunamente.

Auditora administrativa:

Es el revisar y evaluar Si los mtodos, sistemas y procedimientos que se siguen en todas

las fases del proceso administrativo aseguran el cumplimiento con polticas, planes, programas,leyes y reglamentaciones que puedan tener un impacto significativo en operacin de los reportes

y asegurar que la organizacin los este cumpliendo y respetando. Es el examen metdico yordenado de los objetivos de una empresa de su estructura orgnica y de la utilizacin del

elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de

que proporciona a los directivos de una organizacin un panorama sobre la forma como estasiendo administrada por los diferentes niveles jerrquicos y operativos, sealando aciertos y

desviaciones de aquellas reas cuyos problemas administrativos detectados exigen una mayor o

pronta atencin.

8/7/2019 aui1

6/11

6

Auditora financiera:

Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a

conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posibleIIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor hace su

trabajo posterior a las operaciones de la empresa.

La Auditora Financiera es la ms conocida de todas, pues es la requerida por lasempresas y es la que ha presentado el mximo desarrollo.

Auditora de gestin:

La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere deigualo mayor importancia que esta ltima, pues sus efectos tienen consecuencias que mejoran en

forma apreciable el desempeo de la organizacin. La denominacin auditora de gestin funde

en una, dos clasificaciones que tradicionalmente se tenan: auditora administrativa y auditoraoperacional.

Auditora de gestin de ambiental:

La creciente necesidad de controlar el impacto ambiental que generan las actividades

humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento de la

sensibilizacin respecto al medio ambiente. Debido a esto, las simples actuaciones para asegurarel cumplimiento legislativo han dado paso a sistemas de gestin medioambiental que permiten

estructurar e integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza

la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo momentotodos los factores de contaminacin que generan las actividades de la empresa, y por este motivo

ser necesario que dentro del equipo humano se disponga de personas cualificadas para evaluar el

posible impacto que se derive de los vectores ambientales. Establecer una forma sistemtica de

realizar esta evaluacin es una herramienta bsica para que las conclusiones de las mismasaporten mejoras al sistema de gestin establecido.

La aplicacin permanente del concepto mejora continua es un referente que en el campomedioambiental tiene una incidencia prctica constante, y por este motivo la revisin de todos los

aspectos relacionados con la minimizacin del impacto ambiental tiene que ser una accin

realizadas sin interrupcin.

Auditora de gestin y resultados:

Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la

eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros ytcnicos utilizados, la organizacin y coordinacin de dichos recursos y los controles establecidos

sobre dicha gestin. Es una herramienta de apoyo efectivo a la gestin empresarial, donde sepuede conocer las variables y los distintos tipos de control que se deben producir en la empresa y

que estn en condiciones de reconocer y valorar su Importancia como elemento que repercute en

la competitividad de la misma. Se tiene en cuenta la descripcin y anlisis del control estratgico,el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o ejecucin y

un anlisis del control como factor clave de competitividad.

8/7/2019 aui1

7/11

7

La auditora integral se ha desarrollado en los pases industrializados, especialmente en el

Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En s la auditoraintegral no es ms que la integracin de la auditora financiera con la auditora de gestin y la

auditora de cumplimiento.

La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin, venia

ejecutando la Contralora General de la Repblica, y que consista en el simple control numrico

legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Tcnico de la

Contadura Pblica en su pronunciamiento No. 7 define as la Auditora de Cumplimiento:

La auditora de cumplimiento consiste en la comprobacin o examen de las operaciones

financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que sehan realizado conforme a las normas legales, estatutarias y de procedimientos que le son

aplicables.

La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre

tres grandes sistemas de informacin de la organizacin: sistema de informacin financiera,

sistema de informacin de gestin y sistema de informacin legal. El concepto de auditoraintegral realmente no es nuevo en nuestro pas y por el contrario es si se quiere el ms antiguo,

pues si se considera la figura de la institucin de la Revisarla Fiscal, sta cumple con los

requerimientos de una auditora integral, pues en esencia el Revisor Fiscal debe examinar los tres

grandes sistemas objeto de examen por esta ltima.

Por lo dicho anteriormente se podra construir el siguiente concepto de auditora integral:

Auditora integral:

Es el examen crtico, sistemtico y detallado de los sistemas de informacin financiero, degestin y legal de una organizacin, realizado con independencia y utilizando tcnicas

especificas, con el propsito de emitir un informe profesional sobre la razonabilidad de la

informacin financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el

apego de las operaciones econmicas a las normas contables, administrativas y legales que le sonaplicables, para la toma de decisiones que permitan la mejora de la productividad de la misma.

I.3 Auditora en informtica

Fuente: Piattini, Mario G y del peso, Emilio 2000.Auditoria Informtica: un enfoque practico computec RAMA. Madrid, Espaa.

Auditora en informtica

Concepto de auditora en informtica.

La auditora en informtica se desarrolla en funcin de normas, procedimientos y tcnicasdefinidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada ms se

sealarn algunos aspectos bsicos para su entendimiento.

As, la auditora en informtica es:

A) Un proceso formal ejecutado por especialistas del rea de auditora y de informtica;se orienta a la verificacin y aseguramiento de las polticas y procedimientos

8/7/2019 aui1

8/11

8

establecidos para el manejo y uso adecuado de la tecnologa de informtica en la

organizacin se lleve a cabo de una manera oportuna y eficiente.B) Las actividades ejecutadas por los profesionales del rea de Informtica y de auditora

encaminadas a evaluar el grado de cumplimiento de polticas, controles y

procedimientos correspondientes al uso de los recursos de informtica por el personalde la empresa (usuarios, informtica, alta direcci6n, etc.). Dicha evaluaci6n deber ser

la pauta para la entrega del informe de auditora en informtica, el cual ha de contener

las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y la

optimizacin permanente de la tecnologa de informtica en el negocio.C) El conjunto de acciones" que realiza el personal especializado en las reas de auditora

y de informtica para el aseguramiento continuo de que todos los recursos de

informtica operen en un ambiente de seguridad y control eficientes, con la finalidadde proporcionar a la alta direccin o niveles ejecutivos la certeza de que la

informacin que pasa por el rea se manejan con los conceptos bsicos de integridad,

totalidad, exactitud, confiabilidad, etc.D) Proceso metodolgico que tiene el propsito principal de evaluar todos los recursos

(humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la funcin de

informtica para garantizar al negocio que dicho conjunto opera con un criterio deintegracin y desempeos de niveles altamente satisfactorios para que apoyen la

productividad y rentabilidad de la organizacin.(Hernndez, 1997).

La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias paradeterminar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los

datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos.

De este modo la auditoria informtica sustenta y confirma la consecucin de los objetivostradicionales de la auditoria:

Objetivos de proteccin de activos e integridad de datos. Objetivos de gestin que abarcan, no solamente los de proteccin de activos, sino

tambin los de eficacia y eficiencia.

El auditor evala y comprueba en determinados momentos del tiempo los controles y

procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas deauditora, incluyendo el uso del software. En muchos casos, ya no es posible verificar

manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo

que se deber emplear software de auditoria y otras tcnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Direccin de la Organizacin sobre el

diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacinsuministrada.

Se pueden establecer tres grupos de funciones a realizar por un auditor informtico:

Participar en las revisiones durante y despus del diseo, realizacin, implantacin yexplotacin de las aplicaciones informticas, as como en las fases anlogas de

realizacin de cambios importantes.

Revisar y juzgar los controles implantados en los sistemas informticos para verificarsu adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales,proteccin de confidencialidad y cobertura ante errores y fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos einformacin.

8/7/2019 aui1

9/11

9

Fuente: http://www4.ujaen.es/-fmta/temasaudi/quinto.doc

Auditora informtica:

Es un examen metdico del servicio informtico, o de un sistema informtico enparticular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la

intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio

informtico.

En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y

"objetivo":

La auditora informtica es un examen, pues se verifica o comprueba el sistemainformtico actualmente en uso.

Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado,que permite llegar a conclusiones suficientemente fundamentadas. Este examen espuntual, ya que se realiza en un momento determinado y bajo peticin de la direccin.

Este examen es objetivo, ya que se realiza por un equipo externo al servicio deinformtica para buscar la objetividad requerida.

El servicio de auditora cubre una serie de actividades (controles, verificaciones, pruebas,

etc.) para concluir elaborando un conjunto de recomendaciones y un plan de accin.

La elaboracin de este plan de accin es una de las caractersticas que verdaderamente

diferencia la auditora informtica del resto de tipos de auditoras.

Objetivos de la auditora informtica.

La definicin de los objetivos de la auditora informtica es un tema difcil y complejo.

No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en elestablecimiento de las funciones que debe desarrollar un auditor informtico.

Para precisar esta situacin sera necesario:

Definir el campo de actuacin del auditor informtico. Definir los objetivos de la auditora informtica.Para el campo de actuacin del auditor, seria preciso reflexionar sobre los siguientes

aspectos:

Organizacin en la que se desenvolver el auditor.

Estructura. Tipo de actividad de la empresa. Departamento de informtica objeto de la auditora. Grado de sofisticacin. Tamao. Recursos del departamento Relaciones con la auditora financiera. las propias limitaciones tcnicas del auditor.

8/7/2019 aui1

10/11

10

De un modo general los objetivos de la auditora informtica podran ser:

Elaborar un informe sobre los aspectos que afecten al alcance de una auditora ysealar riesgos de errores o fraudes de un sistema informtico.

Evaluar la fiabilidad de los sistemas informticos, en cuanto a la exactitud de los datosy a las informaciones tratadas.

Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad fsica y lgica. Evaluar la dependencia de una organizacin respecto a sus sistemas informticos,

revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan

asegurar la continuidad de las actividades normales.

Emisin de informes con la evaluacin independiente de los sistemas informticos.sintetizando riesgos, deficiencias, sugerencias y recomendaciones.

Anlisis de la calidad y eficacia del servicio de atencin a los usuarios. Participacin yseguimiento de proyectos de investigacin.

Bibliografa Capitulo I

Gonzlez, Gonzalo. "Informtica 11 Coleccin Ciencia Educativa". Nueva Imagen.

Hernndez, Enrique. 1997. "Auditoria Informtica: Un Enfoque Metodolgico y Practico.

Continental. Mxico.

IMCP (Instituto Mexicano de Contadores Pblicos A. C.).2000 "Normas y Procedimientos de

Auditoria".

Kell, Walter y Ziegler, Richard. "Auditoria Moderna" Continental.

Piattini, Mario G. y Del Peso, Emilio. 1998. "Auditoria Informtica: Un Enfoque Prctico".Computec RAMA. Madrid, Espaa.

Zamarrita, Eduardo. "Sistemas Tutoriales de Auditora". Prentice Hall.

CAIB. 21/01/2002. Auditora Informtica.

http://dmi.uib.es/bbuades/auditoria/index.htm

http://html.rincondelvago.com/auditoria 7.html

http://Ienguaies-de-programacion.com/concepto-de-lnformatica.shtml

http://members.fortunecity.es/robertexto/archivo1/auditoria.htm

http://members.tripod.com/Guillerrno Cuellar M/financiera.html

http://members.tripod.com/Guillerrno Cuellar M /gestion.html

http://members.tripod.com/Guillerrno Cuellar M M/intearal.html

8/7/2019 aui1

11/11