Importancia de las Tics en la

Auditora.

Auditoria Tecnologas de la Informacin

Profesor: Mirna del Rosario Quevedo
Alumno: Michael Antonio Lpez Echagaray

Introduccion:

En este informe veremos la importancia que tiene la Tecnologa de la Informacin y de

la Comunicacin en la Auditoria, en como se ha convertido en un recurso
imprescindible en el trabajo diario del controlador financiero y el auditor y del
complejo proceso de este procedimiento que requiere herramientas informticas
adecuadas para el desempeo de nuestra funcin como futuros Auditores.
Para introducirnos en el tema principal debemos saber Qu son las Tic?
Tecnologas: Aplicacin de los conocimientos cientficos para facilitar la realizacin de
las actividades humanas. Supone la creacin de productos, instrumentos, lenguajes y mtodos
al servicio de las personas.
Informacin: Datos que tienen significado para determinados colectivos. La informacin
resulta fundamental para las personas, ya que a partir del proceso cognitivo de la informacin
que obtenemos continuamente con nuestros sentidos vamos tomando las decisiones que dan
lugar a todas nuestras acciones.
Comunicacin: Transmisin de mensajes entre personas. Como seres sociales las personas,
adems de recibir informacin de los dems, necesitamos comunicarnos para saber ms de ellos,
expresar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los
grupos en convivencia, etc.
Tecnologas de la Informacin y la comunicacin (TIC) : Cuando unimos estas tres palabras
hacemos referencia al conjunto de avances tecnolgicos que nos proporcionan la informtica,
las telecomunicaciones y las tecnologas audiovisuales, que comprenden los desarrollos
relacionados con los ordenadores, Internet, la telefona, los "mas media", las aplicaciones
multimedia y la realidad virtual. Estas tecnologas bsicamente nos proporcionan informacin,
herramientas para su proceso y canales de comunicacin.

La aparicin de la informtica ha supuesto una revolucin en la contabilidad. La

creacin de programas contables especficos en un entorno Windows, acerc las
aplicaciones informticas al usuario, haciendo que fueran ms fciles de utilizar y ms
verstiles. El siguiente paso, fue la revolucin de las comunicaciones, especialmente de
Internet, as como la ampliacin del abanico de posibilidades de la contabilidad a
actividades tales como la banca electrnica y el envo de declaraciones fiscales por
Internet que facilitaron el intercambio de datos con mayor facilidad, fiabilidad y
rapidez. Hay que sealar adems, que el nacimiento y posterior regulacin de la
Firma electrnica reconocida como medio de autentificar los mensajes enviados
haciendo muy difcil su falsificacin, incrementa en gran medida el inters de las nuevas
tecnologas de la informacin y la comunicacin (TIC).
Los profesionales TIC, auditores informticos, pasan por ser los recursos cualificados
para contribuir a la construccin de la confianza en la Administracin Electrnica,
configurndose como los garantes de la prestacin de servicios de calidad, y en la
consecucin de las polticas pblicas relacionadas.
La funcin de la Auditoria Informtica en las organizaciones, comienza con la
implantacin de un proceso para supervisar el control de las tecnologas y de los
procesos asociados, y la evolucin hacia un enfoque proactivo participando en otras
fases del ciclo del control.
Las distintas reas operativas de las organizaciones se sostienen y apoyan cada vez ms
en los servicios de las tecnologas de la informacin y las comunicaciones (TIC), que
han acompaado la automatizacin y el crecimiento de todos los procesos productivos,
y la prestacin de nuevos servicios. Como consecuencia, son muchas las organizaciones
en las que la informacin y la tecnologa que la soporta representan los activos ms
valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologas les
pueden proporcionar. La productividad de cualquier organizacin depende del
funcionamiento interrumpido de los sistemas TIC, transformando a todo el entorno
como un proceso crtico adicional.
Por tanto, se requiere contar con una efectiva administracin de los riesgos asociados
con las TIC, y que viene dada por:
- La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente
Dependencia de la informacin y de los sistemas que la proporcionan.
- El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas
a las que estn expuestos.
- La importancia y magnitud de los costes y las inversiones TIC.
- La desconfianza que los procedimientos automatizados o los servicios electrnicos
pudieran provocar en el colectivo usuario y en los ciudadanos en general.

- El potencial de las nuevas tecnologas de la informacin es tal que pueden llegar a

introducir importantes cambios en la organizacin, y en las prcticas de su actividad,
para crear nuevas oportunidades y reducir costos.
Resulta de ello el rol bsico que debe desempear la funcin de Auditoria Informtica
O Auditoria de los Sistemas de Informacin, en una organizacin: supervisin de los
controles efectivamente implementados y determinacin de la eficiencia de los mismos.
Dada la especializacin de los controles a supervisar, es indudable que en la
Administracin Pblica el perfil de los profesionales TIC es el idneo para asumir y
realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la
confianza en los servicios prestados, en especial los enmarcados dentro de la
Administracin Electrnica.
Los Auditores informticos pueden recomendar cambios en los procesos de negocios
para lograr los objetivos econmicos o sociales de la organizacin. Tambin es posible
que las investigaciones revelen fraudes, desperdicios o abusos. Los auditores
informticos modernos proceden de manera sistemtica en sus estudios, planificando
sus acciones y enfocndose en las reas de mayor riesgo.
Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de
normativa para su buen gobierno, el auditor informtico tambin trabaja como consejero
empresarial, asesorando en cuanto al establecimiento de polticas y estndares que
aseguren la informacin y el control de las TIC.

Es as que los profesionales TIC de la Administracin tienen ante si un reto en su carrera

profesional: realizar tareas propias de la funcin de auditoria, para contribuir a la mejora
de la calidad de los servicios prestados a los ciudadanos.

Servicios de Auditoria de Tecnologas de la Informacin

La Auditoria de las Tecnologas de la Informacin y las Comunicaciones est
adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la
seguridad, continuidad y disponibilidad de las infraestructuras informticas sobre las
que se sustentan los procesos de negocio de toda empresa u organismo, necesitando
adicionalmente que todos estos procesos se realicen de forma eficiente.
Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de
acreditar el cumplimiento de sus normas mediante Auditorias de Sistemas de
Informacin y como parte inherente de la Auditora Financiera, se est requiriendo cada
vez ms que los Sistemas de Informacin sean, a su vez, auditados.

Direccin estratgica de las TICS: auditando los Sistemas de Informacin

Un servicio muy til a la hora de gestionar los Sistemas de Informacin (SI) de una
empresa o sus Tecnologas de la Informacin y Comunicaciones (TIC) son las
Auditorias. Una Auditora es una radiografa de una parte de una empresa u
organizacin. Las auditoras pueden ser externas (Hechas por un consultor externo a la
organizacin) o Internas (Hechas por gente de la misma organizacin).
El objetivo de una Auditora es descubrir las causas de problemas en el funcionamiento,
la verificacin de presuntas causas o simplemente mejorar su funcionamiento. Algunos
ejemplos son:

Auditora tcnica de sistemas para conocer el estado actual del hardware de la

empresa (Estado, Antigedad, Si es el adecuado, etc.),
Auditora de la explotacin para conocer el estado actual de los elementos de
una explotacin (Licencias, Recursos de explotacin, ),
Auditora de las redes de la empresa y evaluar su adecuacin, seguridad, etc.

La informacin obtenida de la auditora debe servir a la direccin de la empresa para la

toma de decisiones, como por ejemplo: Implementar un software u otro segn sus
necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un
plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc.

El tipo de auditora puede variar (puede ser interna o externa, auditora de objetivos,
etc.). No obstante, como comn denominador, el ciclo de vida bsico de una auditora es
el siguiente:

1- Inicio de la auditora: Contrato y definicin del alcance. La definicin del alcance

de la auditora es un punto crtico, hay que acotar exactamente el trabajo ha hacer para
obtener los resultado deseados (Mucha gente no presta atencin a esto).
2- Revisin de la documentacin y preparacin de las actividades: Aqu se define el
plan de auditora, se organiza la inspeccin y se preparan los documentos de trabajo
(Formularios, Listas de verificacin, etc.).
3- Desarrollo del plan de auditora
4- Preparacin del informe de la auditora y presentacin de resultados: Una vez
finalizadas las acciones del plan de auditora se debe preparar el informe de auditora
donde debe aparecer toda la documentacin de la auditora y sus conclusiones. Tambin
debe realizarse la presentacin de los resultados a la persona auditada y asegurarse que
son comprendidos.
En resumen, la auditora es una herramienta poco conocida y muy valiosa a la hora de
tomar decisiones en lo que a TIC/SI se refiere. Una auditora (externa o interna) nos
brinda la informacin necesaria para tomar decisiones sobre una base slida y con
garantas de xito.

Problemas en las TICS.

En el mundo de las TICs, como en cualquier otro, son varios los problemas a los que los
administradores se deben enfrentar, aunque los peores son aquellos que no son
evidentes. Hemos identificado situaciones a evitar que causan importantes prdidas
monetarias y que afectan a la productividad.

Los usuarios acceden a servicios externos

El rpido crecimiento de las tecnologas Web 2.0 ha puesto herramientas potentes,

gratuitas y fciles de usar al alcance de todos, incluyendo los empleados que utilizan
estos servicios para facilitar y simplificar las tareas corporativas.

Como ejemplo, hay empleados que colaboran en la creacin de un informe utilizando

Google, se comunican con proveedores a travs del Messenger o, incluso, utilizan
herramientas de gestin SAAS (software por pago) en proyectos crticos. En la mayora
de los casos, estas herramientas se utilizan sin la supervisin del personal de TI.

Sin embargo, este tipo de situacin puede causar problemas para todos. Los empleados
que descubren problemas de acceso a los servicios esenciales se pueden encontrar con
que el personal de TI no dispone de la preparacin adecuada para proporcionarles
ayuda. Por otra parte, el personal de TI se enfrenta ahora a la posibilidad de una
infeccin de malware que entre por estos puntos.
As, los responsables de Tecnologa deben asegurar que los servicios externos forman
parte de cualquier discusin sobre las aplicaciones necesitadas por los departamentos.
Las encuestas pueden ayudar a la hora de darnos una pista sobre los servicios externos
utilizados as como las herramientas que proporcionan informacin sobre las
estadsticas de uso.

Los datos sensibles des encriptados estn siendo transmitidos

Su negocio dispone de lo que usted considera una configuracin de red estndar y

segura. Un cortafuego protege todo el trfico interno. Servidores Web y otros sistemas
que requieren un acceso directo a Internet disponen de tneles encriptados a las fuentes
de datos dentro de los cortafuegos.
Ms all de esta configuracin tradicional, muchas empresas podran beneficiarse con
otras opciones de encriptacin.
Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa
que sta est protegida. Incluso aquellos empleados con un poco de destreza tecnolgica
tienen a su alcance herramientas que permiten escanear las redes para rastrear
informacin sensible, desde datos empresariales a las nminas del personal.
Los administradores de redes deben pensar como hackers y utilizar las mismas
herramientas de rastreo que estos para identificar todos los datos, movindose por la
red. Si pueden ver esta informacin, cualquier otro usuario tambin la puede ver. Una
vez identificados estos datos descubiertos, las conexiones se pueden robustecer con
seguridad.

Las aplicaciones Web estn repletas de fallos de seguridad

Aunque son ya muchas las compaas que se han puesto serias en cuando a la
implementacin de parches y actualizaciones de las aplicaciones, esta prctica no cubre
el perfil entero de la seguridad de aplicaciones.

La razn radica en que existen aplicaciones corporativas que se suelen descartar o

ignorar en las polticas de actualizaciones y, frecuentemente, stas contienen
informacin sensible.

Los problemas en las empresas

La topologa actual de aplicaciones empresariales es mixta y est compuesta tanto por

programas internos como externos. Muchos de estos programas no son ms que
pequeos scripts. Y estos son precisamente los que ms riesgo conllevan porque son
sencillos y fciles de descifrar.

Las compaas deben tener a mano un listado de todas las aplicaciones Web y scripts
que residen en la red. Asegrese de que dispone de las ltimas versiones de las
aplicaciones y componentes que hay detrs de los wikis y blogs, por ejemplo. En el caso
de aplicaciones customizadas, mantenga un fichero de los scripts que stas puedan
incorporar.

Esto significa la monitorizacin peridica de servicios de seguridad como CERT y las

pginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las
aplicaciones que son un punto de entrada a la red corporativa es una inversin sin
precio.

Datos no auditables
Una buena auditora de los datos almacenados en su organizacin es un deber comn en
las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas
empresas.

Las industrias reguladas, como son Banca, Seguros y Sanidad, estn acostumbradas al
proceso de auditoras peridicas y disponen de un banco de conocimientos sobre la
ubicacin de los datos. Sin embargo, las industrias emergentes no son tan detallistas.

Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el
cumplimiento de las normas como la seguridad de la informacin.

La seguridad afecta tanto a la proteccin de la informacin como a la aplicacin de

parches para asegurar que las aplicaciones funcionan como deben. Una buena manera
de evitar problemas de cumplimiento de normas es la implementacin estricta de
polticas que monitorizan cada modificacin de los servidores y los dispositivos de red.

Escasos recursos de almacenamiento

Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente
a la utilizacin actual, sugieren que su organizacin dispone de mucha capacidad. Sin
embargo, un sistema de ficheros ineficiente puede poner en riesgo la capacidad de un
recurso esencial.

Los administradores deben evaluar los requerimientos de capacidad y rendimiento de

las aplicaciones junto con los recursos disponibles de almacenamiento. Las
organizaciones pueden maximizar la utilizacin de capacidad y mantener un nivel de
rendimiento aceptable.

Su IP podra ser deficiente

Ms que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En
muchas compaas, puntos de acceso inalmbricos, telfonos VOIP y cmaras de
seguridad ofrecen nuevas opciones de disminuir el nmero de lneas fsicas y cables de
suministro de energa.

Una falta de Business Intelligence

La BI no es una tecnologa nueva. Las grandes empresas, especialmente las del sector
financiero y de sanidad, han utilizado herramientas de BI durante muchos aos.
Las medianas y pequeas empresas que no implementan estas tecnologas se enfrentan a
problemas de competitividad. Lejos de ser tecnologas slo aptas para empresas
grandes, las herramientas de anlisis han evolucionado de tal manera que son asequibles
incluso para organizaciones ms modestas.

No cabe duda que estas herramientas pueden marcar una diferencia importante en los
servicios y productos de una compaa que llegan al mercado, incrementando la
rentabilidad de transacciones comerciales.

Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la
tecnologa y los procesos de negocio en una organizacin. Esto significa una
infraestructura ptimamente configurada con herramientas que recogen la informacin
pertinente de una transaccin.

10

Los consultores han de vigilarse

Las promesas de costes reducidos y plazos cortos pueden abrir las puertas a una serie de
errores que no benefician a nadie.

Los consultores suelen tomar atajos poco correctos para cumplir los plazos de
cumplimiento. Quizs envan datos sensibles inalmbricamente sin las protecciones
adecuadas. Quizs utilizan software no licenciado para monitorizar o gestionar algn
componente del despliegue. O quizs abren un agujero en sus cortafuegos para obtener
un acceso directo y despus se olvidan en cerrarlo.

Las compaas deben especificar claramente las normas de conducta y establecer un

sistema de evaluacin medible.

En el contrato, las compaas deben decretar el comportamiento mnimo aceptable con

respecto a las licencias, la seguridad, documentacin y gestin de cambios. Finalmente,
ha de haber una evaluacin a posteriori para comprobar el cumplimiento de objetivos y
asegurar que la infraestructura no haya sufrido ningn dao colateral.

11

Conclusin

El incremento masivo en el uso de medios informticos, ya sea de ordenadores en los puestos de

trabajo como en las aplicaciones de tecnologa cada vez ms sofisticada, y en la prestacin de
servicios a los ciudadanos mediante la Administracin Electrnica, han llevado a la necesidad
de adaptar las tcnicas de auditoria tradicionales para poder hacer frente a esos cambios.
Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar
con un marco metodolgico para organizar las actividades de Auditoria, y as definir las pautas
y los controles a considerar en las futuras actuaciones de auditoria. Esto se sustenta en el hecho
que el uso de una metodologa contrastada contribuye a:
- Salvar las brechas existentes entre riesgos del proceso de gestin, necesidades de control y
aspectos tcnicos. Esto es debido a que los riesgos de un proceso de gestin no son los mismos
que los riesgos a que se expone el sistema de informacin que le da apoyo. La Auditoria
Informtica debe intentar asegurar que ambos estn controlados, o sea, ajustados a las
necesidades de control, o a lo que se asuma controlar, y a los medios y recursos tcnicos
disponibles.
- Determinar el alcance de la tarea de auditoria e identificar los controles mnimos, que debe
estar dirigida no slo a auditores informticos, sino tambin a los gestores y a los usuarios.
- Observar e incorporar los estndares y regulaciones nacionales o internacionales.
Al contar con una metodologa se podrn tener predefinidos los procedimientos de actuacin,
que aunque slo lleguen a definir el qu y el cmo hacer las actuaciones, permitirn generar
resultados homogneos por los distintos miembros del equipo auditor. Asimismo, el marco
metodolgico adoptado tendr que definir las pautas y los controles a realizar con relacin a los
sistemas de informacin, tecnologas de hardware, seguridad, planificacin, desarrollo de
sistemas, etc.

FUENTES:

12

http://www.monografias.com/trabajos14/auditoria/auditoria.shtml
http://es.slideshare.net/roumi2010/importancia-de-las-tics-en-la-auditoria

13