AUDITORIA

Auditoria de TICS Jess Alberto Prez Espinosa

Introduccin
El concepto de auditoria informtica ha estado siempre ligado al de auditora en general y al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Yeras of progress). Hago este referencia histrica a fin de explicar la evolucin de la corta pero intensa historia de la auditora informtica, y para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la actualidad. Tanto dentro del contexto estratgico como del operativo de las organizaciones actuales, los sistemas de informacin y la arquitectura que los soporta desempean un importante papel como uno de los soportes bsicos para la gestin y el control del negocio, siendo as unos de los requerimientos bsicos de cualquier organizacin. Esto da lugar a los sistemas de informacin de una organizacin.

La auditoria se desarrolla con base a normas, procedimientos y tcnicas definidas formalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se expondrn algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados en la bibliografa, as como la participacin directa y activa en los institutos o asociaciones relacionados con el campo de la especialidad.

Concepto de auditora
El concepto de auditora es ms amplio: no slo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo. La palabra auditora viene del latn auditorius, y de sta proviene auditor, que tiene la virtud de or, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. El Boletn "C" de Normas de Auditora del Instituto Mexicano de Contadores nos dice: "La auditora no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter indudable. La auditora requiere el ejercicio de un juicio profesional, slido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos .

As como existen normas y procedimientos especficos para la realizacin de auditoras contables, debe haber tambin normas y procedimientos para la realizacin de auditoras en informtica como parte de una profesin. Pueden estar basadas en las experiencias de otras profesiones pero con algunas caractersticas propias y siempre guindose por el concepto de que la auditora debe ser ms amplia que la simple deteccin de errores, y adems la auditora debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solucin.

Tipos de auditora
La auditora, como cualquier disciplina toma caractersticas diferentes de acuerdo al campo de accin en que se desenvuelven. Sin embargo, el objetivo final debe responder a la definicin general de auditora. De acuerdo a las personas que la realizan se pueden reconocer dos tipos de auditora: Auditora interna y auditora externa. Auditoria interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Auditora externa : Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
En una empresa, los responsables de Informtica escuchan, orientan e Informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de 4 Control interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.

Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo. en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa. La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.

Objetivo de la Auditoria
Auditora de cumplimiento: Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y de otra ndoIe de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables. Esta auditora se practica mediante la revisin de documentos que soportan legal, tcnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno estn de acuerdo con las normas que le son aplicables y si dichos procedimientos estn operando de manera efectiva y son adecuados para et logro de los objetivos de la entidad. Auditora operativa: Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en particular, sus unidades integrantes u operacionales especficas. Su propsito es determinar los grados de efectividad, economa y eficiencia alcanzados por la organizacin y formular recomendaciones para mejorar las operaciones evaluadas. Relacionada bsicamente con los objetivos de eficacia,

Auditora informtica de sistemas: Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones. Lneas y redes de las instalaciones informticas, se auditen por separado, 5 aunque formen parte del entorno general de sistemas. Su finalidad es el examen y anlisis de los procedimientos administrativos y de los sistemas de control interno de la compaa auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos dbiles que hayan podido detectar, as como las recomendaciones sobre los cambios convenientes a introducir, en su opinin, en la organizacin de la compaa. Normalmente, las empresas funcionan con polticas generales, pero hay procedimientos y mtodos, que son trminos ms operativos. Los procedimientos son tambin sistemas; si estn bien hechos, la empresa funcionar mejor. La auditora de sistemas analiza todos los procedimientos y mtodos de la empresa con la intencin de mejorar su eficacia.

Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsicos adquiridos por la instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros variables de las libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.

Software Bsico es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora. Esto, por razones econmicas y por razones de comprobacin de que la computadora podra funcionar sin el producto adquirido por el cliente. En cuanto al software desarrollado por el personal informtico de la empresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente, debe considerar el esfuerzo en trminos de costes, por si hubiera alternativas ms econmicas.

Auditora a los planes de desarrollo empresarial:

La accin de planear 'las actividades permite al individuo fijarse metas, delinear los cursos de las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la defensiva, reaccionando a las circunstancias y eventualidades, haga que las circunstancias y eventualidades se ajusten a su voluntad mediante el establecimiento de un buen plan que le permita prever todos los posibles factores y elementos que pudieran incidir en las acciones, fijarse objetivos que deseen alcanzar, establecer las polticas que deban normar las operaciones y reglamentndolas en sistemas, mtodos y procedimiento, que allanen el camino para el buen logro de esos objetivos, colocndolo a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez de estar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayora de los casos son desagradables. La auditora, al igual que cualquier otra actividad, requiere de una buena planeacin, que le permita desarrollarse eficientemente y oportunamente.

Auditora administrativa:
Es el revisar y evaluar Si los mtodos, sistemas y procedimientos que se siguen en todas las fases del proceso administrativo aseguran el cumplimiento con polticas, planes, programas, leyes y reglamentaciones que puedan tener un impacto significativo en operacin de los reportes y asegurar que la organizacin los este cumpliendo y respetando. Es el examen metdico y ordenado de los objetivos de una empresa de su estructura orgnica y de la utilizacin del elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de que proporciona a los directivos de una organizacin un panorama sobre la forma como esta siendo administrada por los diferentes niveles jerrquicos y operativos, sealando aciertos y desviaciones de aquellas reas cuyos problemas administrativos detectados exigen una mayor o pronta atencin.

Auditora financiera:
Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posible IIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las operaciones de la empresa. La Auditora Financiera es la ms conocida de todas, pues es la requerida por las empresas y es la que ha presentado el mximo desarrollo. Auditora de gestin: La Auditora de Gestin aunque no tan desarrollada como la Financiera, es si se quiere de igualo mayor importancia que esta ltima, pues sus efectos tienen consecuencias que mejoran en forma apreciable el desempeo de la organizacin. La denominacin auditora de gestin funde en una, dos clasificaciones que tradicionalmente se tenan: auditora administrativa y auditora operacional.

Auditora de gestin de ambiental:

La creciente necesidad de controlar el impacto ambiental que generan las actividades humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento de la sensibilizacin respecto al medio ambiente. Debido a esto, las simples actuaciones para asegurar el cumplimiento legislativo han dado paso a sistemas de gestin medioambiental que permiten estructurar e integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo momento todos los factores de contaminacin que generan las actividades de la empresa, y por este motivo ser necesario que dentro del equipo humano se disponga de personas cualificadas para evaluar el posible impacto que se derive de los vectores ambientales. Establecer una forma sistemtica de realizar esta evaluacin es una herramienta bsica para que las conclusiones de las mismas aporten mejoras al sistema de gestin establecido.

Auditora de gestin y resultados:

Tiene por objeto el examen de la gestin de una empresa con el propsito de evaluar la eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros y tcnicos utilizados, la organizacin y coordinacin de dichos recursos y los controles establecidos sobre dicha gestin. Es una herramienta de apoyo efectivo a la gestin empresarial, donde se puede conocer las variables y los distintos tipos de control que se deben producir en la empresa y que estn en condiciones de reconocer y valorar su Importancia como elemento que repercute en la competitividad de la misma. Se tiene en cuenta la descripcin y anlisis del control estratgico, el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o ejecucin y un anlisis del control como factor clave de competitividad. La auditora integral se ha desarrollado en los pases industrializados, especialmente en el Canad, teniendo una gran aplicacin en el mbito del control gubernamental. En s la auditora integral no es ms que la integracin de la auditora financiera con la auditora de gestin y la auditora de cumplimiento.

La auditora de cumplimiento es la que hasta la vigencia de la anterior Constitucin, venia ejecutando la Contralora General de la Repblica, y que consista en el simple control numrico legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Tcnico de la Contadura Pblica en su pronunciamiento No. 7 define as la Auditora de Cumplimiento: La auditora de cumplimiento consiste en la comprobacin o examen de las operaciones financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que se han realizado conforme a las normas legales, estatutarias y de procedimientos que le son aplicables. La integracin de estos tres tipos de auditora implica que examen se debe realizar sobre tres grandes sistemas de informacin de la organizacin: sistema de informacin financiera, sistema de informacin de gestin y sistema de informacin legal. El concepto de auditora integral realmente no es nuevo en nuestro pas y por el contrario es si se quiere el ms antiguo, pues si se considera la figura de la institucin de la Revisarla Fiscal, sta cumple con los requerimientos de una auditora integral, pues en esencia el Revisor Fiscal debe examinar los tres grandes sistemas objeto de examen por esta ltima.

Auditora informtica:
Es un examen metdico del servicio informtico, o de un sistema informtico en particular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio informtico. En esta definicin hay cuatro palabras que destacan: "examen", "metdico", "puntual" y "objetivo": La auditora informtica es un examen, pues se verifica o comprueba el sistema informtico actualmente en uso. Este examen es metdico, ya que sigue un plan de trabajo, perfectamente diseado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo peticin de la direccin. Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informtica para buscar la objetividad requerida.

Objetivos de la auditora informtica.

La definicin de los objetivos de la auditora informtica es un tema difcil y complejo. No existe un total acuerdo en la definicin de tales objetivos y en consecuencia, en el establecimiento de las funciones que debe desarrollar un auditor informtico. Para precisar esta situacin sera necesario: Definir el campo de actuacin del auditor informtico. Definir los objetivos de la auditora informtica. Para el campo de actuacin del auditor, seria preciso reflexionar sobre los siguientes aspectos: Organizacin en la que se desenvolver el auditor. Estructura. Tipo de actividad de la empresa. Departamento de informtica objeto de la auditora. Grado de sofisticacin. Tamao. Recursos del departamento Relaciones con la auditora financiera. las propias limitaciones tcnicas del auditor.

Preguntas
Concepto de auditora? El concepto de auditora es ms amplio: no slo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo. Cul es la virtud del auditor? Tiene la virtud de or y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficiencia y eficacia con que se est operando Tipos de auditora? Auditora interna y auditora externa. Cual es la Auditoria interna? Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. Cual es la Auditora externa? Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

Auditora de cumplimiento? Es la comprobacin o examen de operaciones financieras, administrativas, econmicas y de otra ndole de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables. Auditora operativa? Es el examen posterior, profesional, objetivo y sistemtico de la totalidad o parte de las operaciones o actividades de una entidad, proyecto, programa, inversin o contrato en particular, sus unidades integrantes u operacionales especficas. Auditora financiera? Es un proceso cuyo resultado final es la emisin de un informe, en el que el auditor da a conocer su opinin sobre la situacin financiera de la empresa, este proceso solo es posible IIevarlo a cabo a travs de un elemento llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las operaciones de la empresa. Auditora informtica de sistemas? Se ocupa de analizar la actividad que se conoce como tcnica de sistemas en todas sus facetas. Auditora informtica? Es un examen metdico del servicio informtico, o de un sistema informtico en particular, realizado de- una forma puntual y objetiva, a instancias de 1a direccin y con la intencin de ayudar a mejorar conceptos como la seguridad, eficiencia y