AUDITORÍA DE SISTEMAS. CAPÍTULO 1 INTRODUCCIÓN CONCEPTO DE AUDITORÍA EN EL COMÚN DE LAS...
54
AUDITORÍA DE SISTEMAS AUDITORÍA DE SISTEMAS
-
Upload
vanesa-benitez-carrasco -
Category
Documents
-
view
223 -
download
0
Transcript of AUDITORÍA DE SISTEMAS. CAPÍTULO 1 INTRODUCCIÓN CONCEPTO DE AUDITORÍA EN EL COMÚN DE LAS...
AUDITORÍA DE SISTEMAS AUDITORÍA DE SISTEMAS
CAPÍTULO 1CAPÍTULO 1
INTRODUCCIÓN INTRODUCCIÓN
CONCEPTO DE AUDITORÍACONCEPTO DE AUDITORÍA
EN EL COMÚN DE LAS PERSONAS EXISTE UNA GRAN DISTORSIÓN SOBRE LA CONCEPTUALIZACIÓN DE LA AUDITORÍA, EN RAZÓN DE QUE MUCHAS VECES EL EJERCICIO DE LA MISMA SE HA CEÑIDO AL MODELO TRADICIONAL,
A CONTINUACIÓN SE ANALIZAN ALGUNAS DE LAS DEFINICIONES DE LOS DIFERENTES TRATADISTAS DE AUDITORÍA QUE SE ENCUENTRAN EN LA LITERATURA PROFESIONAL CONTABLE. WILLIAM THOMAS PORTER Y JOHN C. BURTON DEFINEN LA AUDITORÍA COMO EL EXAMEN DE LA INFORMACIÓN POR UNA TERCERA PERSONA DISTINTA DE QUIEN LA PREPARÓ Y DEL USUARIO, CON LA INTENCIÓN DE ESTABLECER SU VERACIDAD; Y EL DAR A CONOCER LOS RESULTADOS DE ESTE EXAMEN, CON LA FINALIDAD DE AUMENTAR LA UTILIDAD DE TAL INFORMACIÓN PARA EL USUARIO.. [PORTER,1983]
EL INSTITUTO NORTEAMERICANO DE CONTADORES PÚBLICOS (AICPA), TIENE COMO DEFINICIÓN DE AUDITORÍA LA SIGUIENTE: UN EXAMEN QUE PRETENDE SERVIR DE BASE PARA EXPRESAR UNA OPINIÓN SOBRE LA RAZONABILIDAD, CONSISTENCIA Y APEGO A LOS PRINCIPIOS DE CONTA¬BILIDAD GENERALMENTE ACEPTADOS, DE ESTADOS FINANCIEROS PREPARADOS POR UNA EMPRESA O POR OTRA ENTIDAD PARA SU PRESENTACIÓN AL PÚBLICO O A OTRAS PARTES INTERESADAS. [AICPA,1983]
LA ANTERIOR DEFINICIÓN AUNQUE ES DE LAS MÁS UTILIZADAS, PUEDE SER CONSIDERADA COMO MUY SECTORIZADA, PUES NO COMPRENDE EN MANERA ALGUNA TODA LA GAMA DE AUDITORÍAS EXISTENTES Y LAS QUE SE DESARROLLARÁN EN EL FUTURO Y SE QUEDA LIMITADA SOLAMENTE A LA AUDITORÍA DE LOS ESTADOS FINANCIEROS.
LA "AMERICAN ACCOUNTING ASSOCIATION" [AAS, 1972] CON UN CRITERIO MÁS AMPLIO Y MODERNO DEFINE EN FORMA GENERAL LA AUDITORÍA IDENTIFICÁNDOLA COMO UN PROCESO DE LA SIGUIENTE MANERA:
LA AUDITORÍA ES UN PROCESO SISTEMÁTICO PARA OBTENER Y EVALUAR DE MANERA OBJETIVA LAS EVIDENCIAS RELACIONADAS CON INFORMES SOBRE ACTIVIDADES ECONÓMICAS Y OTROS ACONTECIMIENTOS RELACIONADOS. EL FIN DEL PROCESO CONSISTE EN DETERMINAR EL GRADO DE CORRESPONDENCIA DEL CONTENIDO INFORMATIVO CON LAS EVIDENCIAS QUE LE DIERON ORIGEN, ASÍ COMO DETERMINAR SI DICHOS INFORMES SE HAN ELABORADO OBSERVANDO PRINCIPIOS ESTABLECIDOS PARA EL CASO.
LA GUÍA INTERNACIONAL DE AUDITORÍA NO. 3 [IFAC,1983] PRINCIPIOS BÁSICOS QUE RIGEN UNA AUDITORÍA, ESTABLECE (PÁRRAFOS 2 4): UNA AUDITORÍA ES EL EXAMEN INDEPENDIENTE DE LA INFORMACIÓN DE CUALQUIER ENTIDAD, YA SEA LUCRATIVA O NO, NO IMPORTANDO SU TAMAÑO O FORMA LEGAL, CUANDO TAL EXAMEN SE LLEVA A CABO CON OBJETO DE EXPRESAR UNA OPINIÓN SOBRE DICHA INFORMACIÓN.
EL CUMPLIMIENTO DE LOS PRINCIPIOS BÁSICOS REQUIERE LA APLICACIÓN DE PROCEDIMIENTOS DE AUDITORÍA Y PRONUNCIAMIENTOS SOBRE DICTAMEN, ADECUADOS A LAS CIRCUNSTANCIAS PARTICULARES. UTILIZANDO LAS ANTERIORES DEFINICIONES, LA AUDITORÍA PUEDE CONCEPTUALIZARSE ENTONCES COMO EL PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y REPRESENTATIVO DEL SISTEMA DE INFORMACIÓN DE UNA EMPRESA O PARTE DE ELLA, REALIZADO POR UN EXPERTO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS DETERMINADAS, CON EL PROPÓSITO DE EMITIR UNA OPINIÓN PROFESIONAL SOBRE LA MISMA, QUE PERMITAN LA ADECUADA TOMA DE DECISIONES Y BRINDAR RECOMENDACIONES QUE MEJOREN EL SISTEMA EXAMINADO
TIPOS DE AUDITORÍATIPOS DE AUDITORÍA DE ACUERDO A LA CONCEPTUALIZACIÓN MODERNA, SE PUEDE LLEGAR A AFIRMAR QUE LA AUDITORÍA ES UNA SOLA Y QUE ESTA PUEDE CLASIFICARSE TENIENDO COMO REFERENCIA LA MANERA DE EJERCERLA Y EL ÁREA O SISTEMA DE INFORMACIÓN SUJETA A EXAMEN.
CLASIFICACIÓN POR EL MODO DE EJERCER LA AUDITORIACLASIFICACIÓN POR EL MODO DE EJERCER LA AUDITORIA
SI TENEMOS EN CUENTA LA MANERA COMO SE EJERCE LA AUDITORÍA, ESTA PUEDE CLASIFICARSE EN EXTERNA E INTERNA.
AUDITORÍA EXTERNAAUDITORÍA EXTERNA
APLICANDO EL CONCEPTO GENERAL, SE PUEDE DECIR QUE LA AUDITORÍA EXTERNA O INDEPENDIENTE ES EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DE UN SISTEMA DE INFORMACIÓN DE UNA UNIDAD ECONÓMICA, REALIZADO POR UN CONTADOR PÚBLICO SIN VÍNCULOS LABORALES CON LA MISMA, UTILIZANDO TÉCNICAS DETERMINADAS Y CON EL OBJETO DE EMITIR UNA OPINIÓN INDEPENDIENTE SOBRE LA FORMA COMO OPERA EL SISTEMA, EL CONTROL INTERNO DEL MISMO Y FORMULAR SUGERENCIAS PARA SU MEJORAMIENTO.
EL DICTAMEN U OPINIÓN INDEPENDIENTE TIENE TRASCENDENCIA A LOS TERCEROS, PUES DA PLENA VALIDEZ A LA INFORMACIÓN GENERADA POR EL SISTEMA YA QUE SE PRODUCE BAJO LA FIGURA DE LA FE PÚBLICA, QUE OBLIGA A LOS MISMOS A TENER PLENA CREDIBILIDAD EN LA INFORMACIÓN EXAMINADA.
AUDITORÍA INTERNAAUDITORÍA INTERNA
LA AUDITORÍA INTERNA ES EL EXAMEN CRÍTICO Y SISTEMÁTICO DE LOS SISTEMAS DE CONTROL DE UNA UNIDAD ECONÓMICA, REALIZADO POR UN PROFESIONAL CON VÍNCULOS LABORALES CON LA MISMA, UTILIZANDO TÉCNICAS DETERMINADAS Y CON EL OBJETO DE EMITIR INFORMES Y FORMULAR SUGERENCIAS PARA EL MEJORAMIENTO DE LOS MISMOS.
ESTOS INFORMES SON DE CIRCULACIÓN INTERNA Y NO TIENEN TRASCENDENCIA A LOS TERCEROS PUES NO SE PRODUCEN BAJO LA FIGURA DE LA FE PÚBLICA.
CUANDO LA AUDITORÍA ESTÁ DIRIGIDA POR CONTADORES PÚBLICOS PROFESIONALES INDEPENDIENTES, LA OPINIÓN DE UN EXPERTO DESINTERESADO E IMPARCIAL CONSTITUYE UNA VENTAJA DEFINIDA PARA LA EMPRESA Y UNA GARANTÍA DE PROTECCIÓN PARA LOS INTERESES DE LOS ACCIONISTAS, LOS ACREEDORES Y EL PÚBLICO.
LA IMPARCIALIDAD E INDEPENDENCIA ABSOLUTAS NO SON POSIBLES EN EL CASO DEL AUDITOR INTERNO, PUESTO QUE NO PUEDE DIVORCIARSE COMPLETAMENTE DE LA INFLUENCIA DE LA ALTA ADMINISTRACIÓN, Y AUNQUE MANTENGA UNA ACTITUD INDEPENDIENTE COMO DEBE SER, ESTA PUEDE SER CUESTIONADA ANTE LOS OJOS DE LOS TERCEROS.
LA AUDITORÍA INTERNA ES UN SERVICIO QUE REPORTA AL MÁS ALTO NIVEL DE LA DIRECCIÓN DE LA ORGANIZACIÓN Y TIENE CARACTERÍSTICAS DE FUNCIÓN ASESORA DE CONTROL,
POR TANTO NO PUEDE NI DEBE TENER AUTORIDAD DE LÍNEA SOBRE NINGÚN FUNCIONARIO DE LA EMPRESA, A EXCEPCIÓN DE LOS QUE FORMAN PARTE DE LA PLANTA DE LA OFICINA DE AUDITORÍA INTERNA, NI DEBE EN MODO ALGUNO INVOLUCRARSE O COMPROMETERSE CON LAS OPERACIONES DE LOS SISTEMAS DE LA EMPRESA, PUES SU FUNCIÓN ES EVALUAR Y OPINAR SOBRE LOS MISMOS, PARA QUE LA ALTA DIRECCIÓN TOMA LAS MEDIDAS NECESARIAS PARA SU MEJOR FUNCIONAMIENTO.
EXISTEN DIFERENCIAS SUBSTANCIALES ENTRE LA AUDITORÍA INTERNA Y LA AUDITORÍA EXTERNA, ALGUNAS DE LAS CUALES SE PUEDEN DETALLAR ASÍ:
1- EN LA AUDITORÍA INTERNA EXISTE UN VÍNCULO LABORAL ENTRE EL AUDITOR Y LA EMPRESA, MIENTRAS QUE EN LA AUDITORÍA EXTERNA LA RELACIÓN ES DE TIPO CIVIL.
2- EN LA AUDITORÍA INTERNA EL DIAGNÓSTICO DEL AUDITOR, ESTA DESTINADO PARA LA EMPRESA; EN EL CASO DE LA AUDITORÍA EXTERNA ESTE DICTAMEN SE DESTINA GENERALMENTE PARA TERCERAS PERSONAS AJENAS A LA EMPRESA.
3- LA AUDITORÍA INTERNA ESTÁ INHABILITADA PARA DAR FE PÚBLICA, DEBIDO A SU VINCULACIÓN CONTRACTUAL LABORAL, MIENTRAS LA AUDITORÍA EXTERNA TIENE LA FACULTAD LEGAL DE DAR FE PÚBLICA.
4- LA AUDITORÍA INTERNA ES EL CONTROL DE CONTROLES EVALUANDO PERMANENTEMENTE EL CONTROL INTERNO, LA AUDITORÍA EXTERNA EVALÚA EL CONTROL INTERNO EN FORMA RECURRENTE.
5- AUNQUE EL AUDITOR INTERNO POSEE INDEPENDENCIA, ESTA ES LIMITADA FRENTE A TERCEROS POR SU VÍNCULO LABORAL. EN LA AUDITORÍA EXTERNA LA INDEPENDENCIA ES ABSOLUTA.
6- MIENTRAS EL EXAMEN DEL AUDITOR INTERNO ES IPSO FACTO, EN EL MOMENTO, EL EXAMEN DEL AUDITOR EXTERNO ES DESPUÉS DE SUCEDIDO LOS HECHOS.
CLASIFICACIÓN POR EL ÁREA OBJETO DE EXAMENCLASIFICACIÓN POR EL ÁREA OBJETO DE EXAMEN
DE ACUERDO AL ÁREA O SISTEMA DE INFORMACIÓN OBJETO DEL EXAMEN DE AUDITORÍA, ESTA SE PUEDE CLASIFICAR TOMANDO EL NOMBRE DEL ÁREA ESPECÍFICA O SISTEMA DE INFORMACIÓN EXAMINADO. ES ASÍ COMO SE TIENEN AUDITORÍA FINANCIERA, AUDITORÍA ADMINISTRATIVA, AUDITORÍA OPERACIONAL, AUDITORÍA INFORMÁTICA, AUDITORÍA GUBERNAMENTAL,
AUDITORÍA FINANCIERAAUDITORÍA FINANCIERA
LA AUDITORÍA FINANCIERA ES LA MÁS CONOCIDA DE TODAS, PUES ES LA REQUERIDA POR LAS EMPRESAS Y ES LA QUE HA PRESENTADO EL MÁXIMO DESARROLLO.
ES AQUELLA QUE EMITE UN DICTAMEN U OPINIÓN PROFESIONAL EN RELACIÓN CON LOS ESTADOS FINANCIEROS DE UNA UNIDAD ECONÓMICA EN UNA FECHA DETERMINADA Y SOBRE EL RESULTADO DE LAS OPERACIONES Y LOS CAMBIOS EN LA POSICIÓN FINANCIERA CUBIERTOS POR EL EXAMEN LA CONDICIÓN INDISPENSABLE QUE ESTA OPINIÓN SEA EXPRESADA POR UN CONTADOR PÚBLICO DEBIDAMENTE AUTORIZADO PARA TAL FIN.
AUDITORÍA DE GESTIÓNAUDITORÍA DE GESTIÓN
LA AUDITORÍA DE GESTIÓN AUNQUE NO TAN DESARROLLADA COMO LA FINANCIERA, ES SI SE QUIERE DE IGUAL O MAYOR IMPORTANCIA QUE ESTA ÚLTIMA, PUES SUS EFECTOS TIENEN CONSECUENCIAS QUE MEJORAN EN FORMA APRECIABLE EL DESEMPEÑO DE LA ORGANIZACIÓN. LA DENOMINACIÓN AUDITORÍA DE GESTIÓN FUNDE EN UNA, DOS CLASIFICACIONES QUE TRADICIONALMENTE SE TENÍAN: AUDITORÍA ADMINISTRATIVA Y AUDITORÍA OPERACIONAL.
WIILLIAM P. LEONARD PRESENTA LA SIGUIENTE DEFINICIÓN DE AUDITORÍA ADMINISTRATIVA:
LA AUDITORÍA ADMINISTRATIVA PUEDE DEFINIRSE COMO EL EXAMEN COMPRENSIVO Y CONSTRUCTIVO DE LA ESTRUCTURA ORGANIZATIVA DE UNA EMPRESA DE UNA INSTITUCIÓN O DEPARTAMENTO GUBERNAMENTAL; O DE CUALQUIER OTRA ENTIDAD Y DE SUS MÉTODOS DE CONTROL, MEDIOS DE OPERACIÓN Y EMPLEO QUE DÉ A SUS RECURSOS HUMANOS Y MATERIALES. [LEONARD, 1999]
JOAQUÍN RODRÍGUEZ VALENCIA PLANTEA UNA DEFINICIÓN DE AUDITORÍA OPERACIONAL ASÍ:
SE DEFINE COMO UNA TÉCNICA PARA EVALUAR SISTEMÁTICAMENTE LA EFECTIVIDAD DE UNA FUNCIÓN O UNA UNIDAD CON REFERENCIA A NORMAS DE LA EMPRESA, UTILIZANDO PERSONAL ESPECIALIZADO EN EL ÁREA DE ESTUDIO, CON EL OBJETO DE ASEGURAR A LA ADMINISTRACIÓN QUE SUS OBJETIVOS SE CUMPLAN, Y DETERMINAR QUÉ CONDICIONES PUEDEN MEJORARSE. [RODRIGUEZ, 1980]
ES POSIBLE AFIRMAR ENTONCES QUE LA AUDITORÍA DE GESTIÓN ES:
EL PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DEL SISTEMA DE INFORMACIÓN DE GESTIÓN DE UN ENTE, REALIZADO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS ESPECÍFICAS, CON EL PROPÓSITO DE EMITIR UN INFORME PROFESIONAL SOBRE LA EFICACIA EFICIENCIA Y ECONOMICIDAD EN EL MANEJO DE LOS RECURSOS, PARA LA TOMA DE DECISIONES QUE PERMITAN LA MEJORA DE LA PRODUCTIVIDAD DEL MISMO.
AUDITORÍA DE CUMPLIMIENTOAUDITORÍA DE CUMPLIMIENTO
ESTE TIPO DE AUDITORÍA COMPRENDE UNA REVISIÓN DE CIERTAS ACTIVIDADES FINANCIERAS U OPERATIVAS DE UNA ENTIDAD CON EL FIN DE DETERMINAR SI SE ENCUENTRAN DE CONFORMIDAD CON CONDICIONES, REGLAS O REGLAMENTOS ESPECIFICADOS
AUDITORÍA DE CONTROL INTERNOAUDITORÍA DE CONTROL INTERNOLA AUDITORÍA DE CONTROL INTERNO ES LA EVALUACIÓN DE LOS SISTEMAS DE CONTABILIDAD Y DE CONTROL INTERNO DE UNA ENTIDAD, CON EL PROPÓSITO DE DETERMINAR LA CALIDAD DE LOS MISMOS, EL NIVEL DE CONFIANZA QUE SE LES PUEDE OTORGAR Y SI SON EFICACES Y EFICIENTES EN EL CUMPLIMIENTO DE SUS OBJETIVOS. ESTA EVALUACIÓN TENDRÁ EL ALCANCE NECESARIO PARA DICTAMINAR SOBRE EL CONTROL INTERNO Y POR TANTO, NO SE LIMITA A DETERMINAR EL GRADO DE CONFIANZA QUE PUEDA CONFERÍRSELE PARA OTROS PROPÓSITOS
AUDITORÍA INTEGRALAUDITORÍA INTEGRAL
LA AUDITORÍA INTEGRAL SE HA DESARROLLADO EN LOS PAÍSES INDUSTRIALIZADOS, ESPECIALMENTE EN EL CANADÁ, TENIENDO UNA GRAN APLICACIÓN EN EL ÁMBITO DEL CONTROL GUBERNAMENTAL. EN SÍ LA AUDITORÍA INTEGRAL NO ES MÁS QUE LA INTEGRACIÓN DE LA AUDITORÍA FINANCIERA CON LA AUDITORÍA DE GESTIÓN, LA AUDITORÍA DE CONTROL INTERNO Y LA AUDITORÍA DE CUMPLIMIENTO.
AUDITORÍA INTEGRAL ES PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DE LOS SISTEMAS DE INFORMACIÓN FINANCIERO, DE GESTIÓN, DE CONTROL INTERNO Y LEGAL DE UNA ORGANIZACIÓN, REALIZADO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS ESPECÍFICAS, CON EL PROPÓSITO DE EMITIR UN INFORME PROFESIONAL SOBRE LA RAZONABILIDAD DE LA INFORMACIÓN FINANCIERA, LA EFICACIA EFICIENCIA Y ECONOMICIDAD EN EL MANEJO DE LOS RECURSOS Y EL APEGO DE LAS OPERACIONES ECONÓMICAS A LAS NORMAS CONTABLES, ADMINISTRATIVAS Y LEGALES QUE LE SON APLICABLES, PARA LA TOMA DE DECISIONES QUE PERMITAN LA MEJORA DE LA PRODUCTIVIDAD DE LA MISMA.
AUDITORÍA INFORMÁTICAAUDITORÍA INFORMÁTICA
LA AUDITORÍA INFORMÁTICA ES DE RECIENTE DESARROLLO Y SU APARICIÓN SE DEBE A LA CRECIENTE AUTOMATIZACIÓN DE LA INFORMACIÓN EN TODOS LOS NIVELES DE LAS ORGANIZACIONES.
CONCEPTO
LA AUDITORÍA INFORMÁTICA HA SIDO ERRÓNEAMENTE DENOMINADA AUDITORÍA DE SISTEMAS, POR EL HECHO QUE VULGARMENTE SE CONSIDERA LA PALABRA "SISTEMAS" COMO SINÓNIMO DE "COMPUTADOR". PERO A LO LARGO DE LO DESARROLLADO HASTA EL MOMENTO, HA QUEDADO CLARO QUE TODA AUDITORÍA ES DE SISTEMAS, PUES SU OBJETO SON LOS SISTEMAS DE INFORMACIÓN.
AUDITORÍA INFORMÁTICA, ES EL PROCESO QUE CONSISTE EN EL EXAMEN CRÍTICO, SISTEMÁTICO Y DETALLADO DEL SISTEMA DE INFORMACIÓN AUTOMÁTICO DE UN ENTE, REALIZADO CON INDEPENDENCIA Y UTILIZANDO TÉCNICAS ESPECÍFICAS, CON EL PROPÓSITO DE EMITIR UN INFORME PROFESIONAL SOBRE LA EFICACIA EFICIENCIA Y ECONOMICIDAD EN EL MANEJO DE LOS RECURSOS INFORMÁTICOS Y LOS CONTROLES DE SEGURIDAD DE LOS MISMOS, PARA LA TOMA DE DECISIONES QUE PERMITAN EL MEJORAMIENTO DE LOS PROCESOS DE INFORMACIÓN AUTOMÁTICA Y DE LA PRODUCTIVIDAD DE ESTOS..
SEGURIDAD INFORMÁTICA.SEGURIDAD INFORMÁTICA.
IMPORTANCIA
EN LA ACTUALIDAD, CUALQUIER EJECUTIVO DE UNA EMPRESA SABE QUE LA INFORMACIÓN QUE PERMANECE ALMACENADA EN SUS ARCHIVOS DE COMPUTACIÓN ELECTRÓNICA, LA CUAL FLUYE DENTRO DE LA EMPRESA O INGRESA O SALE DE ELLA, ES MÁS VALIOSA QUE EL EQUIPO QUE LA SUSTENTA.
TAMBIÉN SABE QUE CUALQUIER CONTINGENCIA QUE PUEDA DAÑAR ESA INFORMACIÓN (O SIN DAÑARLA, SER DE CONOCIMIENTO DE TERCEROS INDEBIDAMENTE) PUEDE PROVOCAR UN SERIO IMPACTO EN LA ORGANIZACIÓN.
MÁS AÚN EN ESTOS MOMENTOS EN QUE INTERNET APORTA ELEMENTOS QUE SE ESTÁN VOLVIENDO INDISPENSABLES EN LA GESTIÓN EMPRESARIAL, HAY QUE MANTENERSE ALERTA ANTE LA PRESENCIA DE UN ENTORNO INSEGURO
EXISTEN ALGUNOS MOTIVOS POR LOS CUALES SE HACE EXISTEN ALGUNOS MOTIVOS POR LOS CUALES SE HACE NECESARIA LA PREVENCIÓN DE SEGURIDAD:NECESARIA LA PREVENCIÓN DE SEGURIDAD:
1) EXISTENCIA DE USUARIOS QUE ACTÚAN COMO INTRUSOS Y QUE ACCEDEN DESDE LUGARES REMOTOS A INFORMACIÓN
ALMACENADA EN UNA COMPUTADORA CON INTENCIÓN DE ROBAR DATOS O, SIMPLEMENTE, CAUSAR DAÑOS.
2) OTROS USUARIOS, QUE SIMPLEMENTE, DISFRUTAN ENVIANDO VIRUS A TRAVÉS DE PROGRAMAS O DOCUMENTOS QUE DESTRUYEN INFORMACIÓN VALIOSA QUE COSTÓ MUCHO ELABORAR.
3) CIERTAS EMERGENCIAS (CATÁSTROFES) QUE PUEDEN SUCEDER POR CAUSAS NORMALES DE LA NATURALEZA.
4) UN INADECUADO USO DE LOS RECURSOS INFORMÁTICOS TAMBIÉN PUEDE PROVOCAR LA DESAPARICIÓN O
ALTERACIÓN DE UN ARCHIVO.
OTRAS CAUSAS DE DELITOS POR COMPUTADORAOTRAS CAUSAS DE DELITOS POR COMPUTADORA
- BENEFICIO PERSONAL
- BENEFICIOS PARA LA ORGANIZACIÓN
- PARA BENEFICIAR A OTRAS PERSONAS
- FÁCIL DESFALCAR (FALTA DE CONTROLES)
- EL DEPARTAMENTO ES DESHONESTO
- ODIO A LA ORGANIZACIÓN
- EL INDIVIDUO TIENE PROBLEMAS FINANCIEROS
- DESEO DE SOBRESALIR EN ALGUNA FORMA
EL OBJETIVO DE LA SEGURIDAD INFORMÁTICA ES MANTENER: EL OBJETIVO DE LA SEGURIDAD INFORMÁTICA ES MANTENER:
• LA INTEGRIDAD DE LA INFORMACIÓN. SIGNIFICA QUE SOLO PUEDE SER MODIFICADA POR PERSONAS AUTORIZADAS (uso de claves) Y DENTRO DE UN PROGRAMA DE ACTUALIZACIÓN PREVIAMENTE APROBADO.
LA INTEGRIDAD PUEDE SER ALTERADA EN FORMA INTENCIONAL, O BIEN, EN FORMA ACCIDENTAL POR FALLA DEL HARDWARE, DEL SOFTWARE O POR LA ACCIÓN DE UN VIRUS INFORMÁTICO.
• LA OPERATIVIDAD DE LA INFORMACIÓN. ESTO SIGNIFICA QUE LA INFORMACIÓN DEBE ESTAR DISPONIBLE EN EL MOMENTO EN QUE DEBA SER PROCESADA. PARA ELLO DEBE ESTAR ALMACENADA EN EL MEDIO Y EN LA FORMA PREESTABLECIDA.
• LA CONFIABILIDAD DE LA INFORMACIÓN. ESTO SIGNIFICA QUE LA INFORMACIÓN PUEDE SER CONOCIDA SÓLO POR PERSONAS QUE NECESITEN DE SU CONOCIMIENTO.
ES NECESARIO RESALTAR QUE ENTRE OPERATIVIDAD Y SEGURIDAD EXISTE UNA RELACIÓN INVERSA: AL AUMENTAR LA SEGURIDAD DE UN SISTEMA INFORMÁTICO, DISMINUYE LA OPERATIVIDAD. POR EJEMPLO, SI SE APLICA UN PROGRAMA ANTIVIRUS EN UN PROCESO DE COMPUTADORA, ESTO PROVOCARÁ LA OCUPACIÓN DE UN LUGAR EN EL DISCO RÍGIDO Y LA DEMORA EN EL PROCESO DE APLICACIONES.
SEGURIDAD INFORMÁTICA EN INTERNET SEGURIDAD INFORMÁTICA EN INTERNET
SI BIEN INTERNET NO ES EL ÚNICO ELEMENTO EN EL QUE DEBE FOCALIZARSE LA ATENCIÓN PARA RESGUARDAR LA INTEGRIDAD, OPERATIVIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN, EL MODO EXPLOSIVO EN QUE EVOLUCIONÓ SU UTILIZACIÓN (A NIVEL INDIVIDUAL Y A NIVEL EMPRESARIAL) POTENCIA LA NECESIDAD DE ENCONTRAR SOLUCIONES A LA FRAGILIDAD EN MATERIA DE SEGURIDAD.
EL ÉXITO DE INTERNET RESIDE EN QUE FUE DISEÑADA CON UN ALTO NIVEL DE OPERATIVIDAD Y VERSATILIDAD EN LAS COMUNICACIONES ENTRE COMPUTADORAS. EL PROTOCOLO TPC/IP (TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL, PROTOCOLO DE CONTROL DE TRANSMISIÓN/PROTOCOLO DE INTERNET) APLICADO EN INTERNET PERMITE INTERCONECTAR CUALQUIER TIPO DE COMPUTADORAS CON CUALQUIER SISTEMA OPERATIVO.
YA HEMOS MENCIONADO QUE OPERATIVIDAD Y SEGURIDAD MANTIENEN UNA RELACIÓN INVERSA.
LA INSEGURIDAD NATURAL DE INTERNET SE HACE MÁS EVIDENTE EN CONEXIONES DESDE UNA COMPUTADORA DIRECTAMENTE COMUNICADA A INTERNET. ES MÁS SENCILLO (REQUIERE MENOS ESFUERZO Y MENOS CONOCIMIENTO TÉCNICO) MONITOREAR INFORMACIÓN BAJO ESAS CONDICIONES.
DE TODOS MODOS, LO QUE PUEDE HACER EL USUARIO ES APLICAR MÉTODOS DE PROTECCIÓN DE SU INFORMACIÓN, PERO NO LO PUEDE HACER CON RESPECTO A INTERNET EN SÍ MISMA. UNA PRIMERA MEDIDA QUE EL USUARIO PUEDE (OBVIAMENTE A UN COSTO) APLICAR ES EL CONCEPTO DE PROTECCIÓN DE INFORMACIÓN POR ENCRIPTACIÓN. EN ESTE CASO, SI BIEN NO SE IMPOSIBILITA LA INTERCEPCIÓN DE LA INFORMACIÓN , SE DIFICULTA, GENERALMENTE CON ÉXITO, LA POSIBILIDAD DE DESCIFRAR (Y ENTENDER) ESA INFORMACIÓN.
LA CRIPTOGRAFÍA ES UNA TÉCNICA QUE, PARTIENDO DE UN MENSAJE PLANO (INTELEGIBLE), REORDENA EL CONTENIDO DE ESE MENSAJE APLICANDO UN CONJUNTO DE REGLAS (HACIÉNDOLO NO INTELEGIBLE), DE MODO QUE, A FIN DE PODER CONOCER Y ENTENDER SU CONTENIDO, DEBEN APLICARSE SOBRE EL MISMO LAS REGLAS QUE LO DESCIFREN. ESTO SE ALCANZA ACTUALMENTE MEDIANTE LA APLICACIÓN DE UN PROGRAMA ESPECÍFICO DE COMPUTACIÓN.
LA SEGUNDA MEDIDA DE SEGURIDAD QUE PUEDE ADOPTAR EL USUARIO ES EVITAR QUE OTRO USUARIO ILEGÍTIMO PUEDA ACCEDER A UNA CUENTA SIMULANDO SER EL LEGÍTIMO, Y QUE A PARTIR DE AHÍ UTILICE EL SISTEMA PARA COMETER ACCIONES COMO SI FUERA EL TITULAR, PERO AJENO AL CONTROL DE ÉSTE.
UNA TERCERA MEDIDA DE SEGURIDAD QUE DEBE TOMAR EL USUARIO ES CONTRATAR EL SERVICIO DE ISP (INTERNET SERVICE PROVIDER, CONEXIÓN CON UN PROVEEDOR) CONFIABLE QUE GARANTICE LA SEGURIDAD.
LOS PROVEEDORES DEL SERVICIO CONSTITUYEN RIESGOS POTENCIALES DEBIDO AL GRAN PODER QUE CONCENTRAN: TIENEN ACCESO A TODAS LAS CLAVES DE LA CUENTAS Y PUEDEN CONOCER, EN CONSECUENCIA, EL CONTENIDO DE SUS ARCHIVOS SIN SER DETECTADOS (AQUÍ EL USUARIO PIERDE CONFIDENCIALIDAD).
A ESTO SE SUMA QUE LAS ISP GENERAN BACK-UPS (POR RAZONES OPERATIVAS), LO QUE CONSTITUYE OTRA FUENTE DE RIESGO POTENCIAL. ADEMÁS, LOS ADMINISTRADORES DEL SERVICIO LLEVAN REGISTROS DE TODOS LOS MOVIMIENTOS (OPERACIONES EFECTUADAS), COMO TAMBIÉN DESDE DÓNDE (NÚMERO TELEFÓNICO) SE CONECTAN LOS USUARIOS.
A CAUSA DE SU FRECUENTE USO EN LA GESTIÓN DE NEGOCIOS, EL CORREO ELECTRÓNICO, COMO PARTE DE INTERNET, TAMBIÉN SE CARACTERIZA POR SU CONDICIÓN DE INSEGURO, CAUSADA POR EL USO DEL MISMO PROTOCOLO TPC/IP (TRANSMISSION CONTROL PROTOCOL/INTERNET QUE PERMITE COMUNICAR COMPUTADORAS DE CUALQUIER TIPO.
ESTA CONDICIÓN DE INSEGURIDAD TAMBIÉN PUEDE SOLUCIONARSE APLICANDO TÉCNICAS DE ENCRIPTACIÓN.
LOS VIRUS INFORMÁTICOS EN INTERNET LOS VIRUS INFORMÁTICOS EN INTERNET LOS VIRUS INFORMÁTICOS SON UN CONJUNTO DE INSTRUCCIONES DE COMPUTACIÓN ELABORADAS CON LA INTENCIÓN DE PRODUCIR DAÑO, LAS CUALES SE DIFUNDEN ENTRE COMPUTADORAS A TRAVÉS DE LA GENERACIÓN DE COPIAS DE SÍ MISMO.
LOS VIRUS INFORMÁTICOS EXISTEN ANTES DE LA APARICIÓN DE INTERNET. COMIENZAN A CONOCERSE A FINES DE LA DÉCADA DE 1980.
SE PROPAGARON A TRAVÉS DEL MUNDO POR MEDIO DE LÍNEA TELEFÓNICA, O BIEN, ERAN TRANSPORTADOS EN DISKETTES.
INTERNET PROVOCÓ SU ACELERACIÓN (AÑO 1995) Y DIFUSIÓN AL SER TRANSMITIDOS CON LA MISMA VELOCIDAD QUE EL CORREO ELECTRÓNICO. ESTO ES PORQUE A INTERNET ACCEDEN PERMANENTEMENTE MILLONES DE PERSONAS QUE, ENTRE OTRAS COSAS, INTERCAMBIAN ARCHIVOS ADJUNTOS A MENSAJES, LO QUE FACILITA LA PROLIFERACIÓN E INFECCIÓN.
CUANDO UN VIRUS INGRESA EN UNA COMPUTADORA SE INCORPORA COMO PROGRAMA DENTRO DE ELLA (VIOLACIÓN), PUDIENDO OCASIONAR DAÑOS TALES COMO ANOMALÍAS EN EL FUNCIONAMIENTO DE UNA APLICACIÓN (POR EJEMPLO, SOBREESCRITURA DE LA INFORMACIÓN ALMACENADA EN EL DISCO RÍGIDO), INTERRUPCIÓN NO PLANEADA DE UN PROCESO EN EJECUCIÓN, BORRADO DE ARCHIVOS, ETCÉTERA.
DEBIDO A QUE LOS VIRUS SON TÉCNICAMENTE UN PROGRAMA, PARA QUE FUNCIONE DEBE SER EJECUTADO. ES POR ESO QUE TODOS LOS CREADORES DE VIRUS DEBEN PREVER QUE SUS PROGRAMAS SE EJECUTEN POR SÍ SOLOS Y QUE LOS USUARIOS NO CONOZCAN ESA ACCIÓN.
SI EL USUARIO ES OBSERVADOR, FRENTE A UN ARCHIVO EJECUTABLE INFECTADO PUEDE OBSERVAR EL AUMENTO DE TAMAÑO DE UN ARCHIVO, Y ASÍ DETECTAR LA PRESENCIA DEL VIRUS.
LA POSIBILIDAD DE QUE UNA COMPUTADORA SE AFECTE CON UN VIRUS INFORMÁTICO TRANSMITIDO A TRAVÉS DE INTERNET PUEDE SURGIR DE DOS RUTAS:
- A TRAVÉS DE UN ARCHIVO BAJADO DE UN SITIO, O BIEN,
-DESDE UN ARCHIVO ADJUNTO A UN MENSAJE DE CORREO ELECTRÓNICO (VIRUS DE ARCHIVOS EJECUTABLES Y MACROVIRUS).
UN MACROVIRUS ES UN VIRUS COMPUESTO POR INSTRUCCIONES CODIFICADAS EN LENGUAJES DE MACROS DE UNA APLICACIÓN DEL TIPO DE PLANILLA DE CÁLCULO,
EL MACROVIRUS ACTÚA DE TAL MANERA QUE, CUANDO UNA APLICACIÓN ABRE UN ARCHIVO AFECTADO, ESA APLICACIÓN SE INFECTA, Y CADA VEZ QUE SE GENERA UN ARCHIVO NUEVO O SE MODIFICA UNO YA EXISTENTE ADOPTARÁ EL MACROVIRUS.
ALGUNOS SÍNTOMAS PERMITEN SOSPECHAR LA PRESENCIA DE VIRUS; ALGUNOS SÍNTOMAS PERMITEN SOSPECHAR LA PRESENCIA DE VIRUS; POR EJEMPLO, LOS SIGUIENTES: POR EJEMPLO, LOS SIGUIENTES:
- OBSERVAR DEMORAS NO HABITUALES EN EL TIEMPO QUE TARDAN LOS PROGRAMAS AL CARGARSE.
- LENTITUD EN EL PROCESAMIENTO DE APLICACIONES.
- OCUPACIÓN DE ESPACIO NO RAZONABLE EN EL DISCO RÍGIDO.
- OCUPACIÓN DE LA MEMORIA CON PROGRAMAS RESIDENTES NO RECONOCIDOS.
ENTRE LAS MEDIDAS DE PREVENCIÓN DE LOS USUARIOS PARA MANEJAR LA ENTRE LAS MEDIDAS DE PREVENCIÓN DE LOS USUARIOS PARA MANEJAR LA PROTECCIÓN FRENTE A LA PRESENTACIÓN DE VIRUS, PUEDEN MENCIONARSE LAS PROTECCIÓN FRENTE A LA PRESENTACIÓN DE VIRUS, PUEDEN MENCIONARSE LAS SIGUIENTES: SIGUIENTES: - EVITAR ABRIR ARCHIVOS QUE PROVENGAN DE EMISORES NO RECONOCIDOS. - EN CASO DE BAJAR ARCHIVOS EJECUTABLES O PROGRAMAS, GRABARLOS EN UN DIRECTORIO DETERMINADO Y APLICARLES UN PROGRAMA ANTIVIRUS ACTUALIZADO. - SI SE DETECTA ALGÚN ARCHIVO AFECTADO, BORRARLO.
- PREVER UTILIZAR UN PROGRAMA ANTIVIRUS CON CAPACIDAD PARA ANALIZAR COMPACTADOS (LA MAYORÍA DE LOS ARCHIVOS QUE CIRCULAN POR INTERNET ESTÁN COMPACTADOS). UN PROGRAMA ANTIVIRUS EFICAZ DEBE CONTENER UN DETECTOR RESIDENTE EN MEMORIA (EL DETECTOR INFORMA LA PRESENCIA DE UN VIRUS).
LA PRÁCTICA DE UTILIZAR ANTIVIRUS COMENZÓ EN LOS PRIMEROS MOMENTOS DE APARICIÓN DE LOS VIRUS, CON LA APLICACIÓN DE SCANNING (SIGNIFICA "EXPLORAR", "ESCUDRIÑAR"; EN LA JERGA LOCAL SE DENOMINA "ESCANEO").
EN ESTE CASO, EL PROGRAMA ANTIVIRUS CONTIENE PEQUEÑAS PORCIONES DE INSTRUCCIONES CODIFICADAS REPRESENTATIVAS DE LOS VIRUS CONOCIDOS HASTA ESE MOMENTO. SOBRE ESTA BASE, Y RASTREANDO EL CÓDIGO DE LOS ARCHIVOS ALMACENADOS EN LA UNIDAD QUE SE VA A ANALIZAR, COMPARA ESA SERIE DE INSTRUCCIONES PARA VERIFICAR SU POSIBLE SIMILITUD, Y ASÍ DETECTAR E IDENTIFICAR LA PRESENCIA DE UN VIRUS CONOCIDO.
PERO LA INEFICIENCIA DE LA TÉCNICA DE SCANNING RADICA EN SU PERO LA INEFICIENCIA DE LA TÉCNICA DE SCANNING RADICA EN SU PROPIA FORMA DE OPERAR: PROPIA FORMA DE OPERAR:
• PRIMERO ACTÚA EL VIRUS (LA SOLUCIÓN SE PRESENTA A POSTERIORI).
• EL VIRUS SE PROPAGA CAUSANDO DAÑOS ANTES DE QUE INGRESE EN LA BASE DE DATOS (DE VIRUS) DE LOS PROGRAMAS ANTIVIRUS.
• EL PROCESO DE APARICIÓN DE VIRUS, SU PROPAGACIÓN, SU ANÁLISIS, SU INCORPORACIÓN A LOS PROGRAMAS ANTIVIRUS Y LA APLICACIÓN DE ESTOS ÚLTIMOS, SIGNIFICA UN TIEMPO PROLONGADO QUE TRANSCURRE ANTES DE QUE OPERE LA SOLUCIÓN.
• LA ACTUALIZACIÓN DEL PROGRAMA ANTIVIRUS DEBE SER PERMANENTE, Y FRECUENTE LA INSTALACIÓN DE NUEVAS VERSIONES POR PARTE DE LOS USUARIOS.
• RECORDAR NO DEJAR DISKETTES INSTALADOS EN LA DISKETTERA DE ARRANQUE (O MODIFICAR LA SECUENCIA DE ARRANQUE, PRIMERO DISCO DURO Y LUEGO DISKETTERA).
CAPÍTULO 2CAPÍTULO 2
AUDITORÍA DE SISTEMAS DE AUDITORÍA DE SISTEMAS DE INFORMACIÓNINFORMACIÓN
INTRODUCCIÓN A LA FUNCIÓN DE AUDITORÍA INTRODUCCIÓN A LA FUNCIÓN DE AUDITORÍA
LA PRIMERA CONSIDERACIÓN QUE DESEAMOS INTRODUCIR AL TRATAR ESTE TEMA CONSISTE EN ACLARAR QUE NO DEBE CONCEPTUARSE, VISUALIZARSE NI APLICARSE LA AUDITORÍA DE SISTEMAS COMO UNA DISCIPLINA INDEPENDIENTE DE LA AUDITORÍA GENERAL. POR EL CONTRARÍO, LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN ES UNA PARTE COMPONENTE DE LA AUDITORÍA GENERAL, Y SUS FUNCIONES INTEGRAN EL PLAN Y LOS ESFUERZOS DE LA MISMA.
LA AUDITORÍA GENERAL COMPRENDE A LA AUDITORÍA CONTABLE Y A LA AUDITORÍA OPERATIVA.
POR LO GENERAL, ESTAS AUDITORÍAS SON DESARROLLADAS POR AUDITORES EXTERNOS, POR ESO SE LA SUELE DENOMINAR "AUDITORÍA EXTERNA". LOS AUDITORES DE SISTEMAS DE INFORMACIÓN PARTICIPAN EN ESTE TIPO DE AUDITORÍA APLICANDO PROCEDIMIENTOS ASISTIDOS POR COMPUTADORA PARA RESPALDAR A LOS AUDITORES CONTABLES.
LA AUDITORÍA OPERATIVA O AUDITORÍA DE GESTIÓN TIENE EL PROPÓSITO DE EVALUAR LA ESTRUCTURA DE CONTROL INTERNO EN UN ÁREA DETERMINADA. MIDE Y EVALÚA LA EFICACIA DE OTROS CONTROLES. POR LO GENERAL, SON LOS AUDITORES INTERNOS QUIENES LAS EJECUTAN, Y EL ACENTO ESTÁ PUESTO EN LOS PROCESOS.
SE APLICAN TÉCNICAS DE CUMPLIMIENTO. LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN TIENE NATURALEZA OPERATIVA (REVISIONES DE CONTROLES DE APLICACIONES O DE SISTEMAS LÓGICOS DE SEGURIDAD).
EL OBJETIVO DE LA AUDITORÍA INTERNA ES AYUDAR A LA GERENCIA A EJECUTAR SUS FUNCIONES CON EFECTIVIDAD.
ESTE OBJETIVO IMPLICA LAS SIGUIENTES ACTIVIDADES:
1- REVISIÓN O EVALUACIÓN DE LA ADECUACIÓN, PROFUNDIDAD Y APLICACIÓN DE LOS CONTROLES CONTABLES, FINANCIEROS Y OTROS OPERATIVOS EJERCITADOS A UN COSTO RAZONABLE. EN EL CUMPLIMIENTO DE SUS FUNCIONES, EL AUDITOR INTERNO NO TIENE RESPONSABILIDAD DIRECTA NI AUTORIDAD SOBRE LAS ACTIVIDADES EXAMINADAS.
2- DETERMINACIÓN DEL CUMPLIMIENTO DE LAS POLÍTICAS, PLANES Y PROCEDIMIENTOS ESTABLECIDOS.
3- VERIFICACIÓN DEL ADECUADO REGISTRO DE LOS ACTIVOS DE LA EMPRESA Y DE SU REGUARDO FRENTE A PÉRDIDAS. EL AUDITOR INTERNO DEBE ESTAR AUTORIZADO AL ACCESO DE LOS REGISTROS DE LA EMPRESA, DE DOCUMENTACIÓN Y DEL PERSONAL.
4- RECOMENDACIÓN DE MEJORAMIENTO OPERATIVO.
LA TAREA DE LA AUDITORÍA INTERNA EXIGE UNA ABSOLUTA INDEPENDENCIA DE CRITERIO POR PARTE DEL AUDITOR.
ESTA EXIGENCIA TIENE UNA SIGNIFICATIVA REPERCUSIÓN CON RESPECTO A LA PREPARACIÓN DEL AUDITOR ACTUAL EN EL MANEJO DE LA TECNOLOGÍA INFORMÁTICA
ESTA INDEPENDENCIA SE LOGRA POR MEDIO DE LA ESTRUCTURA ORGANIZACIONAL Y DE LA OBJETIVIDAD. LA ORGANIZACIÓN DEBE ESTAR ESTRUCTURADA DE TAL MANERA QUE LA FUNCIÓN DE AUDITORÍA INTERNA DEPENDA DE UN FUNCIONARIO QUE POSEA SUFICIENTE AUTORIDAD COMO PARA TOMAR ACCIÓN SOBRE EL PERSONAL DE LÍNEA, FRENTE A RECOMENDACIONES O HALLAZGOS DEL AUDITOR.
LA OBJETIVIDAD SE MANIFIESTA MEDIANTE LA IMPOSIBILIDAD DE QUE EL AUDITOR SE INVOLUCRE EN EL DESARROLLO E INSTALACIÓN DE PROCEDIMIENTOS QUE DEBERÁN LUEGO SER MOTIVO DE EXAMEN Y REVISIÓN POR EL MISMO IMPLEMENTADOR.
NO OBSTANTE, SE DISCUTIRÁ MÁS ADELANTE, LA NECESIDAD DE PARTICIPACIÓN DEL AUDITOR EN LA DETERMINACIÓN DE AQUELLOS PUNTOS DE CONTROL QUE DEBEN ESTAR INCORPORADOS EN TODO SISTEMA DE INFORMACIÓN Y QUE, DESDE LUEGO, DEBEN SER DEFINIDOS AL IGUAL QUE LAS PISTAS DE AUDITORÍA EN LOS MOMENTOS DE DESARROLLO DEL SISTEMA.
UNA AUDITORÍA GLOBAL COMPRENDE TANTO ASPECTOS DE AUDITORÍA CONTABLE COMO OPERATIVA. EL PLANEAMIENTO DE UNA AUDITORÍA GLOBAL DEBE COMBINAR ACCIONES DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN COMO ACCIONES DE AUDITORÍA CONTABLE Y OPERATIVA.
EN LA ETAPA DE PLANIFICACIÓN DE LA AUDITORÍA GENERAL DEBERÁ ESTABLECERSE LA RELACIÓN ENTRE LA ACTIVIDAD DE LOS AUDITORES EXTERNOS Y LA DE LOS INTERNOS.
AUNQUE LOS EXTERNOS HAN DE PRESENTAR UNA VISIÓN INDEPENDIENTE DE LA EMPRESA, ES PROBABLE QUE QUIERAN EVITAR DUPLICACIONES INÚTILES DE ESFUERZOS Y DESPERDICIAR RECURSOS. LA COORDINACIÓN DE AMBOS GRUPOS PUEDE ALCANZAR UNA COBERTURA DE AUDITORÍA MÁS COMPLETA.
LOS PLANES DE AUDITORÍA TENDRÁN EN CONSIDERACIÓN LA CALIDAD DE LOS CONTROLES DE LOS SISTEMAS DE APLICACIÓN Y LOS ORGANIZATIVOS Y DE PROCEDIMIENTOS QUE SE HAYAN EXAMINADO EN REVISIONES ANTERIORES.
SI LOS CONTROLES Y PROCEDIMIENTOS SON BUENOS, SE HARÁ MÁS HINCAPIÉ EN LAS PRUEBAS DE CUMPLIMIENTO. SI POR EL CONTRARIO, LA PERCEPCIÓN ES QUE LOS CONTROLES SON DÉBILES O INEXISTENTES, SE INSISTIRÁ MÁS EN LAS PRUEBAS SUSTANTIVAS.
IMPACTO DE LA TECNOLOGÍA INFORMÁTICA SOBRE LA AUDITORÍA IMPACTO DE LA TECNOLOGÍA INFORMÁTICA SOBRE LA AUDITORÍA LAS COMPUTADORAS, Y SUS MECANISMOS ASOCIADOS, HAN PASADO A FORMAR PARTE INTEGRANTE DE LOS SISTEMAS CONTABLES Y ADMINISTRATIVOS EN LA MAYORÍA DE LAS EMPRESAS, SIN DISTINCIÓN YA DE LA DIMENSIÓN DE LAS MISMAS.
EL GRADO DE AUTOMATIZACIÓN DE LA ACTIVIDAD CONTABLE VARIARÁ DE UNA SITUACIÓN A OTRA, PERO ES INDUDABLE QUE EN LA MAYORÍA ES CONSIDERABLE.
LOS CONTROLES, ANTES RESERVADOS A LA RESPONSABILIDAD DE PERSONAS FÍSICAS, SE HAN INCORPORADO DEFINITIVAMENTE A LOS SISTEMAS MISMOS.
LA APLICACIÓN DE TÉCNICAS JUST-IN.TIME, OPERACIONES ON-LINE, LA UTILIZACIÓN DE BASES DE DATOS, LOS SISTEMAS OPERATIVOS AVANZADOS, LA INCURSIÓN EN INTERNET, Y OTRAS TECNOLOGÍAS EMERGENTES DE LA INFORMÁTICA, TALES COMO LAS HERRAMIENTAS CASE (COMPUTER-AIDED SYSTEM ENGINEER, INGENIERÍA DE SISTEMAS ASISTIDA POR COMPUTADORA), TOTAL QUALITY, ARQUITECTURA "CLIENTE/SERVIDOR", SISTEMAS LAN (LOCAL ÁREA NETWORK, RED DE ÁREA LOCAL), EL PROCESAMIENTO DE IMÁGENES Y LA MULTIMEDIA, CREAN UN DESAFÍO A LAS EMPRESAS Y A LOS PROFESIONALES, QUIENES SÓLO PODRÁN SUBSISTIR Y COMPETIR A TRAVÉS DE CAPACITACIÓN Y APLICACIÓN DE ESTRATEGIAS ADECUADAS.
LA UTILIZACIÓN DE COMPUTADORAS MODIFICA LA NATURALEZA DEL CONTROL DE LOS DATOS CON RELACIÓN A LAS ATAREAS DE CONTROL DE LOS PROCEDIMIENTOS ADMINISTRATIVOS MANUALES.
EL PROCESAMIENTO ELECTRÓNICO MINIMIZA LA PARTICIPACIÓN DE PERSONAS EN LA GESTIÓN ADMINISTRATIVA, VOLVIENDO MÁS DIFÍCIL EL CUMPLIMIENTO DEL CLÁSICO PRINCIPIO DE SEPARACIÓN DE FUNCIONES.
UN CONJUNTO DE PROGRAMAS PUEDE PROCESAR UNA ACTIVIDAD COMPLETA. SI LOS CONTROLES INCORPORADOS AL SISTEMA SON COMPLETOS Y ADECUADOS, EL SISTEMA COMPUTARIZADO PUEDE RESULTAR MÁS SEGURO Y CONFIABLE QUE UN MECANISMO DE VERIFICACIÓN MANUAL.
POR EL CONTRARIO, SI LOS CONTROLES AUTOMÁTICOS SON DÉBILES O INSUFICIENTES, ESTO PUEDE LLEVAR A LA EMPRESA A QUE APLIQUE ESOS SISTEMAS A SITUACIONES DE RIESGO DE UNA MAGNITUD IMPREDECIBLE
SI BIEN ES FUNDAMENTAL LA EXISTENCIA DE GUÍAS Y PRINCIPIOS RELATIVOS A LA DOCUMENTACIÓN Y PISTAS DE AUDITORÍA Y CONTROLES PARA LA CONSTRUCCIÓN DE SISTEMAS, LA CALIFICACIÓN FINAL DE TALES SISTEMAS NO SERÁ POSIBLE HASTA QUE SE EFECTÚE UNA REVISIÓN INDEPENDIENTEMENTE DE LOS RESULTADOS DE LOS MISMOS.
MUCHOS SISTEMAS HAN SIDO DISEÑADOS POR ESPECIALISTAS EN INFORMÁTICA COMPETENTES, PERO CARENTES DE LOS CONOCIMIENTOS NECESARIOS EN PRÁCTICAS Y PROCEDIMIENTOS CONTABLES. POR EL CONTRARIO, AQUELLOS ENTENDIDOS EN POLÍTICAS Y PROCEDIMIENTOS ORGANIZACIONALES ENCUENTRAN LIMITACIONES EN EL ÁMBITO DE DESARROLLO DE SISTEMAS.
LA REVISIÓN INDEPENDIENTE, ACTIVIDAD DE LA AUDITORÍA, ES EL PROCESO DE COMPARAR RESULTADOS PRODUCIDOS POR EL SISTEMA CON LOS REQUERIMIENTOS DETERMINADOS EN EL SISTEMA.
ENFOQUE DE LA AUDITORÍA DE SISTEMASENFOQUE DE LA AUDITORÍA DE SISTEMAS
"LA AUDITORÍA DE SISTEMAS HA SIDO DEFINIDA COMO LA REVISIÓN SISTEMÁTICA ORGANIZADA DE LOS SISTEMAS EN FUNCIONAMIENTO PARA VER SI EN ELLOS SE VERIFICAN LAS PROPIEDADES DE:
• VIGENCIA DE LOS OBJETIVOS PLANTEADOS COMO BASE DEL DISEÑO ORIGINAL (ENTENDIENDO POR DISEÑO EL ARREGLO O COORDINACIÓN DE LAS PARTES O DETALLES DEL SISTEMA).
• CONCORDANCIA DEL SISTEMA CON LOS OBJETIVOS (EFECTIVIDAD).
• PERMANENCIA DEL DISEÑO POR NO HABER SUFRIDO ALTERACIONES QUE LO DEGRADARAN OPERATIVAMENTE.
• EFICIENCIA DEL SISTEMA".
DIVERSOS FACTORES HAN INFLUIDO PARA QUE AQUELLOS MÉTODOS DE AUDITORÍA QUE FUERON EFECTIVOS EN AMBIENTES NO COMPUTARIZADOS, DEJARAN DE SERLO EN UN ENTORNO DE PROCESAMIENTO AUTOMATIZADO. MENCIONAREMOS ALGUNOS DE ELLOS:
- PROCESOS AUTOMATIZADOS EN VEZ DE MANUALES: PARA UNA PERSONA NO ENTRENADA, PUEDE SIGNIFICAR UNA DIFICULTAD LA COMPRENSIÓN DE LA LÓGICA DE ESTA FORMA DE PROCESAMIENTO.
- RIESGOS Y CONTROLES: LAS AMENAZAS CONTRA LA SEGURIDAD DE LOS SISTEMAS ELECTRÓNICOS SON NUEVAS CON RELACIÓN A LAS QUE PODRÍAN PREOCUPAR EN UN AMBIENTE DE PROCESOS MANUALES; POR ENDE, LOS CONTROLES Y MEDIDAS CONTRAPUESTOS A ESAS AMENAZAS SON DISTINTOS DE LOS TRADICIONALES.
- EVIDENCIAS: EL AUDITOR NECESITA EN SU TRABAJO APOYARSE SOBRE EVIDENCIAS; LAS EVIDENCIAS NO SON VISIBLES AL OJO HUMANO CUANDO LA INFORMACIÓN SE ENCUENTRA EN UN MEDIO MAGNÉTICO O ELECTRÓNICO.
- HERRAMIENTAS Y TÉCNICAS: LAS UTILIZADAS EN PROCESOS ELECTRÓNICOS SON DESCRIPTAS CON UNA TERMINOLOGÍA DE DIFÍCIL COMPRENSIÓN PARA EL NO INICIADO.
LA FUNCIÓN DE AUDITORÍA NO SE LIMITA AL SEGMENTO DE PROCESAMIENTO ELECTRÓNICO DE DATOS DE UN SISTEMA, DEBIDO A QUE ABARCA EL ENTORNO TOTAL DE UNA APLICACIÓN DESDE EL MOMENTO EN QUE OCURRE UNA TRANSACCIÓN HASTA QUE ESTA ES REGISTRADA Y PRODUCE UN INFORME FINAL.
EN CONSECUENCIA, LA AUDITORÍA DEBE ASEGURAR, CON RESPECTO A LOS
SISTEMAS, LO SIGUIENTE:
- LA EXISTENCIA DE PISTAS DE AUDITORÍA, DE MODO QUE LAS OPERACIONES PUEDAN SER RASTREADAS A TRAVÉS DE TODO EL SISTEMA.
- LA EXISTENCIA DE CONTROLES ADECUADOS CON RESPECTO A LA ENTRADA DE DATOS Y AL MANTENIMIENTO DE LA INTEGRIDAD DE LOS MISMOS, ASÍ COMO TAMBIÉN DE LAS TRANSACCIONES QUE SE EFECTÚAN CON ELLOS A TRAVÉS DEL SEGMENTO COMPUTARIZADO DEL SISTEMA.
- EL MANEJO ADECUADO DE LAS EXCEPCIONES Y DE LOS RECHAZOS ORIGINADOS POR LOS CONTROLES DE ENTRADA DE DATOS, Y EL ASEGURAMIENTO DE SU INCORPORACIÓN AL SISTEMA EN LOS CASOS QUE CORRESPONDA.
- EL ASEGURAMIENTO DE QUE LAS POLÍTICAS CORPORATIVAS Y EL CUMPLIMIENTO DE REGLAMENTOS GUBERNAMENTALES HAYAN SIDO INCORPORADOS AL SISTEMA.
- LA VERIFICACIÓN DE QUE LOS SISTEMAS SE COMPORTEN CONFORME FUERON DEFINIDOS.
-EL CONTROL DE QUE LAS MODIFICACIONES QUE SE OPEREN SOBRE LOS SISTEMAS SEAN DEBIDAMENTE AUTORIZADAS POR EL NIVEL JERÁRQUICO QUE CORRESPONDA.
- LA EXISTENCIA DE CONDICIONES Y PROCEDIMIENTOS DE SEGURIDAD QUE PROTEJAN LOS DATOS DE LA ORGANIZACIÓN
-EL ASEGURAMIENTO DE LA ADECUADA INTERCONEXIÓN ENTRE LOS DIVERSOS SISTEMAS.
TENDENCIAS DE LA AUDITORÍA DE SISTEMAS:TENDENCIAS DE LA AUDITORÍA DE SISTEMAS:
EL AUDITOR DEL FUTUROEL AUDITOR DEL FUTURO
LA EVOLUCIÓN DE LOS MÉTODOS Y TÉCNICAS DE AUDITORÍA DE SISTEMAS , DEBE SEGUIR PASO A PASO LA EVOLUCIÓN DEL AVANCE DE LA TECNOLOGÍA INFORMÁTICA, DE TAL FORMA QUE LA CAPACITACIÓN DE LOS AUDITORES DEBERÁ ORIENTARSE EN ESA DIRECCIÓN
CON EL CORRER DEL TIEMPO, LOS AUDITORES SE ENCONTRARÁN CADA VEZ MÁS INVOLUCRADOS EN LAS OPERACIONES DEL PROCESAMIENTO ELECTRÓNICO DE DATOS Y EN LOS RESULTADOS QUE SURGEN DE LAS MISMAS.
POR OTRA PARTE, SERÁ CADA VEZ MÁS INTENSA LA PARTICIPACIÓN DE LOS AUDITORES ESPECIALIZADOS EN EL DESARROLLO DE LOS PASOS QUE INTEGRAN AL CICLO DE VIDA DE SISTEMAS DE INFORMACIÓN, PARTICULARMENTE EN LO REFERENTE A INSERCIÓN DE PUNTOS DE CONTROL EN LOS PROCESOS QUE INTEGRAN LOS SISTEMAS.
ALGUNAS DE LAS TENDENCIAS EN MATERIA DE AUDITORÍA DE SISTEMAS ALGUNAS DE LAS TENDENCIAS EN MATERIA DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN SE PUEDEN SINTETIZAR EN LOS SIGUIENTES PUNTOS: DE INFORMACIÓN SE PUEDEN SINTETIZAR EN LOS SIGUIENTES PUNTOS:
SE PROFUNDIZARÁ Y GENERALIZARÁ LA TRANSFERENCIA ELECTRÓNICA DE DATOS E INFORMACIÓN
LOS AUDITORES DEBERÁN PRESTAR ESPECIAL ATENCIÓN AL "FRAUDE INFORMÁTICO".
MAYOR PRODUCTIVIDAD: SURGE DEL USO DE NUEVOS LENGUAJES DE PROGRAMACIÓN (LENGUAJES DE CUARTA GENERACIÓN) Y DEL DESARROLLO DE PROTOTIPOS COMO ALTERNATIVA FRENTE AL MÉTODO DE CICLO DE VIDA.
MAYOR PARTICIPACIÓN DE LOS USUARIOS: CUBREN EL TIEMPO QUE NO DISPONEN LOS ANALISTAS PARA ATENDER LAS SOLICITUDES DE TRABAJOS DE COMPUTACIÓN.
EL USO DE MICROCOMPUTADORAS, EN LAS ÁREAS DE USUARIOS FINALES QUE NO ESTÁN CONECTADAS A UNA RED LOCAL
SURGIRÁN TÉCNICAS DE AUDITORÍA MÁS SOFISTICADAS, PERMITIENDO AL AUDITOR UNA UTILIZACIÓN MÁS FRECUENTE DE LA COMPUTADORA EN SUS PROCESOS DE REVISIÓN.
PARA EL FUTURO SE PRETENDE UNA COMPLETA INTEGRACIÓN ENTRE LA HOY DENOMINADA AUDITORÍA DE PROCESAMIENTO ELECTRÓNICO DE DATOS Y LA AUDITORÍA FINANCIERA.
EL CONOCIMIENTO DEL MODERNO PROCESAMIENTO DE DATOS Y DE LOS PROCEDIMIENTOS AVANZADOS EN MATERIA DE SEGURIDAD, CONTROL Y AUDITORÍA, DEBERÁ SER PATRIMONIO DEL AUDITOR Y NO DEL "ESPECIALISTA" EN DETERMINADO TIPO DE AUDITORÍA.
ACTUALMENTE, ES FRECUENTE ENCONTRAR UNA FUERTE SEPARACIÓN ENTRE GRUPOS DE AUDITORES DE COMPUTACIÓN, POR UN LADO, Y AUDITORES TRADICIONALES, AÚN DENOMINADOS FINANCIEROS U OPERATIVOS, POR EL OTRO. INCLUSO, ALGUNAS IMPORTANTES FIRMAS CONSULTORAS EN AUDITORÍA Y ORGANIZACIÓN MANTIENEN ESTA SEPARACIÓN DE ESPECIALIDADES.
LOS AUDITORES "FINANCIEROS" U "OPERATIVOS" TRADICIONALES NO HAN LOGRADO, EN ALGUNOS CASOS, ALCANZAR EL NIVEL DE CONOCIMIENTOS Y HABILIDAD NECESARIOS PARA COMPRENDER EL MODELO OPERATIVO EN UN AMBIENTE MODERNO DE ADMINISTRACIÓN POR COMPUTACIÓN
A PESAR DE LAS VENTAJAS QUE SIGNIFICA LA INTEGRACIÓN DE LAS FUNCIONES DE LA AUDITORÍA DE PROCESAMIENTO ELECTRÓNICO DE DATOS Y LA AUDITORÍA FINANCIERA, HAY OTROS ARGUMENTOS DE QUIENES NO COINCIDEN CON ESTE ENFOQUE. SE ANOTAN LOS SIGUIENTES:
EXISTE UNA MARCADA DIFERENCIACIÓN ENTRE LA FORMACIÓN PROFESIONAL DE AMBAS DISCIPLINAS , SOBRE TODO EN LO CULTURAL, QUE SE TRADUCE EN UNA DISTINTA MANERA DE CAPACITACIÓN Y ENTRENAMIENTO DE LAS ESCUELAS PROVEEDORAS DE ESTAS ÚLTIMAS
EL AUDITOR GENERALISTA INVERTIRÍA MUCHO TIEMPO EN ALCANZAR UNA CAPACITACIÓN Y ENTRENAMIENTO ADECUADO EN CIERTOS ASPECTOS ESPECÍFICOS Y COMPLEJOS DE LA DISCIPLINA INFORMÁTICA, EN TEMAS COMO: TELECOMUNICACIONES, LA ADMINISTRACIÓN DE BASE DE DATOS, O LA REVISIÓN DEL FUNCIONAMIENTO DE UN SISTEMA OPERATIVO.
EN ESTOS CASOS EL AUDITOR SUELE RECURRIR A LA EXPERIENCIA DE UN ESPECIALISTA QUE LO APOYE EN EL MOMENTO DE EMITIR SU OPINIÓN (HAY QUE ANALIZAR EN QUE MEDIDA SE AFECTA EL REQUERIMIENTO DE INDEPENDENCIA DE CRITERIO QUE SE EXIGE AL AUDITOR INDEPENDIENTE.
El CONTROL INTERNO El CONTROL INTERNO
EL SISTEMA DE CONTROL INTERNO COMPRENDE EL PLAN DE ORGANIZACIÓN Y TODOS LOS MÉTODOS COORDINADOS Y MEDIDAS ADOPTADAS DENTRO DE UNA EMPRESA CON EL FIN DE:
SALVAGUARDAR SUS ACTIVOS,
VERIFICAR LA CONFIABILIDAD Y CORRECCIÓN DE LOS DATOS CONTABLES,
PROMOVER LA EFICIENCIA OPERATIVA , Y
FOMENTAR LA ADHESIÓN A LAS POLÍTICAS ADMINISTRATIVAS PRESCRIPTAS.
LA EVALUACIÓN DE CONTROL INTERNO ES NECESARIO PARA DETERMINAR EL ALCANCE DE LAS PRUEBAS A LAS CUALES DEBEN RESTRINGIRSE LOS PROCEDIMIENTOS DE AUDITORÍA.
TIPOS DE CONTROLES QUE CONSTITUYEN LOS COMPONENTES DE UN SISTEMA DE TIPOS DE CONTROLES QUE CONSTITUYEN LOS COMPONENTES DE UN SISTEMA DE CONTROL INTERNO, QUE SON LOS SIGUIENTES:CONTROL INTERNO, QUE SON LOS SIGUIENTES:
- CONTROLES CONTABLES INTERNOS: CONCIERNEN A LA SALVAGUARDIA DE LOS ACTIVOS Y A LA CONFIABILIDAD DE LOS REGISTROS CONTABLES (CONFIANZA QUE REQUIERE LA INFORMACIÓN FINANCIERA).
EN UN AMBIENTE DE PROCESAMIENTO ELECTRÓNICO DE INFORMACIÓN LOS CONTROLES CONTABLES SON AQUELLOS CUYO OBJETO CONSISTE EN ASEGURAR QUE EL PROCESAMIENTO SEA EFECTUADO SIN ERRORES QUE NO PUEDAN SER DETECTADOS;
POR EJEMPLO, ASEGURAR QUE LA INFORMACIÓN DE ENTRADA SEA CORRECTA Y QUE NO HAYA PÉRDIDA U OMISIONES POR FALTA DE PROCESAMIENTO DE DATOS:
QUE EL PROGRAMA EMPLEE LOS ARCHIVOS ADECUADOS, QUE EL PROCESAMIENTO SEA CORRECTO Y QUE LA INFORMACIÓN DE SALIDA SEA DISTRIBUIDA A LAS PERSONAS AUTORIZADAS PARA RECIBIRLA.
-CONTROLES OPERATIVOS: INHERENTES A LAS OPERACIONES, FUNCIONES Y ACTIVIDADES DIARIAS. GARANTIZAN QUE LAS OPERACIONES SATISFAGAN LOS OBJETIVOS DEL NEGOCIO.
- CONTROLES ADMINISTRATIVOS: DESTINADOS A CONTROLAR LA EFICACIA EN UN ÁREA FUNCIONAL, EL CUMPLIMIENTO DE LAS POLÍTICAS GERENCIALES Y SU ADHESIÓN A LAS NORMAS DE LA ADMINISTRACIÓN.
DE LAS DEFINICIONES ANTERIORES SURGEN LOS OBJETIVOS DE CONTROL:DE LAS DEFINICIONES ANTERIORES SURGEN LOS OBJETIVOS DE CONTROL:
-RESGUARDO DE ACTIVOS.
-CUMPLIMIENTO DE POLÍTICAS CORPORATIVAS Y EXIGENCIAS LEGALES.
-VERIFICACIÓN DE LA EXACTITUD E INTEGRIDAD DE LAS TRANSACCIONES.
-ASEGURAMIENTO DE LA CONFIABILIDAD DE LOS PROCESOS.
-CONTROL DE LA EFICACIA Y ECONOMÍA DE LAS OPERACIONES.
UN EJEMPLO ACLARARÁ LAS DIFERENCIAS ENTRE CONTROL INTERNO CONTABLE Y CONTROL INTERNO ADMINISTRATIVO.
UN PROCEDIMIENTO DE COMPRAS MAYORES EXIGIRÁ CUMPLIR CON DETERMINADA SECUENCIA DE PASOS. UNO DE ESOS PASOS SERÁ "SOLICITAR COTIZACIONES A CIERTO NÚMERO DE PROVEEDORES POTENCIALES". LA REVISIÓN DE LA FORMA EN CUANTO A CÓMO SE CUMPLIÓ CON ESE REQUISITO APUNTA A DETERMINAR EL GRADO DE EFICIENCIA APLICADO EN LA OPERACIÓN. SE TRATA, EN ESTE CASO, DE UN CONTROL DE TIPO ADMINISTRATIVO QUE NO APUNTA A VERIFICAR LA CORRECCIÓN O NO DE LOS REGISTROS QUE SURJEN DE LA OPERACIÓN.
POR EL CONTRARIO, UN CONTROL INTERNO CONTABLE VERIFICARÁ SI SE EFECTÚA CORRECTAMENTE LA REGISTRACIÓN DE LA ENTRADA DEL MATERIAL ADQUIRIDO EN EL REGISTRO ESPECÍFICO, Y SI SE EFECTÚAN PERIÓDICAMENTE RECUENTOS FÍSICOS DEL MATERIAL EN DEPÓSITO A EFECTOS DE SU COMPARACIÓN CON LOS MENCIONADOS REGISTROS.
EL CONTROL INTERNO CONTABLE INCLUYE TAMBIÉN EL ANÁLISIS DE EVENTUALES DIFERENCIAS DE INVENTARIO Y SU CORRESPONDIENTE AJUSTE. NO SE OCUPA DE ANALIZAR LA EFICIENCIA DE LA GESTIÓN DE COMPRA.
LOS OBJETIVOS DE CONTROL INTERNO SON VÁLIDOS PARA TODOS LOS SISTEMAS, CUALQUIERA SEA SU GRADO DE AUTOMATIZACIÓN. SIN EMBARGO, EN UN AMBIENTE COMPUTARIZADO SE DEBEN TRADUCIR LOS OBJETIVOS DE CONTROL INTERNO GENERALES EN PROCEDIMIENTOS ESPECÍFICOS DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN.
ALGUNOS EJEMPLOS DE OBJETIVOS DE CONTROL DE INFORMACIÓN EN UN AMBIENTE DE PROCESAMIENTO ELECTRÓNICO SON LOS SIGUIENTES:
-SE MANTIENE CONTROL SOBRE ACCESOS DE DATOS INCORRECTOS.
-LA INFORMACIÓN SE MANTIENE ACTUALIZADA.
-LOS DATOS DE ENTRADA RECHAZADOS POR INCORRECTOS O INCOMPLETOS SE INFORMAN AL USUARIO Y SE VERIFICA SU DESTINO FINAL.
-SE MANTIENEN COPIAS DE RESPALDO DE LOS ARCHIVOS DE INFORMACIÓN A FIN DE LOGRAR SU RECUPERACIÓN EN CASOS DE DESASTRE.
-LAS MODIFICACIONES EN LOS PROGRAMAS DE COMPUTACIÓN DE APLICACIONES SON APROBADAS POR LA AUTORIDAD CORRESPONDIENTE Y SE EFECTÚAN LAS PRUEBAS DE CALIDAD DE LOS PROGRAMAS.
-HASTA AQUÍ PARA LECCIÓN
TODO SISTEMA DE CONTROL INTERNO TIENE LIMITACIONES. POR ESO PUEDE BRINDAR SÓLO UNA SEGURIDAD "RAZONABLE" EN EL LOGRO DE SUS OBJETIVOS. ESTAS LIMITACIONES SURGEN DE LAS SIGUIENTES CIRCUNSTANCIAS:
-EL CONTROL SE EJERCE PRINCIPALMENTE HACIA LAS OPERACIONES REPETITIVAS. PUEDE OCURRIR QUE ESCAPEN DE ESTE CONTROL LAS EXCEPCIONES.
-IMPLICA UN COSTO. EL CONTROL DEBERÁ ENCONTRAR SU JUSTIFICACIÓN EN LA MEDIDA EN QUE SU COSTO NO SUPERE EL VALOR DE AQUELLO QUE SE DESEA CONTROLAR. POR LO TANTO, PUEDEN QUEDAR SIN CONTROLAR AQUELLOS HECHOS O COSAS CUYO VALOR NO JUSTIFIQUE LA APLICACIÓN DE UN SISTEMA DE CONTROL.
- SIEMPRE ESTARÁ LATENTE LA POSIBILIDAD DE BURLAR EL CONTROL QUE SE APOYA EN LA SEPARACIÓN DE FUNCIONES. SI SE VIOLA EL CONTROL POR OPOSICIÓN DE INTERESES, PORQUE DOS O MÁS PERSONAS QUE DEBEN APLICARLO NO LO CUMPLEN, OBVIAMENTE EL CONTROL DESAPARECE.
LAS OPERACIONES QUE REALIZAN LAS ORGANIZACIONES COMERCIALES SE PRODUCEN CUANDO UNA EMPRESA ENTREGA A UN TERCERO, O RECIBE DE ÉL, UN FACTOR ECONÓMICO A CAMBIO DE OTRO FACTOR ECONÓMICO CONTRAPUESTO.
UN FACTOR ECONÓMICO PUEDE SER EXPRESADO EN DINERO, BIENES, SERVICIOS, OBLIGACIONES, ETC. EJEMPLOS DE OPERACIONES PUEDEN SER LA COMPRA O VENTA DE BIENES DE CAMBIO O DE USO, CONTRATACIÓN DE SERVICIOS, COBRANZAS A CLIENTES, PAGOS A PROVEEDORES, PAGO DE REMUNERACIONES, ETCÉTERA.
PARA DISPONER DE ESTADOS CONTABLES CORRECTOS, EL PROCESAMIENTO DE DATOS CONTABLES DEBE CAPTURAR LA TOTALIDAD DE LAS OPERACIONES Y REGISTRAR SUS ATRIBUTOS (FECHA DE FORMALIZACIÓN, PARTES INTERVINIENTES, IDENTIFICACIÓN DEL BIEN O SERVICIO, CANTIDAD Y PRECIO) EN FORMA EXACTA
LOS CONTROLES DE CAPTURA DE LOS DATOS ASOCIADOS A LAS OPERACIONES TIENEN UNA VITAL IMPORTANCIA PARA EL SISTEMA DE CONTROL INTERNO.
PUEDE OCURRIR COMO HIPÓTESIS DE ERROR QUE NO SE DEJE EVIDENCIA DOCUMENTAL O MAGNÉTICA (EN EL FUTURO AGREGARÍAMOS "ÓPTICA") DE UNA OPERACIÓN PRODUCIDA (AUSENCIA DE RASTRO), O BIEN, QUE HABIÉNDOSE REGISTRADO LOS ATRIBUTOS DE LA OPERACIÓN, EN UN PASO POSTERIOR DEL PROCESAMIENTO CONTABLE, ESA EVIDENCIA SE PIERDA O MODIFIQUE SIN RAZÓN VALEDERA.
TODO ERROR NO DETECTADO, EVITADO O NO CORREGIDO EN LA CAPTURA Y PROCESAMIENTO DE DATOS INHERENTES A LOS ATRIBUTOS DE LAS OPERACIONES, IMPLICA UN RIESGO POTENCIAL DE ERRORES EN LA INFORMACIÓN
CONTENIDA EN LOS ESTADOS CONTABLES O EN OTRO TIPO DE INFORME EMITIDO POR LA ORGANIZACIÓN.
POR LO TANTO, PREOCUPA A LA FUNCIÓN DE AUDITORÍA VERIFICAR QUE: LAS OPERACIONES ESTÉN AUTORIZADAS Y REGISTRADAS EN EL PERÍODO CONTABLE CORRECTO; QUE SEAN REALES; QUE EL ACTIVO RECIBIDO PERTENEZCA REALMENTE AL ENTE RECEPTOR; QUE LA OTRA PARTE DE LA OPERACIÓN TAMBIÉN SEA LA QUE CORRESPONDA; QUE SE REGISTRE LA OPERACIÓN POR LOS PASIVOS; QUE SEA CORRECTA LA ESPECIFICACIÓN DE LA OPERACIÓN, LO MISMO QUE LA CANTIDAD Y PRECIO.
LAS NORMAS RELATIVAS AL ALCANCE DEL TRABAJO DEL AUDITOR INTERNO, ATRIBUYEN UNA IMPORTANCIA SUSTANCIAL A LA CONFIABILIDAD EN EL SISTEMA DE INFORMACIÓN Y DE CONTROL INTERNO.
DICHAS NORMAS EXPRESAN QUE ES UNA FUNCIÓN DE LA AUDITORÍA INTERNA EFECTUAR EL RELEVAMIENTO Y EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO DE LA ORGANIZACIÓN, A FIN DE DETERMINAR EL NIVEL DE EFECTIVIDAD DEL MISMO EN TODAS LAS ETAPAS DEL PROCESO ADMINISTRATIVO, PRODUCIENDO SU OPTIMIZACIÓN A TRAVÉS DE RECOMENDACIONES DE LOS CAMBIOS NECESARIOS.
CON RELACIÓN A LA TAREA DEL AUDITOR EXTERNO, ESTE PROFESIONAL DEBE "OBTENER ELEMENTOS DE JUICIO VÁLIDOS Y SUFICIENTES QUE LE PERMITAN EMITIR SU OPINIÓN O ABSTENERSE DE ELLA SOBRE LOS ESTADOS CONTABLES DE UN ENTE".
ESOS ELEMENTOS DE JUICIO VÁLIDOS Y SUFICIENTES DEBERÁN RESPALDAR SU INFORME MEDIANTE LA EVALUACIÓN DE LAS ACTIVIDADES DE CONTROL INTERNO DE LOS SISTEMAS QUE SON INHERENTES A SU REVISIÓN (SIEMPRE QUE, CON RELACIÓN A SU TAREA, EL AUDITOR DECIDA DEPOSITAR SU CONFIANZA EN TALES ACTIVIDADES, PARA DETERMINAR SU NATURALEZA, ALCANCE Y OPORTUNIDAD DE
LAS PRUEBAS DE AUDITORÍA A APLICAR).
LA REFERENCIA QUE SE HACE EN EL PÁRRAFO ANTERIOR AL CONTROL INTERNO ES IMPORTANTE, PUESTO QUE ELLO SIGNIFICA QUE CUANTO MÁS EFECTIVOS SEAN LOS CONTROLES INTERNOS DE UNA ORGANIZACIÓN PARA CUMPLIR SON SUS OBJETIVOS, MENOR SERÁ EL ESFUERZO DE REALIZACIÓN DE PROCEDIMIENTOS SUSTANTIVOS PARA
ASEGURAR LA RAZONABILIDAD DE LOS VALORES DE LOS ESTADOS CONTABLES AUDITADOS.
