1 | P á g i n a

2 | P á g i n a

Contenidos

Introducción

Desarrollo

Conclusiones

Referencias Bibliograficas y/o Electronicos

Electronica

EL PERFIL DE UN AUDITOR EN LOS CONTROLES INTERNOS DE UNA ORGANIZACIÓN

POR EL LCDO. AMADO ARCAYA

ASEGURAMIENTO. ¿QUE SIGNIFICA EN AUDITORIA?

POR EL LCDO. CESAR RAMÍREZ

Introducción

Desarrollo

Aseguramiento: Que significa en Auditoria?

Que pasa en la práctica?

Revisión, atestación y aseguramiento.espaciales Espaciales

La seguridad razonable.

espaciales Espaciales Que ocurre en América Latina?

Conclusiones.

Referencias

3 | P á g i n a

IMPORTANCIA DE LA AUDITORIA DEL DESARROLLO DE SISTEMAS DE BASE DE DATOS

POR LA LCDA. CECIL REYES

Introducción

Desarrollo

Referencias Bibliográficas y Electrónicas

Conclusiones

4 | P á g i n a

EL PERFIL DE UN AUDITOR EN

LOS CONTROLES INTERNOS DE

UNA ORGANIZACIÓN

INTRODUCCIÓN

La auditoría es una forma de poder controlar y evaluar, las operaciones y actividades que se realiza en una organización, para verificar si los van acorde a los objetivos de la misma, para esto es necesario seguir normas y procedimientos para el objetivo propuesto por el auditor. Es por ello, que en las últimas décadas se han venido gestando grandes avances en las tecnologías de información y comunicación a escala planetaria donde las organizaciones han tenido que adaptar sus procesos a las tendencias actuales, donde la demanda de la información relacionada al desempeño, patrimonio y negocio en marcha de los organismos sociales, es constante.

Este avance de las tecnologías, ha

originado la necesidad de examinar y evaluar la veracidad, objetividad y exactitud de la información administrativa. De eta forma para estar acorde a esta realidad, se hace necesario es necesario contar con un auditor que cumpla con todas las normas y procedimiento que exige la organización y la empresa contrata para realizar las actividades de auditoria, cumpliendo con una serie de principios éticos y morales asumiendo una aptitud razonable utilizando sus habilidades, conocimiento y competencias necesarias.

DESARROLLO En una organización o institución es

necesario contar con normas o estándares de calidad donde el flujo de información en la misma determinará si es óptima o puede acarrear problemas internos dentro de la

misma organización. Para ello según las normas ISO-9001 citado por el artículo del Congreso Nacional de Profesionales de Ciencias Económicas, 2010 define proceso como una forma de utilización de los recursos con el fin que los elementos de entrada se transformen en resultados. Ahora bien de acuerdo a los resultado obtenidos se evaluaran los riegos de ese proceso o a esa situación, para ello es necesario implementar medidas de control el cual será la forma de alcanzar la meta de una empresa o institución.

De esta forma, el mundo de las

organizaciones junto con el impacto de la globalización ha generado que el manejo de las organizaciones por sus propios propietarios o gerentes vaya separándose o teniendo varias discrepancias con los directivos de la misma (Gustavo Carrio Pistun, 2011). De esta forma se puede vislumbrar los interés de por medio que puede existir entre los miembro de un directivo y los intereses de los propietarios y/o los gerentes, todo esto conlleva a tomar una serie de medidas de control que ayude a la seguridad de los propietarios y la sana gestión de los directores de una empresa o institución. Por ello, es necesario establecer distintos niveles de control en cada uno de los procesos que realiza la organización.

Según COBIT, (2007) define control

como “las políticas, procedimientos, prácticas y estructuras organizativas diseñadas para proporcionar una garantía razonable de que se lograrán los objetivos del negocio, y que los eventos indeseados serán prevenidos o detectados y corregidos”. Este mismo autor, también define un objetivo de control como una declaración del resultado deseado o propósito que debe lograrse al implementar procedimientos de control en un proceso en particular. De esta manera, se puede hacer análisis, comprender y establecer cuáles son las verdaderas responsabilidades de cada

5 | P á g i n a

una de las personas que hacen vida dentro de una organización, como también la forma de darle seguimiento a cada una de las actividades y como estas se realizan.

Es por ello, se tiene que contar con

personas expertas en el área donde la misma deben de responder a una ética y una responsabilidad intachable donde evaluaran el desempeño de cada una de las dependencia que conforman a esa organización, emitiendo un juicio con respecto a los análisis de resultado obtenidos.

En concordancia a lo ante planteado,

es importante saber las funciones y las responsabilidad de cada uno de los integrantes de una organización, también hay que tomar en cuentan las tecnologías de información y los sistemas de información que son parte esencial del funcionamiento de cualquier institución, estos revisten vital importancia por cuanto son los encargados de que la empresa pueda desarrollarse a una velocidad increíble o puede hacer el “mástil” el cual la empresa vaya en picada ocasionando daños irreversibles a la misma.

En este caso, se estaría hablando del

control interno donde según COSO, (1992) por sus siglas en internet (Committee of Sponsoring Organizations The Treadway Commission) citado por Gustavo Carrio Pistun (2011), lo define como un proceso, efectuado por el directorio, la dirección y el resto de los integrantes de una organización, destinado a proveer razonable seguridad en relación al logro de objetivos en la siguientes categorías: eficacia y eficiencia de las operaciones, confiabilidad en la elaboración de información contable, cumplimiento con las leyes y regulaciones aplicables.

Esto quiere decir, que para que en

una organización alcance su máximo potencial, es necesario que cada integrante sepa controlar y dirigir los proceso de su

respectivo cargo, como también es necesario saber direccionar y supervisar las funciones inherentes de cada una las personas que está a su cargo, para así alcanzar los objetivos primordiales de la institución, en este punto, es importante recalcar que estas palabras abarcan varios factores, de cómo ellos visualizan el control interno de su empresa y concepción parcial que se tiene de la misma. De esta forma, el control interno debe estar acorde con los objetivos de la misma organización donde se pueda medir el desenvolvimiento de las diferentes operaciones que se realizan cumpliendo con las leyes y las normas que gobiernan a la institución.

Según Gustavo Carrio Pistun, (2011) la responsabilidad de organizar, establecer y mantener el sistema de control, debe ser de la máxima autoridad jerarquía de la empresa para que este tome las precauciones necesarias y se puedan alcanzar las metas de la empresa como tal. Ahora bien, antes de emitir un juicio, la máxima autoridad debe estudiar las funciones de cada una de las personas que integran el equipo de trabajo donde ellos tiene que velar, por cada uno de los procesos que se encuentren bajo control cumpliendo con las leyes, para que de una o de otra forma no afecte el comportamiento de la empresa con respecto a sus objetivos.

Por su parte, el control de las

Tecnologías de Información de una empresa es unas piezas de más importancia, ya que a través de ellas se pueden gestionar la mayoría de los procesos o actividades que realizan en la misma, por ende, es susceptible a cualquier a un riesgo sobre el funcionamiento de la misma organización. Donde según ISACA, (2005) expresa que los “controles generales de TI son controles que minimizan el riesgo en el funcionamiento general de los sistemas e infraestructura de TI de la organización, y un extenso conjunto de soluciones automatizadas (aplicaciones). En

6 | P á g i n a

este contexto, Los controles de aplicación son un conjunto de controles incrustados dentro de las aplicaciones. Siguiendo esta idea, los controles de TI transversales son controles generales de TI que están diseñados para administrar/gestionar y monitorizar el entorno de TI y, por tanto, afectan a todas las actividades relacionadas con TI.”

De la cita anteriormente planteada, se

puede inferir de la necesidad de implantar los controles que regulen las tecnologías que se esté utilizando en una organización, donde se pueda evaluar el verdadero fin de la misma y si va a acorde con los objetivos de la organización o empresa, para llevar a cabo este control es necesario contar un experto que ayude descubrir si las operaciones o actividades apoyadas en las TI se están cumpliendo y van acorde con las metas de la institución, para que posteriormente se pueda tomar las decisiones que le sean más pertinente a las instituciones.

Por otra parte, la auditoría Sistema

Información, según los estándares de COBIT (2007) lo define como “cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes”.

Así mismo, para Gustavo Carrio

Pistun, (2011) “La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.”

Se puede enfatizar de lo expresado anteriormente, que la auditoria de sistema comprende el comportamiento de las tecnologías de información, que utiliza una organización para su funcionamiento, a través de evaluaciones realizadas a procedimientos específicos, detallando las entradas, procedimientos, controles, archivos, seguridad y obtención de información. Su importancia radica en el buen desempeño de los sistemas de información por cuanto que ofrece un nivel de seguridad y confiabilidad a los procesos de que se realizan en la organización, basado en la evaluaciones realizados a todo lo que tiene que ver con la informática, la organización de los centros de información hardware y software

Mientras que ISACA, (2005) define el

auditor de SI “como el que debe evaluar y supervisar los controles de TI que son parte integral del entorno de control interno de la organización. El auditor de SI debe asistir a la gerencia proporcionando consejos con respecto al diseño, la implementación, la operación y la mejora de controles de TI”.

Estos estándares especifican el

comportamiento que debe asumir el auditor con respecto a las directrices y los procedimientos que debe considerar al momento de evaluar un SI este debe proporcionan asesoramiento, debe utilizar un buen juicio profesional en su aplicación y estar dispuesto a justificar cualquier desviación de las mismas. El objetivo de las Directrices de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI.

Con respecto a los Procedimientos

proporcionan ejemplos que podría seguir un auditor de SI en el curso de un contrato de auditoría. Los documentos sobre procedimientos proporcionan información sobre cómo cumplir con los estándares al realizar trabajos de auditoría de SI, pero no

7 | P á g i n a

establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoría de SI es proporcionar mayor información con respecto a cómo cumplir con los Estándares de Auditoría de SI.

Adicionalmente los estándares

ISACA, (2005), muestran en detalle la actitud y la manera como el auditor de SI debe utilizar una técnica o enfoque apropiados de evaluación de riesgos al desarrollar el plan general de auditoría de SI, al determinar prioridades para una asignación eficaz de los recursos de auditoría de SI, para proporcionar una garantía con respecto al estado de los procesos de control de TI.

El auditor de SI además debe

considerar la utilización de técnicas de análisis de datos, incluida la utilización de una garantía continua, que permita a los auditores de SI monitorizar la fiabilidad del sistema de forma continua y, recoger evidencias selectivas de auditoría por medio del ordenador/computadora al revisar los controles de TI.

De lo dicho anteriormente se resalta

el papel importante que debe de desarrollar el auditor, donde se tiene que investigar, estudiar, evaluar los procesos y los procedimiento de una actividad detectar los principales riesgo y amenazas de una organización describiendo en detalle cómo fue lo sucedido o él porque está sucediendo un hecho, es allí donde se mide la capacidad de y el juicio del experto. Para esto, el auditor realiza una evaluación y realizar un informe de los hechos, actividades o procesos encontrado durante la auditoria y que dicho informe vaya apegado y acorde a las leyes y reglamentos por la autoridad competente del tema

Por ende, el auditor debe de cumplir

el código de ética profesional donde pueda realizar la auditora, tomando la debida

precaución. Según ISACA, (2005) establece que este Código de Ética Profesional se utiliza para guiar la conducta profesional y personal de los miembros y/o poseedores de certificaciones de la asociación. Donde la misma establece los deberes y principios que los miembros deben de poseer como son:

1. Respaldar la implementación y promover el cumplimiento con estándares y procedimientos apropiados del gobierno y gestión efectiva de los sistemas de información y la tecnología de la empresa, incluyendo la gestión de auditoría, control, seguridad y riesgos.

2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado profesional, de acuerdo con estándares de la profesión.

3. Servir en beneficio de las partes interesadas de un modo legal y honesto y, al mismo tiempo, mantener altos niveles de conducta y carácter, y no involucrarse en actos que desacrediten su profesión o a la Asociación

4. Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus deberes a menos que la divulgación sea requerida por una autoridad legal. Dicha información no debe ser utilizada para beneficio personal ni revelada a partes inapropiadas.

5. Mantener la aptitud en sus respectivos campos y asumir sólo aquellas actividades que razonablemente esperen completar con las habilidades, conocimiento y competencias necesarias

6. Informar los resultados del trabajo realizado a las partes apropiadas, incluyendo la revelación de todos los hechos significativos sobre los cuales tengan conocimiento que, de no ser divulgados, pueden distorsionar el reporte de los resultados.

7. Respaldar la educación profesional de las partes interesadas para que tengan una mejor comprensión del gobierno y la gestión de los sistemas de información y la tecnología

8 | P á g i n a

de la empresa, incluyendo la gestión de la auditoría, control, seguridad y riesgos.

El incumplimiento de este Código de

Ética Profesional puede acarrear una investigación de la conducta de un miembro y/o titular de la certificación y, en última instancia, medidas disciplinarias.

Por las consideraciones anteriores, el

auditor de un SI debe ser una persona íntegra, de valores que asuma con firmeza la responsabilidad al momento de realizar tareas de auditoria. Donde los auditores deben estar acordes a las tendencias el cual exige estar actualizado en las modificaciones que se realicen al código de ética profesional de esta forma cumplir con las especificaciones de dicho código al realizar tareas como auditores de SI

En síntesis, el auditor de SI debe

poseer el más alto grado de integridad, de valores, de moralidad, conducta entre otros serie de valores, que puedan perturbar el desenvolvimiento en sí de una auditoria y no adoptar ningún método que pueda considerarse legal, no ético o poco profesional para obtener o realizar tareas de auditoría.

CONCLUSIÓN

Para finalizar el siguiente articulo haciendo énfasis en todo lo dicho anteriormente sobre todo en el control interno y la función del auditor de sistemas información dentro de una organización, donde llevar el control de los procesos internos que se realizan, es de principal importancia para la persona encargada de gerenciar, donde debe de verificar como se está llevando los procesos que están bajo su responsabilidad, asimismo velar que los mismo se estén llevando de acuerdo a las normas y procedimientos que establece la organización, donde los eventos no deseados

puedan ser detectado y corregidos, asegurando con ello que los objetivos se hayan cumplido o alcanzado a cabalidad.

Por consiguiente, el control interno

aplicado a las tecnologías de información, es una responsabilidad un poco más profunda, debido que tiene que velar que los sistemas de información debe funcionar correctamente que comprende entre su implementación, el soporte y los servicios que prestan las tecnologías de información, a través de estos controles se puede observar, administrar, supervisar el desenvolvimiento de las tecnologías de información en la misma organización a vaya acorde a los objetivos de la misma, entonces es aquí donde el auditor o el especialista en auditoria de sistema debe apoyarse en técnicas que permita la evaluación de dichos procesos. De esta forma, estos pueden detallar las evidencias selectivas por medio del ordenador/computadora al revisar los controles de las tecnologías de información.

Por otro lado, el código de ética que

debe regir el auditor al momento de realizar el proceso de auditoria es fundamental, puesto que es allí donde se da a conocer la integridad y la validez que tiene la empresa consultora y la de su personal, partiendo que deben de tener una conducta intachable, justa y parcializada de cualquier situación que aparezcan dentro de una organización haciendo valer los principios y la moral para realizar dicha tarea, a través normas y procedimientos y como se ha dicho a largo de este artículo vaya acorde a los objetivos de las organización

BIBLIOGRAFÍA

Conae y oea / dss, (2009) “conceptos sobre riesgo” disponible en la página http://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdf

9 | P á g i n a

Ed Gelbstein, (2011) “La integridad de los

datos: el aspecto más relegado de la seguridad de la información” disponible en la pagina http://www.isaca.org/Journal/Past-Issues/2011/Volume-6/Pages/Data-Integrity-Information-Securitys-Poor-Relation-spanish.aspx

ISACA, (2005) “Norma De Auditoría De Si

Estatuto De Auditoría” Disponble En La Pagina Http://Www.Isaca.Org/Knowledge-Center/Standards/Documents/Standards-It-Spanish-S1.Pdf

ISACA, (2005) “Controls” disponible en la

pagina http://www.isaca.org/Knowledge-Center/Standards/Documents/Standards-IT-Spanish-S15.pdf

ISACA, (2005) “Código de Ética

Profesional de ISACA” disponible en la pagina http://www.isaca.org/About-ISACA/History/Espanol/Documents/ISACA-Code-of-Ethics-Spanish.pdf Gustavo carrio Pistun, (2011) “auditoría y control Interno” disponible en la pagina http://www.utu.edu.uy/Publicaciones/Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf Sena, L (2004) “Introducción a riesgo informático” disponible en la pagina http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf COVIT, 2007 “Control Objectives for Information and related Technology de IT Governance Institute” disponible en http://www.info.unlp.edu.ar/uploads/docs/cobit.pdf

10 | P á g i n a

11 | P á g i n a

ASEGURAMIENTO. QUE

SIGNIFICA EN AUDITORIA? Introducción

Cuando vi la palabra aseguramiento en un curso reciente de Auditoria de Sistemas me pareció natural que dicha palabra apareciera en el contenido de dicha unidad curricular y cuando me propuse investigar sobre su significado para incluirlo en el glosario de términos, el asunto no fue tan fácil como esperaba.

Digo que me pareció natural porque este concepto lo conocí en un posgrado de Gerencia de la Calidad y Productividad como Aseguramiento de la Calidad, de allí que como el fin de toda Auditoria apunta a detectar errores para proponer mejoras en los procesos de trabajo, la asociación fue rápida e intuitiva.

Sin embargo, el proceso de investigación que hice, revisando artículos y libros me llevo a pensar que este concepto se encontraba en un estado de ambigüedad, es decir, no encontré de manera explícita lo que el aseguramiento significa en el contexto de la Auditoria de Sistemas de Información. Lo que si encontré fue una buena cantidad de información que trata sobre la importancia y el impacto que el aseguramiento viene teniendo en la teoría y práctica de la auditoria.

Este ensayo trata de entender este término en sus diversos sentidos y de relacionarlo como concepto con la administración de riesgos y la seguridad razonable y como práctica profesional en los contratos de auditoría, a la luz de las prácticas y estándares internacionales de auditoría vigentes.

Aseguramiento: Que significa en Auditoria?

Aseguramiento (Assurance) es un fenómeno que está cambiando por completo

la teoría y la práctica de la auditoria en todo el mundo.

En sus orígenes, la auditoria fue un oficio de escuchar (o ver) y transmitir un mensaje (positivo o negativa) al rey, emperador o señor, para que este tomara una decisión final (favorable o desfavorable).

En la actualidad, sigue siendo lo mismo. Pero, por supuesto, ha venido evolucionando hasta convertirse en una disciplina o profesión de gran relevancia en el mundo moderno. Esto se debe a los avances industriales, económicos e institucionales como a los avances en las ciencias y los conocimientos (teorías, técnicas, prácticas y regulaciones) que lo contextualizan.

Es así como puede constatarse que la auditoria mejoro sustancialmente gracias a la incorporación del esquema de revisión (comprobación al 100%). Para luego dar otro avance importante al pasar del esquema de revisión al esquema de atestación (muestreo selectivo) y ahora vuelve a hacerlo al posicionarse en el esquema de aseguramiento (administración de riesgos).

Asociado a este posicionamiento están las siguientes consideraciones: 1. El auditor no solo es una persona

natural, sino también, un profesional agremiado que trabaja en un equipo interdisciplinario de auditoría.

2. El auditor es independiente. 3. Hay una transición de estándares

basados en reglas a estándares basados en principios.

4. Regulación global de la auditoria (incorporación de normas internacionales).

5. Privilegiar la calidad y la ética por encima de la técnica y la legalidad.

Sin embargo, aseguramiento (assurance) es un esquema que está siendo difícil de asimilar. Una de las principales dificultades es aplicar un concepto a partir de los entendimientos particulares de expresiones como assurance, razón por la

12 | P á g i n a

cual no hay acuerdos a la hora de traducir este término al español, lo que complica su aplicación técnica.

Si buscamos de manera rápida en la red se obtienen los siguientes resultados:

Certidumbre, certeza, confianza, aplomo, seguridad http://www.spanishcentral.com/translate/assurance).

Promesa, compromiso, garantía, aseveración, afirmación, seguridad, certidumbre, applomo, serenidad, aseguración (Simon and Schuster´s Internacional Dictionary, p.37).

Garantía, seguridad, seguro, certeza, arrojo (Google).

Así pues, es difícil llegar a acuerdos (consensos) y aceptar que se trata de aseguramiento y que implica un concepto totalmente propio. Por lo que se hace necesario llegar a un acuerdo en cuanto a un significado propio en el idioma original, y por sobre todo, en el glosario de los documentos técnicos donde se usa.

El glosario de los pronunciamientos de IAASB no define este término propiamente, sino que lo refiere a ‘seguridad razonable’, ‘contrato de aseguramiento’, y ‘riesgo del contrato de aseguramiento’.

QUE PASA EN LA PRÁCTICA? El apartado anterior expresa la

complejidad desde el punto de vista de la definición y las interpretaciones y la definiciones operativas relativas al aseguramiento, por otro lado, uno ve que este término aparece en libros, artículos, presentaciones y todo el mundo habla de él, ya sea porque está de moda o porque se supone que todo el mundo sabe lo que es, porque aparece por ahí, pero cuando preguntas o investigas no consigues las respuestas adecuadas ya que en realidad es difícil explicarlo.

Esto implica que las personas que contratan auditoria piensan que el servicio de auditoría que se les está prestando es de aseguramiento, y los auditores lo presentan es sus propuestas, cuando en la realidad no aplican administración de riesgos sino muestreos selectivos o comprobaciones manuales.

Esta situación está obligando a que los auditores se posicionen en el esquema de aseguramiento, cambiando sus teorías y prácticas de auditoría tradicional, cuestión que resulta muchas veces difícil debido a la resistencia natural al cambio. En este sentido el auditor se compromete a dar seguridad razonable de que la información contenida en los informes representa de manera razonable la situación de la organización de acuerdo a los estándares internacionales y se compromete a hacer un examen de seguridad razonable de ello.

Los expertos en auditoria de aseguramiento asesoran en el manejo de herramientas, entrenamiento y métodos que permiten la administración adecuada de riesgos de los negocios. Se trata de profesionales certificados a nivel internacional en Auditoria de Sistemas y Control (CISA), Gobierno de Tecnología de la Información (CGEIT), marcos de trabajo de las buenas prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (ITIL), marco de referencia de objetivos de control de tecnología de la información (COBIT), normas de gestión de la seguridad de la información (ISO 27000).

Los directivos de las organizaciones en la actualidad deben enfrentarse diariamente a decisiones y con cada decisión generan ambientes de riesgos que deben ser administrados. Los expertos en auditoria de aseguramiento ayudan en este proceso a entender esos riesgos, evaluarlos y definir cuál es el nivel de exposición que puede afrontar, que controles debe implementar, como evaluar esos controles y como monitorearlos permanentemente.

13 | P á g i n a

REVISIÓN, ATESTACIÓN Y

ASEGURAMIENTO.

En la actualidad, se están desarrollando nuevas formas de auditorías por lo que se podría esperar que nuevos criterios sean elevados a la categoría de estándares internacionales. Como es el caso de los servicios de aseguramiento de información, la auditoria continúa (ongoing), la auditoria estratégica y la auditoria forense, entre otras.

Al revisar los tipos y las metodologías de auditoría, en general podemos intuir que se pasa de la revisión a la atestación y luego al aseguramiento.

El aseguramiento privilegia la calidad de la información por encima de todo. Consiste en hacer que la información sea creíble, que el usuario pueda confiar en ella para tomar decisiones. No solamente es recolectar y producir la información y dar fe que su contenido es cierto, sino analizar el conocimiento inmerso en ella en función de los objetivos que se persiguen. En el mundo actua,l globalizado y competitivo, el aseguramiento de la información se convierte en el santo grial de la auditoria. De que me sirve una auditoria si no es para obtener el mayor provecho posible.

En el caso de los sistemas de información la auditoria cumpliría entonces la función de verificar el funcionamiento de los sistemas de acuerdo a la normativa vigente pero además el aseguramiento del proceso incluye la información inmersa en los sistemas de conocimiento que se expresan en inteligencia artificial, redes neurales, agentes inteligentes, etc.

Se puede decir entonces que el aseguramiento va más allá, es decir, da un paso adelante en relación a que los métodos convencionales no proveían el aseguramiento requerido por los cambios acelerados en los negocios modernos.

LA SEGURIDAD RAZONABLE.

El Informe COSO, que es un documento que contiene las principales directivas para la implantación, gestión y control de sistemas de control y se ha convertido en un estándar de referencia dice, “diseñado para proporcionar a la administración un aseguramiento razonable con respecto al logro de los objetivos…”, y cuyo propósito es proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos organizacionales, es un ejemplo palpable de cómo estos términos se manejan y muestran claramente la importancia de estos términos.

Con esta expresión pasa algo parecido al aseguramiento, es ambigua, pero aparece por todos lados. Generalmente se refiriere a un nivel de aseguramiento que es alto pero no absoluto.

El aseguramiento absoluto no existe, el aseguramiento medio o aseguramiento limitado, está por debajo de aseguramiento alto (seguridad razonable) dentro de una franja intermedia y el aseguramiento bajo no debería existir ya que este nivel seria de inseguridad y por lo tanto se requiere medidas de aseguramiento. Los fundamentos de esta diferenciación están en la incorporación de las metodologías de administración de riesgos en la auditoría interna.

Pero el concepto de seguridad razonable no es exclusivo de la auditoria. Se corresponde también con la preparación, presentación y revelación de la información financiera, así como al control interno de ese proceso y, por consiguiente, es inherente a la auditoria de estados financieros (ISA) y a la auditoria de control interno (AS-2; AS-5).

Los estándares internaciones IAASB, poseen también las siguientes consideraciones;

Seguridad razonable en el contexto de control de calidad = nivel de aseguramiento alto, pero no absoluto.

14 | P á g i n a

Seguridad razonable en el contexto del contrato de auditoría = nivel de aseguramiento alto, pero no absoluto, expresado positivamente en el reporte del auditor como seguridad razonable de que la información sujeta a auditoria está libre de declaración equivocada material.

Contratos de seguridad razonable (aseguramiento de nivel alto) = auditorias

Contratos de seguridad limitada (aseguramiento de nivel medio) = revisiones

Estamos hablando de la aplicación práctica y concreta de estos términos en la realidad empresarial y de negocios y de cómo se relacionan los conceptos de aseguramiento y seguridad razonable.

¿QUÉ OCURRE EN AMÉRICA

LATINA?

Los conceptos de aseguramiento y seguridad razonable, en el norte, ya están decantados y gozan de entendimiento y están incorporados a los estándares internacionales de control de calidad, auditoria, revisión, otros aseguramientos y servicios relacionados emitidos por la International Auditing and Assurance Standards Board (IAASB).

Pero no ocurre lo mismo aquí en el sur, en la América Latina, donde la abundancia de términos y sinónimos hace que se acrecienten las discusiones y las pasiones y se vaporicen los acuerdos, sobre todo en la adopción de los estándares internacionales. Mientras que por otro lado se fortalecen los sentimientos nacionalistas y locales sacrificando la efectividad y el logro de resultados,

Razón por la cual es muy importante la investigación y la documentación que permita la aplicación adecuada de estos conceptos para de esta manera entender mejor e interactuar bajo estándares internacionales en un mundo globalizado.

También la contratación de los servicios de auditoría se ve afectada por estas imprecisiones, pero lo importante es conocer que los auditores, en su ejercicio profesional, celebran dos tipos de contratos; unos que son contratos de aseguramiento y otros que no lo son. Los estándares internacionales vigentes esclarecen las dudas al respecto y tiene que ver con que el cuerpo de la auditoria está en la seguridad razonable y el cuerpo de la revisión está en el aseguramiento limitado.

CONCLUSIONES. En los párrafos anteriores se han

expresado una serie de consideraciones en relación a un tema que pudiera parecer simple, tanto, desde el punto de vista teórico, como desde un punto de vista práctico. La definición operacional del término ‘aseguramiento’ nos llevó en un recorrido que si bien no abarco todo el espectro proyectado, si abrió caminos hacia su entendimiento y comprensión.

Este concepto toca de manera significativa la esencia de la auditoria tanto en la teoría como en la práctica, con consecuencias importantes en las normas regulatorias como en el ejercicio profesional de la auditoria.

El aseguramiento se introduce a través de la metodología de administración de riegos en la auditoría interna y crea un abanico de posibilidades a nuevos y mayores desarrollos abriendo las puertas a un campo fecundo para la investigación y la búsqueda de nuevas y mejores teorías y prácticas de gerencia de organizaciones, en especial las organizaciones de tecnologías de información y comunicación.

Referencias. Mantilla, Samuel A., Auditoría de

Información Financiera. 3ra Edición. 2009.

Castellanos, José Luis, Auditoria de Sistemas, Editorial Limusa.

15 | P á g i n a

Carmona, Mayra. El papel de la auditoría en los procesos de mejora continua de la gestión. Revista Auditoría y Control. Número 8. La Habana. Cuba. 2003.

Evans, James R. y Lindsay, William M. La Administración y el Control de la Calidad. International Thomson Editores. México, 2000.

León, L.M. 2003a. Auditoría Interna. Un enfoque sistémico y de mejora continua. Gestiopolis.com. Disponible en: http://wwwgestiopolis.com/recursos/documentos/fulldocs/ger1/auditerlefco.htm

Gustavo Carrio Pistun, 2011. Auditoría y Control Interno. Disponible en: http://www.utu.edu.uy/Publicaciones/Publicaciones%20Educativas/NocionesAuditoriaT04EMT.pdf

Que es COSO?, Septiembre 2011. Disponible en: http://blogconsultorasur.wordpress.com/2011/09/06/que-es-coso/

16 | P á g i n a

17 | P á g i n a

IMPORTANCIA DE LA

AUDITORIA DEL DESARROLLO

DE SISTEMAS DE BASE DE

DATOS

INTRODUCCIÓN

Uno de los factores que definen el éxito de una empresa u organización es la forma como ésta maneja el gran cúmulo de datos que de sus operaciones se derivan. Es por ello, que para alcanzar las metas u objetivos propuestos, las organizaciones deben ser capaces adaptarse a los cambios e implementar modelos funcionales de manejo de estos datos que les permitan obtener la información necesaria para llevar a cabo un funcionamiento eficaz. Según Coronel, Morris y Rob, (2010) las organizaciones deben tener los datos disponibles para la toma de decisiones, ya que el propósito primordial de estos es ayudar a la organización a usar la información derivada de ellos como un recurso organizacional. Esto denota la importancia que tiene el registro y control de los datos, se podría inferir entonces que una base de datos es el recurso más idóneo para el manejo y almacenamiento de los datos. Un sistema de base de datos es según, Ramakrishnan, (2003) Es un software diseñado para ayudar en el mantenimiento y utilización de una gran colección de datos. Por otro lado, toda organización debe contar con procedimientos de control interno que le permitan asegurar la calidad de las tareas llevadas a cabo para alcanzar los objetivos propuestos. La función auditora es precisamente la encargada de comprobar que estos procedimientos sean cumplidos de

manera eficaz a través de la aplicación de métodos y técnicas que permitan evaluar de manera efectiva la gestión administrativa y determinar si existen deficiencias y riesgos asociados con la carencia de control. Piattini, (2005)

DESARROLLO

Una auditoria según Muñoz (2002), citado en Colina, (2013) “Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de funciones, actividades, tareas y procedimientos de una organización, así como dictaminar sobre el resultado de dicha evaluación”. Esto quiere decir entonces, que una auditoria es una herramienta de control muy importante dentro de una organización, ya que a través de la puesta en práctica de esta se podría determinar cuan efectivo es el desempeño de las tareas administrativas. Recientemente las tecnologías de la información y comunicación han causado un gran impacto en el campo de la auditoria. Éstas han cambiado la forma tradicional de ver los procesos que se llevan a cabo dentro de una organización, promoviendo así la puesta en marcha de procedimientos más eficaces. Estas tecnologías, sin embargo han traído nuevos riesgos que requieren de controles internos. Ellas han hecho que se requieran de nuevos métodos y técnicas de control para garantizar que los procesos que se realicen usando las TIC, sean seguros y no se tenga ningún riesgo. Es por ello, que a partir de esta necesidad ha surgido una rama de la auditoria, la cual es la auditoria de sistemas. La auditoría es definida por Hernández (1997) citado por Colina (2013): “Como un proceso metodológico que tiene el propósito

18 | P á g i n a

principal de evaluar todos los recursos relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con un criterio de integración y desempeños de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización”. Esta definición nos indica la importancia que tiene la implementación de auditorías de sistema de información en las organizaciones, ya que a través de ellas se garantiza que los procesos que se llevan a cabo de forma automatizada cumplan con los estándares exigidos, para lograr que la organización cumpla con las metas en desempeño que se propone. Cuando en una organización de desea desarrollar e implementar un sistema de información que permita automatizar los procedimientos manuales, se debe también realizar auditoria informáticas a los procesos de planificación, análisis, diseño, construcción e implementación, esto con el objetivo de asegurar que el producto final sea uno que esté acorde con las necesidades de la organización y que no tenga ninguna falla de seguridad. Una auditoria del desarrollo de sistemas de base de datos es aquella que: “tratará de verificar la existencia y aplicación de procedimientos de control adecuados que permitan garantizar que el desarrollo de este sistema de información se ha llevado a cabo según los principios de ingeniería, o por el contrario, determinar las deficiencias existentes en este sentido.” Piattini, (2005) Lo anterior denota que una auditoria del desarrollo debe ir de la mano del durante todas las fases de creación de un sistema de base de datos, ya que una auditoría de este tipo asegura que ese diseño cumpla con todos los parámetros que se exigen, para

lograr que el producto final sea el que la organización requiere. Una auditoria del desarrollo es importante, ya que debido al auge de las tecnologías de la información y comunicación y los avances que en ésta materia han surgido, las organizaciones deben permanecer actualizadas, para estar a la vanguardia de cualquier mejora que en el área de desarrollo de software se presente, puesto que el éxito o no de una organización va estar determinado por la calidad del sistema de información que se posea. Mientras mayor control del proceso de desarrollo de producto mayor será la calidad de este y por tanto se disminuirán los costos por mantenimiento. Una institución debe garantizar que el producto final que se recibirá sea de alta calidad, así se evitara el fracaso del proyecto, además de la perdida de dinero en un software inútil, ya que el producto desarrollado pasará a ser el instrumento de trabajo principal de las áreas automatizadas, transformándose este en el elemento principal de la administración y la toma de decisiones. Piattini, (2005) La auditoría de desarrollo se puede llevarse a cabo durante el proceso o luego del finalizado el proceso. Pero, en mi opinión deber ser ejecutada durante el proceso, ya se evitará la pérdida de tiempo e inversión, además que durante esta etapa se puedan realizar pruebas o cambios en el diseño que permitirán que el proyecto final sea el deseado por el usuario. Para realizar una auditoría del desarrollo es importante tomar en cuenta el ciclo de vida de un software, ya que estas etapas determinaran que controles y pruebas se les deben realizar al proyecto y por ende deben ser tomados en cuenta en la auditoria. “El ciclo de vida de un software es un marco de referencia que contiene los procesos, las actividades y las tareas involucradas en el

19 | P á g i n a

desarrollo, la explotación y el mantenimiento de un producto, abarcando la vida del sistema desde la definición de los requisitos hasta la finalización de su uso.”ISO 12207-1 El ciclo de vida lineal está compuesto por las siguientes etapas: Existen varios modelos de ciclo de vida, la escogencia de uno o de otro depende la amplitud el sistema de información a desarrollar. El departamento de desarrollo debe determinar que controles se deben realizar en cada etapa, para asegurar el éxito y la puesta en marcha del producto final.

Los software para sistemas de base de datos deben ser desarrollados siguiendo unos estándares y objetivos determinados y para que estos estándares y objetivos se cumplan el auditor debe tener mucha pericia para establecer en qué etapa del desarrollo debe aplicar mayor control. Es decir, que el auditor debe ser un experto en el área de informática o por lo menos tener conocimientos amplios sobre este campo.

CONCLUSIÓN De todo lo anteriormente expuesto se puede concluir que una auditoria del desarrollo de una base de datos es importante, puesto que esta garantizará que se estén cumpliendo con todos los controles y objetivos propuestos en la planificación, análisis, diseño en implementación del software, para así obtener un producto final de calidad que tenga las características y especificaciones funcionales requeridas por los usuarios finales del sistema. Por otro lado, también se puede decir que una auditoria del desarrollo es importante, ya que con la aplicación de este tipo de auditoría, la organización evitará pérdidas financieras y de tiempo, ya que mientras más controles se le realicen al

proyecto menor serán los costes de mantenimiento, además que se garantizará que este producto genere mayores beneficios dentro de la organización, puesto que el producto final que se obtenga será una herramienta que sirva para la mejora de la gestión administrativa, así como también servirá de instrumento para la toma de decisiones.

REFERENCIAS BIBLIOGRÁFICAS Y

ELECTRÓNICAS

Colina, A (2013) Clase 1 Auditoria de Sistema. Presentación en PDF, para la maestría de Gerencia de las TIC. Unefa. Falcón. Coronel, C, Morris, S and Rob, P. (2010). Database Systems design, implementation and management. 9th edition. Course Technology, CENGAGE Learning. Boston, USA. Piattini, M., Pesso, E. (2005) Auditoria Informatica: un enfoque práctico. 2da edición. Editorial Alfaomega Grupo Editorial. PDF Ciclo de Vida de un Software. Disponible en: http://img.redusers.com/imagenes/libros/lpcu097/capitulogratis.pdf Ramakrishnan, R and Gehrke, J. (2003) Database Management Systems. 3rd edition. Mcgraw hill. New York, USA.

20 | P á g i n a