Unidad 1. Conceptos Básicos

0Prof. Juan Abigail MedinaEmail: [email protected]

UNIVERSIDAD DOMINICANA O&M

Auditora en entornosinformticos

Ricardo J. CastelloProfesor Auditora de Sistemas Computarizados

Facultad de Ciencias Econmicas-UNCJuan Abigail Medina

Mayo, 2010

Esta versin digital ha sido licenciada por el autor con una licencia de Creative Commons. Esta licenciapermite los usos no comerciales de esta obra en tanto en cuanto se atribuya la autora original.

Atribucin-No Comercial-Compartir Derivadas Igual 2.5 Argentina Usted es libre de:

Copiar, distribuir, exhibir, y ejecutar la obra

Hacer obras derivadas

Bajo las siguientes condiciones:

Atribucin. Usted debe atribuir la obra en la forma especificada por el autor o ellicenciante.

No Comercial. Usted no puede usar esta obra con fines comerciales.

Compartir Obras Derivadas Igual. Si usted altera, transforma, o crea sobre estaobra, slo podr distribuir la obra derivada resultante bajo una licencia idntica a sta.

Ante cualquier reutilizacin o distribucin, usted debe dejar claro a los otros los trminos dela licencia de esta obra.

Cualquiera de estas condiciones puede dispensarse si usted obtiene permiso del titular delos derechos de autor.

Sus usos legtimos u otros derechos no son afectados de ninguna manera por lo dispuestoprecedentemente.

Puede comunicarse con el autor por: e-mail:[email protected] telfono: 54-351-4334181

Segunda edicin: Diciembre de 2006

I.S.B.N. 950-33-0199-8

iProf. Juan Abigail MedinaEmail: [email protected]

Prologo

La presente obra tiene como finalidad servir de material didctico a los estudiantes que cursenasignaturas relacionadas con auditora de sistemas computarizados en carreras de grado ypostgrado vinculadas con las disciplinas de administracin y sistemas. Tambin puede servir aaquellos profesionales que quieran tener una visin global y sumaria de los elementos a tener encuenta cuando se efectan trabajos de auditora en entornos informticos. Su principal objetivo esevitar al lector la consulta de material proveniente de diversas fuentes, proporcionando una visinglobal y sinttica de los temas abordados.

El material obtenido es el resultado de una larga labor de seleccin, clasificacin y elaboracin deartculos escritos por el autor y por otras fuentes (charlas, conferencias, cursos, publicaciones enInternet) relacionadas con el tema. El principal objetivo de este material es recoger la experienciaobtenida por el autor en el dictado de la asignatura "Auditora de Sistemas Computarizados" encarreras universitarias de grado en ciencias econmicas y sistemas y de posgrado, complementadapor su experiencia como profesional.

El tratamiento de los temas tiene como premisa fundamental obtener una presentacin didctica delos distintos tipos de trabajos de auditora que se pueden realizar en un entorno computarizado.

Para una mejor presentacin y comprensin de los conceptos, este trabajo fue desarrollado en seiscaptulos y cinco anexos; los que, a su vez, fueron agrupados en cuatro unidades temticas:

Unidad 1: Conceptos bsicos

Trata los conceptos de auditora y control, trabajos de auditora posibles en un entorno informtico,programas de auditora; est desarrollado en el Captulo 1: "Conceptos Bsicos".

Unidad 2: Auditoria de sistemas de informacin

Descripcin de los trabajos de auditora de sistemas de informacin computarizados; desarrollado enel Captulo 2: "Auditora de Sistemas de Informacin" y el Captulo 3: "Pistas de auditoraelectrnicas". El Captulo 2 es complementado por el Anexo I: "Informe COSO" y el Anexo II:"Anlisis por categorizacin del riesgo (Metodologa de Price Waterhouse)".

Unidad 3: Auditoria informtica

Descripcin de los trabajos de auditora a los recursos informticos de una organizacin; sedesarrolla en el Captulo 4: "Auditora Informtica", al que complementan el Anexo III: "MetodologaCOBIT" y el Anexo IV: "Fases de crecimiento IT".

iiProf. Juan Abigail MedinaEmail: [email protected]

En el Captulo 5: "Seguridad Informtica" se aborda la problemtica relacionada con la proteccin delos activos informticos; lo complementa el Anexo V: "Medidas de seguridad informtica".

Unidad 4: Aspectos generales

Como cierre de este trabajo, presentamos en el Captulo 6: "Marco de las Auditoras Informticas" elambiente global que condiciona la ejecucin de un trabajo de auditora informtica.

ndice de Contenido

UNIDAD 1: CONCEPTOS BSICOS ..................................................................................................1

Captulo 1: Conceptos bsicos ....................................................................................................................... 11. Introduccin ............................................................................................................................................. 12. Clases de auditoria ................................................................................................................................... 1

2.1. Segn el campo de actuacin ........................................................................................................... 12.2. Segn la relacin de dependencia del auditor..................................................................................... 3

3. Control y auditoria .................................................................................................................................... 43.1. Concepto de control ......................................................................................................................... 43.2. Tipos de control ............................................................................................................................... 53.3. Etapas del control ............................................................................................................................ 63.4. Principio de economicidad del control ................................................................................................ 63.5. Auditora y control............................................................................................................................ 7

4. Pistas de auditoria .................................................................................................................................... 75. Auditora y consultora .............................................................................................................................. 86. Programa de auditoria .............................................................................................................................. 8

6.1. Etapas de un programa de auditora ................................................................................................ 107. Antecedentes ......................................................................................................................................... 14

7.1. Equivalentes?.............................................................................................................................. 157.2. Otras auditoras en entornos informticos ........................................................................................ 16

BIBLIOGRAFA ................................................................................................................................ 18


Unidad 1: Conceptos Bsicos

Captulo 1: Conceptos bsicos

1. Introduccin

Etimolgicamente la palabra "auditora" deriva del latn audire que significa or, el sustantivo latinoauditor significa "el que oye". Los primeros auditores ejercan sus funciones principalmente oyendo,juzgando la verdad o falsedad de lo que les era sometido a su verificacin1.

Muchas pueden ser las definiciones de auditora, dependen del enfoque disciplinario de quienes laelaboran; en nuestro caso proponemos la siguiente: Auditora es un control selectivo, efectuado porun grupo independiente del sistema a auditar, con el objetivo de obtener informacin suficiente paraevaluar el funcionamiento del sistema bajo anlisis.

Auditar es efectuar el control y la revisin de una situacin pasada. Es observar lo que pas en unaentidad y contrastarlo con normas predefinidas.

2. Clases de auditoria

De acuerdo a la naturaleza del trabajo, hay distintas clasificaciones de auditora:

2.1. Segn el campo de actuacin

En este caso, clasificamos los trabajos de auditora segn el mbito donde se aplique. Tenemos as:auditoras contables, administrativas, sociales, mdicas, informticas, militares, etc. Veamos ahoracules son los alcances de algunas de ellas.

Auditora contable: Es el examen independiente de los estados financieros de una entidad con lafinalidad de expresar una opinin sobre ellos. En este marco el auditor investiga crticamente losestados contables de una organizacin para formarse un juicio sobre la veracidad de tal informaciny comunicarlo a la comunidad.

El objetivo principal de una auditora contable consiste en examinar los estados contables de unaorganizacin, aplicando "normas de actuacin generalmente aceptadas", de forma que permita alprofesional encargado de su realizacin informar sobre la veracidad y razonabilidad de la situacinpatrimonial examinada, al tiempo que se pronuncia sobre si los mismos estn confeccionados deacuerdo con las normas contables, y si stas han sido aplicadas de manera uniforme con respecto alos ejercicios anteriores. Las caractersticas controladas son las transacciones y el patrimonio en

1 Federacin Argentina de Profesionales en Ciencias Econmicas, CECYT, Informe N 5, rea Auditora, Manual deAuditora, 1985. pg. 33.


cuanto a su existencia, propiedad, integridad, valuacin y exposicin. De este objetivo sedesprenden dos actividades2:

a) Comparar las transacciones del perodo y el patrimonio al final del ejercicio registrado en lacontabilidad.

b) Comparar la valuacin asignada a las transacciones y al patrimonio.

Una auditora contable persigue adems otros propsitos referidos a la proteccin de los activos; elcontrol de los datos en cuanto a su integridad, exactitud, oportunidad; la reduccin de riesgos porprdida de informacin; la evaluacin de la calidad y eficiencia de los controles y la vigilancia de suaplicacin en la prctica.

Auditora administrativa: Es el control de la actividad desarrollada por los administradores de unaorganizacin; evala el desempeo de los mismos como ejecutivos, el cumplimiento de las metasprogramadas, la eficiencia en el uso de los recursos disponibles, el xito o fracaso en las misionesencomendadas.

Se la denomina, tambin, "auditora operativa" y puede ser definida como el examen de la gestin deun ente con el propsito de evaluar la eficiencia de sus resultados. Toma como referencia las metasfijadas a la empresa; los recursos humanos, financieros y materiales empleados; la organizacin,utilizacin y coordinacin de dichos recursos y los controles establecidos sobre dicha gestin. Engeneral busca controlar la calidad de los sistemas de gestin de una empresa.

Auditora Social: Es el examen o evaluacin sistemtica sobre algn campo de accin significativo,definible, de actividades con repercusin social.

Auditora mdica: Es el examen o evaluacin de la calidad de los servicios mdicos efectuados porlos prestadores de salud. Este tipo de auditoras es efectuado por profesionales especializadosvinculados a las obras sociales.

Auditora informtica: En este marco, podemos adelantar el concepto de auditora informtica: esel estudio que se realiza para comprobar la fiabilidad de la herramienta informtica y la utilizacinque se hace de ella en una organizacin. En forma ms amplia se analiza la aplicacin de recursosinformticos a los sistemas de informacin existentes en las empresas, en especial los orientados aautomatizar las tareas administrativo-contables, financieras, de gestin, de soporte de decisiones,etc.

2 Federacin Argentina de Profesionales en Ciencias Econmicas, CECYT, Informe N 5, rea Auditora, Manual deAuditora, Captulo 1, 1985.


2.2. Segn la relacin de dependencia del auditor

Auditora interna: Es una funcin de evaluacin interna, ejercida por personal perteneciente a loscuadros de la empresa. Acta como un servicio independiente de la lnea jerrquica corriente, por loque depende directamente de la Direccin de la organizacin. La auditora interna mide y evala laconfiabilidad y eficacia del sistema de control interno de la entidad con miras a lograr sumejoramiento.

Auditora externa: Es una funcin de evaluacin externa, ejecutada por un ente externo eindependiente de la lnea jerrquica establecida. Acta controlando algn aspecto particular de lasoperaciones o procedimientos establecidos en la organizacin.

Si comparamos las auditoras internas con las externas, vemos que las primeras tienen comoventaja el conocimiento por parte del auditor de la "cultura" de la organizacin y el hecho de que alpertenecer a la plantilla de la empresa el profesional no es visto como un cuerpo extrao y, porconsiguiente, no se le retacea informacin; las externas, en cambio, cuentan como ventaja laindependencia del auditor, quin puede aplicar sus propios criterios, libre del "sentimiento depertenencia" a la estructura de la entidad.. Veamos en el siguiente cuadro3, una comparacin de losalcances de la auditora externa e interna cuando se evalan los estados contables de una entidad:

Aspecto considerado Auditora externa Auditora interna

Objetivo Opinar sobre la razonabilidad de lainformacin reflejada en losEstados Contables, y si fueronelaborados de acuerdo con lasNormas de Auditora Vigentes

Medir y evaluar la eficiencia de laoperatoria del ente, as como laconfiabilidad del control interno delmismo, proveyendo anlisis yrecomendaciones que tiendan a sumejoramiento

Sujeto Contador Pblico Preferentemente profesional deCiencias Econmicas.

Independencia Total Profesional en relacin dedependencia

Objeto principal de suexamen

Estados contables anuales ointermedios

Actividades de control interno delente, circuitos administrativos,manual de procedimientos yorganigramas.

3 Consejo Profesional de Ciencias Econmicas de la Capital Federal, Comisin de Estudio de Auditora, INFORME N18,La tarea de auditora contable y su relacin con la auditora interna del ente, Bs. As., julio de 1992.


Aspecto considerado Auditora externa Auditora interna

Normas de aplicacin Normas profesionales vigentes.Exigencias legales de rganos decontrol.

Normas de auditora interna. Noobligatorias.

Producto final Informe sobre Estados Contablesanuales o intermedios

Informes sobre control interno,gestin, desvos presupuestarios.

Responsabilidad Profesional, Civil, Penal Profesional, Laboral

Condicionespersonales

Independencia de criterio (respectodel ente auditado). Ttulohabilitante. Cuidado profesional.

Independencia de criterio(dependiendo del mximo niveldecisorio de la empresa). Capacidadtcnica. Cualidades personales.

3. Control y auditoria

3.1. Concepto de control

Existen varias definiciones del trmino control. Difieren debido a distinciones conceptuales o bienrespecto al objeto del mismo (dnde ser aplicado). El Informe N 5 del CECYT4 lo define como "elproceso de ejercitar una influencia directiva o restrictiva", es decir, las posibilidades de dirigiractividades hacia objetivos buscados o de evitar que se produzcan resultados no deseados.

En general, se reconoce al control como una funcin administrativa bsica; consiste en verificar quelas diferentes actividades que se realizan en una organizacin tiendan a alcanzar sus objetivos. Seconsidera que el control produce dos tipos de acciones segn sea el mbito donde se aplique:

Influencia directiva, intenta que las actividades del sistema se realicen de modo tal queproduzcan determinados resultados o alcancen objetivos especficos predefinidos.

Influencia restrictiva, la accin se ejerce de modo tal que evite que las actividades de unsistema produzcan resultados no deseados.

Elementos del control

Los elementos necesarios para implementar un sistema de control son5:

Elemento, caracterstica o condicin a controlar.

4 FEDERACIN ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONMICAS, CECYT, reaAuditora, Informe N 5, Manual de Auditora, 1985, pg. 35.

5 5 dem 4, pg. 37.


Sensor: artefacto o mtodo para medir las caractersticas o condiciones controladas, esdecir instrumento para medir el rendimiento.

Grupo de control: unidad o equipo de control para comparar los datos medidos con elrendimiento planeado. Determina la necesidad de correccin y enva la informacin a losmecanismos que deben normalizar o corregir la produccin del sistema.

Grupo activante: mecanismo activador que es capaz de producir un cambio en el sistemaoperante, es decir, realizar la accin correctiva correspondiente.

En sntesis, el control es un proceso y consiste en una comparacin, un contraste de un resultado(ocurrido o proyectado) con otro (esperado o deseable) y, por lo tanto, implica una medicin.

3.2. Tipos de control

Dijimos que auditora es una actividad de control, por lo tanto vamos a profundizar un poco,clasificando a estos ltimos:

a) De acuerdo a su objetivo, en esta categora tenemos:

Correctivos: Son aquellos que cuentan en su estructura con los elementos para medir lasdesviaciones e informar sobre ellas. Implican la determinacin de los desvos y su informe aquien debe actuar sobre stos. Los controles correctivos, tambin, pueden serretroalimentados (datos del pasado) o prealimentados, por ejemplo: presupuestos, ratios.

No correctivos: Son los que prescinden de la medicin e informacin de los desvos que sepueden producir, como es el caso de controles de separacin por funciones y oposicin deintereses.

b) De acuerdo a su marco temporal, en este caso tenemos:

Retroalimentados: Pues operan sobre hechos sucedidos. Comparan los resultadosocurridos con los esperados.

Prealimentados: Pues operan sobre eventos futuros (en los procesos industriales sedenominan "control anticipante") y previenen la ocurrencia de resultados indeseados.

c) De acuerdo a su pertenencia al sistema operante, tenemos:

De secuencia abierta: Donde el grupo de control no pertenece al sistema operante; esindependiente del mismo.

De secuencia cerrada: En el que todos los elementos del control pertenecen al propiosistema operante.


Un enfoque ms cercano a nuestra problemtica es analizar los tipos de controles relacionados conla administracin de una organizacin. En este caso vamos a agruparlos en:

Control interno: Es el conjunto de reglas y normas de procedimiento que regulan elfuncionamiento administrativo de una organizacin. Tienen el propsito de preservar alpatrimonio de la empresa de los posibles errores u omisiones, maniobras fraudulentas odao intencional que pudieran llegar a afectarla.

Control presupuestario: Es el cotejo peridico de los ingresos y de los gastos reales de unperodo con el fin de poner en evidencia las desviaciones a lo presupuestado.

Control de gestin: Proceso mediante el cual los directivos se aseguran la obtencin derecursos y el empleo eficaz y eficiente de los mismos en el cumplimiento de los objetivosfijados a la organizacin.

3.3. Etapas del control

Las etapas para establecer un sistema de control son las siguientes:

1. Establecimiento de estndares: Es la accin de determinar el/los parmetro/s sobre loscuales se ejercer el control y, posteriormente, el estado o valor de esos parmetrosconsiderado deseable. Este es el primer elemento a establecer para instrumentar un sistemade control. En esta especificacin se debern incluir, entre otros, la precisin con que semedir el parmetro a verificar, el mtodo de medicin y el instrumento sensible que seaplicar, la periodicidad en la aplicacin y hasta los responsables de esta tarea.

2. Comparacin o diagnstico: Implica el cotejo entre los resultados reales con losdeseables. En esta etapa se investiga (ms o menos extensamente) acerca de las causasde las desviaciones que acompaarn un informe con las discrepancias detectadas, paraser fuente de informacin de la siguiente fase.

3. La determinacin de acciones correctivas: Es la tercera etapa. Lleva implcita unadecisin: corregir o dejar como est. Obviamente ser ms certera y econmica la solucinde la discrepancia mientras ms correcto sea el diagnstico hecho en la etapa anterior.

4. La ejecucin de las acciones correctivas: Es el ltimo paso. Sin ste, el control serestril, intil e incompleto. Ms an, infinitamente caro como respuesta al problema queintent solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido unaaccin de control.

3.4. Principio de economicidad del control

Un principio bsico a tener en cuenta cuando se quiere implementar un control, es analizar el costode la instrumentacin del mismo. Se considera que este costo debe ser menor al beneficio (potencial


o real) que se obtiene con su implementacin. Por ello no se evalan todas las caractersticas oparmetros posibles, sino slo aquellos que dan un promedio positivo a la relacin costo deimplementar la medida-beneficio esperado (por estas razones se dice que el control es selectivo).

3.5. Auditora y control

En este marco, la auditora es una funcin de control, con las siguientes caractersticas:

Es del tipo retroalimentado, porque se refiere a hechos sucedidos.

Es correctiva, ya que est orientada a la medicin e informacin de los desvos.

Es de secuencia abierta, ya que el grupo de control es independiente (no debe pertenecer alsistema operante, aunque puede ser parte de la empresa).

Es selectiva.

4. Pistas de auditoria

Qu son las pistas de auditora? Son elementos que permiten certificar la existencia de unaoperacin, la validez de sus cifras, la identidad de los sujetos involucrados, el momento de suacaecimiento, etc. Es decir, son la prueba de una transaccin. Las podemos definir como:

"... documentos originarios, diarios, mayores, y papeles de trabajo que posibilitan al auditorrastrear una operacin, desde el resumen hacia la fuente primitiva. Slo por talprocedimiento el auditor puede determinar que los resmenes reflejan la operatoria realtranscurrida6."

El sistema de informacin debera conservar las pistas de auditora para permitir al auditor el rastreodel flujo de operaciones dentro de la empresa, y la comprobacin de la ocurrencia y exactitud de lasregistraciones realizadas.

A partir del empleo de computadores como herramienta base donde se procesan las operaciones deun sistema de informacin, comenzaron a advertirse modificaciones significativas en las pistas deauditora, motivadas por las continuas modificaciones de los equipamientos, y el cambio de lasmodalidades de procesamiento. Por esta causa se ha arribado a una situacin en la cual las pistasde auditora existen pero en condiciones y con caractersticas totalmente diferentes a las imperantesen los sistemas de informacin manuales (en "soporte papel").

6 NCR CORPORATION, Customer Support Training - System Analist Design, Dayton (Ohio), NCR Corporation, 1989.


5. Auditora y consultora

Creemos importante diferenciar las tareas comprendidas en una misin de auditora de aqullas quecorresponden a una consultora, dado que es habitual confundirlas en los trabajos que involucranequipamiento y sistemas informticos. Los lmites entre una y otra se relacionan ms con losobjetivos del trabajo que con las tareas que efectivamente se prestan.

Como ya lo expresramos anteriormente, la auditora comprende la realizacin del control y larevisin de una situacin pasada, observando lo actuado y contrastndolo con normas predefinidas.La efectividad de un trabajo de auditora se refleja en las mejoras recomendadas al sistema decontrol interno de la empresa y a la seguridad.

En tanto, la consultora tiene como misin implementar las recomendaciones propuestas en unaauditora previa o por un ejecutivo, con el propsito de mejorar la productividad de la empresa. Esuna perspectiva de asesoramiento con visin de futuro. Es frecuente que una consultora seaconsecuencia o el resultado de una auditora.

Esto ltimo supone que la consultora se sustenta en un esfuerzo previo de conocimiento ydiagnstico de la organizacin (resultado de una auditora), para luego elaborar las bases de lareorganizacin del ente y la tecnologa de implementacin. La efectividad de la labor de consultorase podr medir a medida que transcurra el tiempo desde la puesta en prctica de las soluciones.

Objetivo Momento

Auditora Controlar el desempeo Posterior a los eventos

Consultora Optimizar el desempeo Previo a los eventos

6. Programa de auditoria

Podemos afirmar que un trabajo de auditora es un proyecto por qu? Para explicar estaafirmacin, recordemos algunos conceptos relacionados con los proyectos:

Concepto de proyecto

Los proyectos son un conjunto de actividades a realizar con un objetivo claramente definido, en unmarco de recursos limitados y dentro de un plazo determinado. Las tareas involucradas en unproyecto normalmente no sern repetidas en el tiempo, son emprendimientos particulares con fechasde inicio y terminacin fijadas. Se caracterizan por disponer de equipos de trabajo formados ad-hocpara desarrollar las tareas en cuestin.


Caractersticas de un proyecto:

Uno de los elementos a tener en cuenta para asegurar el xito de un proyecto es analizar los riesgosdel mismo. Las causas ms frecuentes de su fracaso son las siguientes:

Caractersticade un

proyecto:

Existe un objetivo o beneficio a conseguir.Tiene un principio y un fin.Es no recurrente, es nico y diferente a los

dems.Consta de una sucesin de actividades o

fases y requiere la concurrencia ycoordinacin de diferentes recursos.

Dispone de un conjunto limitado derecursos.

Se desarrolla en un ambiente caracterizadopor el conflicto, frecuentemente "cruza"departamentos y lneas de autoridad.

Causasmsfrecuentesdel fracasode unproyecto

Objetivos inadecuados, confusos, mal definidos, poco realistas,exageradamente ambiciosos, no consensuados.

Comunicacin escasa entre los involucrados en el proyecto, conflictos depoder entre los lderes, mala o nula comunicacin.

Recursos insuficientes, inadecuados.

Mala planificacin e incapacidad para prever la marcha del proyecto,subestimacin de los problemas (o sobrestimacin), visin parcializada.

Administradores del proyecto permeables a las presiones externas.

Problemas polticos, luchas de poder, falta de compromiso por parte delos integrantes del proyecto.


Etapas de un proyecto:

Como vemos, entonces, un trabajo de auditora es un proyecto, ya que no forma parte del trabajohabitual de una organizacin (aunque las auditoras internas puedan desmentir esta afirmacin);estn a cargo de un equipo de trabajo formado especialmente, tienen plazo de inicio y finalizacinfijados, disponen de recursos limitados y tienen un objetivo propio y especfico (los trabajos deauditora no siempre buscan lo mismo). Analizando las caractersticas de un proyecto y sus etapas,podemos hacernos una idea ms cercana sobre cules son las tareas a realizar en un trabajo o"programa" de auditora.

6.1. Etapas de un programa de auditora

Un programa de auditora es el documento que nos dice cmo se efecta el trabajo. Debecontemplar cmo, cundo, quines y dnde se efectuarn las tareas. Podemos entonces agrupar lospasos para realizar una auditora en7:

1) Definicin del objetivo: En los casos de trabajos de auditoras contables las posibilidades paraseleccionar el objetivo de las mismas estn bastante limitadas y son previsibles; en el caso deotros tipos de trabajos de auditora, como las de sistemas, el objetivo se determina en funcin delas necesidades demandadas por quien solicita el servicio.

7 ALIJO, JORGE, Apuntes del Seminario Auditora en Entornos Computarizados , C.P.C.E. de Crdoba, 1994.

Etapasde un

proyecto

Fijacin delobjetivo:Debe clarificarse

adecuadamente elobjetivo con indicacindel alcance.

Planificacin:Consiste en planificar y

programar actividadesdefiniendo recursos,plazos y calidad.

Ejecucin:Es la puesta en marcha

del proyecto, para locual hay que procuraruna ejecucin eficaz.

Control:Implica evaluar la

marcha del proyecto,negociar y redefinir.


2) Definicin del alcance: El alcance de una auditora es determinado siempre en formaespecfica para cada trabajo; en particular, lo fijan las necesidades y expectativas del comitente.En la determinacin del alcance influye de manera decisiva el grado de certeza requerido a losdatos que figuren en el informe. Por ejemplo, si debe controlarse toda la poblacin o puedehacerse un muestreo sobre el tem que se est auditando.

Un elemento distintivo de los proyectos de auditora es que a la fijacin del objetivo sigue ladeterminacin del alcance, pero son dos parmetros que deben establecerse separadamente. Elalcance puede ser asociado a la palabra "profundidad" y comprende la especificacin de "hastadnde" se realizar (se avanzar en) el trabajo de investigacin, cules sern los hechos yelementos que se tomarn en cuenta, cules sern los que no se controlarn. En los trabajos deauditora la delimitacin del alcance es fundamental para poder establecer con claridad los "lmites"del informe y, por consiguiente, los lmites de la responsabilidad del auditor.

Este concepto es de suma importancia ya que define con precisin el entorno y los lmites en que vaa desarrollarse el trabajo; complementa el marco expresado en los objetivos de la auditora. Porejemplo:

Se verificar la totalidad de los documentos grabados, o solamente una muestra? En esteltimo caso, cmo se define la muestra?

Se sometern los registros grabados a un control de integridad exhaustivo?

Se probarn los controles de validacin?

Es evidente la necesidad de precisar los lmites de un trabajo de auditora, hasta el punto de que suindefinicin compromete el xito de la misma.

El alcance de la auditora ha de figurar expresamente (junto con el objetivo) en el informe final, demodo que quede perfectamente determinado no solamente hasta qu puntos se ha llegado, sino qumaterias fronterizas han sido omitidas. Igualmente habrn de expresarse las excepciones delalcance, cuando exista alguna cuestin que pudiera suponerse incluida, sin estarlo.

Dentro de este paso debe contemplarse, tambin, la fijacin de los interlocutores del equipo auditor,es decir, determinar quines tendrn poder de decisin y de validacin dentro de la empresa en elproyecto de auditora. Igualmente, en esta instancia, deben determinarse los destinatarios delInforme Final.

3) Relevamiento e investigacin: Esta etapa es la que demanda mayor esfuerzo, tiempo yrecursos de un programa de auditora; en ella el auditor debe involucrarse en forma personalprocurando obtener la mayor cantidad posible de informacin de "primera mano". Comprende lassiguientes actividades:


Elaboracin del Plan de Auditora y de los Programas de Trabajo: Una vez hecho el estudioinicial y asignados los recursos necesarios para la auditora, el responsable de la misma ysus colaboradores establecen el Plan de Auditora, donde el encargado de cada grupo detrabajo programa las actividades que le corresponden y las eleva al responsable general delproyecto para ser compatibilizadas.

Caractersticas del Plan de Auditora:

Establece los recursos globales que van a ser necesarios para el trabajo.

Establece las prioridades de evaluacin sobre el material auditable (de acuerdo con lasindicaciones del cliente).

Establece la disponibilidad requerida del personal y de los dems recursos a controlar.

Describe las tareas a realizar y las responsabilidades de cada integrante del equipo detrabajo.

Establece las ayudas que el auditor debe recibir por parte del auditado.

No se consideran calendarios porque en esta instancia se manejan recursos genricos y noespecficos.

Una vez elaborado el Plan de Auditora, se procede a la programacin detallada de sus actividades.En esta instancia se elaboran los Programas de Trabajo que son las cuantificaciones del Plan deAuditora. En ellos se asignan los recursos humanos y materiales concretos para cada segmento delplan general. En los Programas de Trabajo se establece el calendario real de actividades a realizar;estos documentos sirven para controlar el grado de avance del proyecto de auditora.

Ejecucin de las actividades de relevamiento: En este punto el auditor debe documentarse sobrecmo trabaja el rea o sistema que se est auditando. En cuando se realizan las actividadesconcretas -in situ- del trabajo de auditora: observacin del ambiente de trabajo, entrevistas,encuestas, anlisis de documentacin, etc. Las tcnicas y/o herramientas a utilizar sern descriptasen la prxima unidad.

4) Anlisis: Realizadas las tareas de relevamiento e investigacin, las actividades de esta etapaconsisten en procesar la informacin recabada, evaluar la calidad de los controles y sacar lasconclusiones pertinentes; es decir clasificar, elaborar, ordenar los "papeles de trabajo" obtenidosen la etapa anterior. El objetivo es obtener la informacin documentada necesaria para avalar elresultado del trabajo, es decir respaldar el Informe de Auditora.

5) Elaboracin del Informe: La elaboracin del Informe Final es el ltimo paso de una auditora.Es el exponente de la calidad del trabajo y el lugar donde el auditor avala personal yprofesionalmente su juicio en forma documental.


Es el resultado tangible del trabajo de auditora. Todo lo que se vuelque en el informe debe estaravalado por los papeles de trabajo, constancias documentales o pruebas tangibles y objetivas;de otra manera ste puede ser objetado y hasta desechado.

Los hechos a incluir en un informe de auditora implican la existencia de una debilidad detectadaque ha de ser corregida o puntos de control que deben ser fortalecidos. El Informe debe incluirsolamente hechos importantes. La inclusin de hechos poco relevantes o accesorios desva laatencin del lector y desvirta el informe en su conjunto.

Resulta evidente la necesidad de redactar borradores e informes parciales y previos del InformeFinal, ya que es el mtodo ms adecuado para equilibrar las tcnicas analticas utilizadasdurante el trabajo de relevamiento, con las sintticas que exige la confeccin de este informe.Los borradores e informes parciales pueden ser usados como elementos de contraste deopiniones entre auditor y auditado, y pueden descubrir fallos de apreciacin por parte de losespecialistas al evaluar las materias auditadas.

Estructura del Informe Final

El documento que formaliza la ejecucin del trabajo de auditora es el Informe Final. Segn AchaIturmendi8, sus captulos son:

1) Marco de ejecucin del trabajo de auditora: El informe se inicia especificando las fechasde comienzo de la auditora y de redaccin del documento. Se incluyen asimismo losnombres de los especialistas integrantes del equipo auditor y los nombres de todas laspersonas entrevistadas (con indicacin de la posicin, responsabilidad o puesto de trabajoque ostenten).

2) Definicin de objetivos y alcance de la auditora.

3) Enumeracin de temas considerados: Antes de tratarlos en profundidad, se enumerarnlo ms exhaustivamente posible todos los temas objeto de la auditora.

4) Cuerpo expositivo (Observaciones): Para cada tema objeto de auditora se sigue elsiguiente orden:

Situacin actual: Cuando se trate de una revisin peridica, en la que se analiza nosolamente una situacin, sino adems su evolucin en el tiempo, se expondr lasituacin prevista y la situacin real.

Tendencias: Se tratarn de hallar parmetros de correlacin que permitan establecertendencias de situacin futura; no siempre es posible tal pretensin.

8 ACHA ITURMENDI, J. JOS, Auditora Informtica de la empresa, Editorial Paraninfo, Madrid, 1994. Captulo 6


Puntos dbiles y amenazas: Debern explicarse por s mismos, sin referencias a otroslugares del informe.

5) Recomendaciones y Planes de Accin: Constituyen, junto con la exposicin de puntosdbiles, el verdadero objeto de una auditora. Consejos:

Siempre se explicitar la palabra "recomendacin", y ninguna otra.

Debern entenderse por s solas, por su simple lectura.

Debern ser concretas y exactas en el tiempo, para que puedan ser seguidas yverificadas en su implementacin.

Las recomendaciones se redactarn de forma tal que vayan dirigidas expresamente a lapersona o personas que puedan implementarlas.

Debern evitarse las recomendaciones demasiado generales.

6) Redaccin de la "Carta de Introduccin" o "Presentacin": Este documento tieneespecial importancia porque en pocas hojas resume la auditora realizada, de manera que elcliente pueda formarse una idea aproximada de la situacin final con la sola lectura de esteinforme sinttico. As como pueden existir tantas copias del Informe Final como solicite elcliente, no deberan hacerse copias de este documento, ya que la informacin que contienees de naturaleza confidencial. Su destinatario debe ser la autoridad mxima de la empresa(o a quien ella delegue expresamente).

7. Antecedentes

Al hablar de auditora en una empresa se piensa en un contador revisando el sistema de informacincontable. Los primeros sistemas de procesamiento electrnico de datos (computadores) fueronaplicados para automatizar las tareas administrativo-contables de las empresas. Por consiguiente,los primeros trabajos de auditora que se realizaron en los entornos informticos fueron auditoras alsistema de informacin contable o econmico-financiera y fueron entonces ejecutados por losmismos especialistas que ya estaban controlando dichas actividades: los contadores-auditores. Enprincipio tomaron al computador como una "caja negra", es decir se limitaron a analizar la entrada ysalida de los datos sin preocuparse de cmo se procesaban, dando origen a las tcnicas de auditora"alrededor del computador".

Luego, los auditores contables comprendieron que necesitaban conocer cmo se procesaba lainformacin, para ello se informaron respecto de los principales aspectos tcnicos relacionados conla nueva herramienta, dando lugar al desarrollo de las tcnicas de auditora "a travs delcomputador". Como una extensin del alcance de su trabajo, tambin se ocuparon de analizar elfuncionamiento (la gestin) del entorno donde resida la informacin objeto de anlisis, es decirauditar el ambiente informtico en sus aspectos tcnicos: equipamiento, programas, comunicacin


de datos, etc., enmarcados en trabajos de "auditoras operativas" al Centro de Cmputos. De estamanera, ejecutaron trabajos de auditora informtica o de sistemas, segn la ptica de losespecialistas en sistemas.

7.1. Equivalentes?

Muchos autores consideran a los trminos Auditora de Sistemas y Auditora Informtica comoequivalentes; sin embargo, creemos oportuno hacer algunas consideraciones al respecto:

Auditora de sistemas es un trmino con varias acepciones y abarca mbitos ms amplios. Engeneral, se refiere a las actividades de evaluacin y control de los sistemas de informacin de unaorganizacin.

Sin perjuicio de otros trabajos tambin rotulados como "auditora de sistemas", se suelen denominaras a tres tipos de auditoras:

Las que evalan la operatividad de los sistemas de gestin de la organizacin, llamadastambin "auditoras operativas".

Las que evalan la eficiencia de los sistemas de informacin de la empresa.

Las que evalan la funcionalidad de los paquetes aplicativos implementados, incluidastambin dentro de una auditora informtica.

Histricamente, el sistema de informacin de una empresa sobre el que se hacan auditoras era elcontable, que reflejaba la situacin econmico-financiera de la empresa. La irrupcin de tecnologasde procesamiento electrnico de datos facilit el desarrollo y automatizacin de otros sistemas deinformacin en la empresa, los que completan y complementan el contable. Esta situacin justifica lanecesidad de auditar todos los sistemas de informacin de la entidad, incluyendo los de gestin deventas, gestin de compras, administracin de activos fijos, administracin de inventarios, etc.

Auditora informtica, en cambio, se ocupa slo de evaluar cmo se utilizan los recursos informticosque dispone la organizacin. Es un anlisis de eficiencia y puede llegar, incluso, a considerar lasnuevas tecnologas disponibles en el mercado (los recursos potenciales) aplicables al procesamientode datos.

La auditora informtica de una entidad, en algunos casos, incluye la evaluacin de los sistemas deaplicacin en produccin, tareas comprendidas tambin en una auditora de sistemas. A su vez, unaauditora de sistemas puede incluir la evaluacin de los recursos informticos que se usan paramantenerlo operativo. De ah que sus mbitos de actuacin se crucen, confundan y nos lleven aconsiderar ambos trminos como equivalentes.


7.2. Otras auditoras en entornos informticos

Otra tipo de trabajo de auditora posible en estos ambientes es el relacionado con seguridadinformtica. Los estudios sobre este tema suelen estar incluidos como un tem ms dentro de lostrabajos de auditora realizados en un entorno de procesamiento de datos. Sin embargo, el mercadoest requiriendo de especialistas exclusivos en seguridad informtica. La complejidad e importanciadel tema exige y justifica que acten tcnicos especficos en seguridad y prevencin de cada uno delos aspectos involucrados: comercio electrnico, bases de datos, comunicacin de datos, etc. Laseguridad del sistema informtico afecta en forma directa al control interno de los sistemasfinanciero- contables. Actualmente los mayores demandantes de herramientas de seguridadinformtica provienen del ambiente bancario, de seguros y de defensa y, ltimamente, de lossistemas de comercio electrnico y tarjetas de crdito.

Por ltimo, consideremos otro tipo de trabajos de auditora posibles en un entorno computarizado,las auditoras de proyectos informticos. Al respecto podemos decir que son poco frecuentes, sloproyectos informticos con grandes presupuestos o muy complejos los justifican y son normalmenterealizados por especialistas en sistemas. En este material no desarrollaremos los aspectosrelacionados con este tipo de trabajos de auditora; sin embargo, sugerimos asemejarlas a las tareasde control que se realizan a la ejecucin de cualquier tipo de proyecto.


CUESTIONARIO DE REVISIN

1) Qu es auditora?

2) Qu es control y qu comprende el control interno?

3) Qu son las pistas de auditora?

4) Cules son las diferencias entre auditora y consultora?

5) Qu tipos de trabajos de auditora se pueden realizar en un entorno informtico y culesson los objetivos de cada uno de ellos? Descrbalos


BIBLIOGRAFA

ACHA ITURMENDI, JUAN JOS, Auditora informtica en la empresa, Madrid, EditorialParaninfo, 1994.

CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMTICA (CREI),ACTAS, I Congreso Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico,Madrid, 1988.

CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMTICA (CREI),PAPELES DE VILA, Reunin de expertos sobre "AUDITORIA INFORMTICA",Madrid,1987.

CHALUPOWICZ, Daniel. Responsabilidad corporativa, Informe COSO: La ley SarbanesOxley. Ed. Osmar Buyatti, Bs. As., 2005.

COOPER & LYBRAND, Los nuevos conceptos del control interno (Informe COSO), EditorialDaz de Santos, Madrid, 1997.

DERRIEN, YANN, Tcnicas de la auditora informtica, Madrid, Marcombo S.A., 1994.

FEDERACIN ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIASECONMICAS. CENTRO DE ESTUDIOS CIENTFICOS Y TCNICOS (CECYT), reaAuditora: Informe N 5: MANUAL DE AUDITORIA, Buenos Aires, 1985.

FEDERACIN ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIASECONMICAS. CENTRO DE ESTUDIOS CIENTFICOS y TCNICOS (CECYT), Informe N6 -Pautas para el examen de estados contables en un contexto computarizado, Bs. Aires,s.f.

HERNNDEZ HERNNDEZ, Enrique. Auditora en informtica. Mxico, CECSA, 1999.

LARDENT, Alberto. Sistemas de informacin para la gestin empresarial: Procedimientos,seguridad y auditora. Bs.As.: Prentice Hall. 2001

NARDELLI, JORGE. Auditora y Seguridad de los Sistemas de Computacin, Buenos Aires,Editorial Cangallo, 1984 (1 Edicin), 1992 (2 Edicin).

NOMBELA, JUAN JOS, Seguridad Informtica, Madrid, Editorial Paraninfo, 1997.

PIATTINI, MARIO y DEL PESO, EMILIO. "Auditora Informtica. Un enfoque prctico".Editorial Ra-ma. Madrid, 1998RIVAS, ANTONIO JUAN y PREZ PASCUAL, AURORA, La


auditora en el desarrollo de proyectos informticos, Madrid, Ediciones Daz de Santos,1988.

RIVAS, GONZALO ALONSO, Auditora Informtica, Madrid, Ediciones Daz de Santos,1989.

THOMAS, J.A. y I.J. DOUGLAS, Auditora Informtica, Madrid, Paraninfo S.A., 1987.

76 Extracto de "Estndares tecnolgicos para la Administracin Pblica". Secretara de laFuncin Pblica, Poder Ejecutivo Nacional. www.sfp.gov.ar/etap.html: 10/03/2003

Unidad 1. Conceptos Básicos

Documents

Transcript of Unidad 1. Conceptos Básicos