Auditoría


1) Concepto

La popularización de los ordenadores y el impacto de las tecnologías de la comunicación ha supuesto cambios radicales en los métodos y procedimientos utilizados por los auditores. Está claro que en el marco de los negocios cada vez más electrónicos, los auditores deben modificar sus formas de trabajar. Las típicas hojas amarillas y los gruesos legajos de papeles que caracetrizan la labor de los auditores, son reemplazados por aplicaciones informáticas de Auditoría Asistida por Ordenador que manejan documentos electrónicos o documentación escaneada y por sofisticadas hojas de cálculo y bases de datos. La utilización de libros contables ha dejado de ser la práctica habitual, dando lugar a accesos directos a ficheros con información contable de los que el auditor extrae sus pruebas y realiza sus análisis.

Auditoría sin papeles Fuente: Audinfor (http://www.audinfor.com)


Los papeles de trabajo son los archivos que guarda el auditor de los procedimientos aplicados, las pruebas realizadas, la informacion obtenida y las conclusiones pertinentes a las que se llegaron en la auditoria. El auditor emplea papeles de trabajo para facilitar su examen y proporcionar un registro de la auditoria realizada.

La Norma de Auditoría 2.6.9. referente a los papeles de trabajo establece que: "Los papeles de trabajo son susceptibles de normalización, lo cual mejora la eficacia de su preparación y revisión" Dicha normalización conlleva una parametrización o estandarización que el auditor ha de llevar a cabo.

Audinfor es una empresa fabricante de software de auditoría, especializada en la "Auditoría sin papeles". Su producto más conocido es Gesia 2000, Herramienta Tecnológica Integral para la realización, gestión y control de trabajos de auditoría.

En su servidor podemos leer varios artículos sobre la auditoría sin papeles. Entre las ventajas destacamos:

  • Ahorro de espacio
  • Disponibilidad inmediata
  • Posibilidad de impresión
  • Vinculación entre archivos
  • Reducción de los posibles errores de cálculo
  • Utilización posterior en auditorías recurrentes
  • Automatismos de ciertas operaciones
  • Contribuye a homogeneizar sistemas de elaboración de la documentación

2) Auditoría informática

Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. Es decir, tareas como por ejemplo la contabilidad financiera dependen de lo que pasa en el ordenador.

Cuando una empresa decide instalar o poseer una infraestructura informática, la gestión de tales recursos debe buscar el cumplimiento de tres objetivos.

  • Disponer del nivel de servicio más apropiado para que los usuarios desempeñen adecuadamente sus responsabilidades. Por ejemplo, en una entidad financiera, que los cajeros tengan información en sus monitores de las cuentas corrientes, precios de las divisas, sacar entradas para el cine, etc.
  • Reducir al máximo los riesgos derivados de la falta de seguridad y del uso inadecuado o fraudulento de la información. Por ejemplo, en la entidad financiera, que no se cuelge la red de conexiones interbancarias, etc.
  • Lograr una utilización eficiente de los recursos asignados a dicho centro de cálculo mediante las oportunas medidas de control.

¿Qué es?: La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.

¿Quién puede hacerla?: El conocimiento y experiencia que se exige a un auditor informático es relativo al diseño e implantación de sistemas de información, funcionamiento de un centro de cálculo y además ha de conocer los métodos administrativos y de gestión propios del sector en el que opera la empresa. Además ha de conocer las prestaciones del hardware instalado.

Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy importante.

La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.

2.1 "Check list" de Auditoría Informática

Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de trabajo que permita medir el alcance de la auditoría en puntos clave y administrar eficientemente los recursos de tiempo personal que sean asignados.

 

Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web, Guía del Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm).

Se documentan las áreas de riesgo examinadas en esta auditoría, como por ejemplo:



 PLANIFICACIÓN DE LA AUDITORIA


CENTRO DE CÁLCULO___________________________________

OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________

ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)

  • Planificación y organización de sistemas.
  • Seguridad física y lógica
  • Plan de contingencias y documentación
  • Origen, captura y validación de datos
  • Procesamiento y actualización de datos
  • Salidas, utilización y control de resultados
  • Integridad y seguridad de los sistemas y de los datos
  • Terminales y comunicación de datos


AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________

Junior_________________________________________________

DURACION ESTIMADA______ Horas____ Días____ Semanas___

FECHA INICIACION______ FECHA TERMINACION_________


Y para cada punto a analizar se dispone de un listado con los objetivos y procedimientos de auditoría. A modo de ejemplo, dado que los equipos informáticos deben estar en un local con temperatura adecuada, los objetivos y procedimientos de auditoría para el sistema de aire acondicionado son:

 

C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA, FILTRACION Y HUMEDAD)

Objetivo de Auditoría:

Verificar la suficiencia del sistema de aire acondicionado en cuanto a:

  • Temperatura
  • Ventilación
  • Filtración
  • Humedad
  • Protección
  • Respaldo

Procedimientos de Auditoría:

1. ¿Se usa el sistema exclusivamente para el centro de cálculo?

2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?

3. ¿Se suministran reguladores de corrientes de aire contra incendio?

4. ¿El compresor está alejado del centro de cálculo?

5. ¿La torre de enfriamiento está suficientemente protegida?

6. ¿Existe un sistema de aire acondicionado de respaldo?

7. Las tomas de aire:

a. ¿Están cubiertas con mallas protectoras?
b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?


2.2 Regulación internacional sobre Auditoría de Sistemas de Información

En materia de Auditoría de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoría son ISACA (COBIT), COSO, AICPA (SAS) y MARGERIT

 

A) ISACA-COBIT

La Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es la asociación lider en Auditoría de Sistemas, con 23.000 miembros en 100 países. ISACA propone la metodología COBIT ® (Control Objectives for Information and related Technology). Es un documento dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones.

 

COBIT


COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Información y Tecnologías Afines. El COBIT se desarrolla en los siguientes capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.
  • Planificación y organización

Po1 Definición de un plan estratégico
Po2 Definición de la arquitectura de información
Po3 Determinación de la dirección tecnológica
Po4 Definición de organización y relaciones
Po5 Administración de la inversión
Po6 Comunicación de las políticas
Po7 Administración de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluación de riesgos
Po10 Administración de proyectos
Po11 Administración de la calidad

  • Adquisición e implementación

A11. Identificación de soluciones automatizadas
A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios

  • Prestación y soporte

Ds1. Definición de los niveles de servicios
Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administración de la configuración
Ds10. Administración de los problemas
Ds11. Administración de los datos
Ds12. Administración de las instalaciones
Ds13. Administración de la operación

  • Control

M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
M2. Obtener realización de las evaluaciones independientes

 

B) COSO

El Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO). Hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.

 

C) AICPA-SAS

El American Institute of Certified Public Accountants da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.

D) MARGERIT

El Consejo Superior de Informática del Ministerio de Administraciones Públicas de España es el responsable de MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

Una "Guía de Seguridad Informática"


Ministerio de Administraciones públicas (https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=187&lang=es)

Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.

En su contenido destacan lo siguientes apartados:

  • Gestión global de la seguridad de la información
  • Política de seguridad
  • Organización y planificación de la seguridad
  • Análisis y gestión de riesgos
  • Identificación y clasificación de activos a proteger
  • Salvaguardas ligadas al personal
  • Seguridad física
  • Autenticación
  • Confidencialidad
  • Integridad
  • Disponibilidad
  • Control de acceso
  • Acceso a través de redes
  • Firma electrónica
  • Protección de soportes de información y copias de respaldo
  • Desarrollo y explotación de sistemas
  • Gestión y registro de incidencias
  • Plan de contingencias
  • Auditoría y control de seguridad

 

Ficha Técnica
Título: Auditoría
Autor:
Idioma: es
Publicado:
Modificado: 29 Enero 2012
Resumen: Se describe el impacto de las TIC en la auditoría
Palabras clave: auditoría
Licencia: Creative Commons (Reconocimiento 3.0 Genérica)

Formatos: [Versión para imprimir] [Versión en PDF]
Foto de Carlos Serrano-Cinca
es Profesor en la Universidad de Zaragoza. Su web personal:
Citar como: Carlos Serrano-Cinca (2012) :"Curso Online sobre Gestión Electrónica de Empresas" http://ciberconta.unizar.es/ecofin/drupal1/auditoria [Fecha de consulta: 29 Enero 2012]

La clase continua en Facebook: