APUNTES          DEAUDITORÍA INFORMÁTICA              Fco. Javier Nava García          1
1   CONCEPTOS                    BÁSICOS             DE         SISTEMAS              DEINFORMACIÓN1.1 INTRODUCCIÓN1.2 LA ...
Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenosobservables reduciéndolos a unidades y elemento...
Antes de pasar a la siguiente sección, donde se expondrán los orígenes, proble- masy tendencias actuales en los sistemas d...
•   Formular y definir los objetivos de la empresa.•   Capitalizar y organizar la adquisición de los recursos necesarios p...
En el libro Information Organization and Power: Effective Management in theKnowledge Society" (1.981), se exponen muchas i...
a la irrupción de los ordenadores, llevaron en 1.958 la publicación de un artículo queproporcionó una base conceptual inic...
Como se indicó en el apartado anterior, los Sistemas de Información para Gestión(SIG) constituyen un campo de conocimiento...
La primera función es la más extendida, de tal manera que se estima que e195% detodas las aplicaciones actuales de los ord...
Figura 1.2. Sistemas de información para Gestión soportados por la Base de Datos        En cuanto a la comunicación, algun...
El aprendizaje continuo a que da lugar. Además de la formación necesaria en el uso de las    herramientas, como sucede en ...
Un ejemplo de utilización de la Tecnología de la Información para obtener ventajacompetitiva se puede ver con un caso de u...
complejidad o por su importancia. En este caso, lo procedente es usar el ordenador comoayuda en la toma de decisiones, típ...
1.3.2.5.3. Fusión de ambas perspectivas        Las dos perspectiva anteriores se pueden combinar como se muestra la Figura...
Ya en publicaciones de los 60s se daba una señal de alarma sobre la falta deresultados satisfactorios en los SIGs y se señ...
Las clasificaciones relevantes, en nuestro caso son:•   Componentes del SIG: computador y demás equipo físico; programas; ...
Figura 1.8. Estructura del Sistema de Información para Gestión1.3.2.7.2. Sistemas de Información formales e informales    ...
2. INTRODUCCIÓN A LA AUDITORÍA   2.1. INTRODUCCIÓN   2.2. OBJETIVOS DE UNA AUDITORÍA   2.3. DEFINICIONES DE AUDITORÍA   2....
Auditoría ha tenido que ir ampliando su campo de aplicación y salir del entorno Contable yFinanciero, para abordar otras á...
2. La responsabilidad de la gestión y control corresponde a la administración de la   empresa. El auditor no puede ejercer...
•   la obligación de informar a terceros con una opinión fundada.       Hemos de tener en cuenta que la auditoría no es un...
•   Auditoría ocasional: Se realiza de forma esporádica.2.4.3. Beneficiarios de la auditoría       Los beneficiarios de la...
Norteamérica, como consecuencia del desarrollo económico de principios de siglo y de lacrisis de 1929.        El "American...
España, para poder incorporarse como miembro de pleno derecho en la CEE, tuvoque adaptar parte de su legislación a las dir...
Otro objetivo de la auditoría interna es la supervisión del cumplimiento de laspolíticas contables y procedimientos establ...
auditor externo debe considerar la objetividad y competencia de los auditores internos yevaluar el trabajo realizado por l...
•   Fecha del examen.•   Descripción del papel de trabajo.•   Nombre de la persona que ha preparado el documento.•   Evide...
1. Datos generales: actividades de la empresa, organigrama general y reparto de las   funciones, composición del Consejo d...
•   Informe de auditoría completa.•   Informe de auditoría limitada.•   Informe de auditoría especial•   Informe de audito...
3. Opinión desfavorable (o adversa): cuando las cuentas anuales no presentan la imagen   fiel de la situación de la empres...
enunciar una serie de puntos comunes que suelen tener las cartas de recomendaciones, quevemos a continuación:• Párrafo de ...
3 LA FUNCIÓN DE AUDITORÍA INFORMÁTICA                                                 Y SUORGANIZACIÓN   3.1. ANTECEDENTES...
desarrollar aplicaciones informáticas. En ese momento, la auditoría trataba con sistemasmanuales. Posteriormente, en funci...
Hay cierta confusión sobre lo que es auditoría informática. Si preguntamos a diferentes personas, probablemente, nos darán...
De esta forma, dentro de la función de auditoría informática, se deben contemplarlas siguientes características para mante...
4. El auditor informático debe tener siempre el concepto de Calidad Total (últimamente   también llamado Excelencia Empres...
Es así que entonces la función de Auditoría Informática debe realizar un amplioabanico de actividades objetivas, algunas d...
Aui sistemas de informacion
Aui sistemas de informacion
Upcoming SlideShare
Loading in …5
×

Aui sistemas de informacion

775 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
775
On SlideShare
0
From Embeds
0
Number of Embeds
245
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Aui sistemas de informacion

  1. 1. APUNTES DEAUDITORÍA INFORMÁTICA Fco. Javier Nava García 1
  2. 2. 1 CONCEPTOS BÁSICOS DE SISTEMAS DEINFORMACIÓN1.1 INTRODUCCIÓN1.2 LA TEORÍA GENERAL DE SISTEMAS 1.2.1 Estrategia, estructura e información: evolución histórica 1.2.2 Consideraciones sobre los sistemas de información1.3 LOS SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN(SIG) 1.3.1 Los Sistemas de Información para la Gestión: Orígenes 1.3.2 Situación actual 1.3.2.1 Introducción 1.3.2.2 Concepto de Sistema de Información para Gestión 1.3.2.3 Problemas del entorno sociotécnico 1.3.2.4 Particularidades del recurso Información 1.3.2.5 Análisis de los diferentes tipos de información a considerar 1.3.2.5.1 Influencia del tipo de problema 1.3.2.5.2 Influencia del destino de la información 1.3.2.5.3 Fusión de ambas perspectivas 1.3.2.6 Problemas del entorno cultural 1.3.2.7 Ampliación del concepto Estructura del Sistema de Información para Gestión 1.3.2.7.1 Formas de describir un SIG 1.3.2.7.2 Sistemas de Información formales e informales1.1 INTRODUCCIÓNLa información ocupa cada vez más un lugar preponderante en la escala de valoresempresariales. Sobre todo, a medida que crece la empresa y se dividen y especializan susfunciones, la coordinación necesaria sólo puede alcanzarse con un buensistema deinformación. Entendemos por información el conjunto de datos que sirven para tomar unadecisión. En consecuencia, su necesidad es evidente tanto en la planificación estratégica alargo plazo como en la fijación de estándares para la planificación a corto. La informacióntambién es necesaria para el estudio de las desviaciones y de los efectos de las accionescorrectoras; es un componente vital para el Control. Finalmente, la incorporación de la informática en la empresa, al igual que en losdemás aspectos de la sociedad, va a introducir un enfoque nuevo del tratamiento de losdatos que cambiará en alto grado las funciones que actualmente existen en las empresas.1.2 LA TEORÍA GENERAL DE SISTEMAS La Teoría General de Sistemas lleva la atención al carácter dinámico ya lanaturaleza interrelacionada de las empresas, su gestión y su entorno. 2
  3. 3. Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenosobservables reduciéndolos a unidades y elementos independientes unos de otros; la cienciacontemporánea se centra en el estudio de problemas de organización, de fenómenos nodesagregables en sucesos independientes, de interacciones dinámicas y, en definitiva, en elestudio de totalidades. Lo más notable es que esta actitud aparece de forma independienteen distintas disciplinas científicas. Esta orientación general de la ciencia denota la necesidad de una nueva disciplinacientífica, la Teoría General de los Sistemas, cuyo objeto es la formulación de principiosválidos para los sistemas en general, sin que importe la naturaleza de los elementosintegrantes, ni de sus interrelaciones. En el fondo de la Teoría General de Sistemas late la línea de pensamiento de que, sibien no es posible reducir a un solo nivel común todos los planos de la realidad, sí esposible, en cambio, detectar uniformidades estructurales, es decir, es posible establecerisomorfismos entre aspectos muy distintos de la realidad. La Teoría General de Sistemas ofrece al investigador y al ingeniero una serie deposibilidades:• Aporta un enfoque holístico apoyado sobre la definición de sistema. Así pues, con la perspectiva total se evita la visión miope que se preocupa de un aspecto pero ignora los demás.• Patrocina la generalización de leyes particulares, mediante el hallazgo de isomorfismos entre distintas disciplinas.• Fomenta el uso de modelos matemáticos que, con su lenguaje carente de contenido y su generalidad, pueden sugerir la existencia (o inexistencia) de analogías. La Teoría General de Sistemas ofrece una solución cuando se contempla la empresacomo formando un todo unitario y en una eficaz relación con el entorno económico-socialdentro del cual desarrolla su actividad. Las empresas son sistemas abiertos que recibenentradas (flujos de materias y energía, trabajo, capital, información, etc.), las transforman(operaciones que añaden valor o utilidad), y generan unas salidas (bienes y servicios,progreso de la empresa y su personal, satisfacción, beneficios sociales, etc.). La Teoría General de Sistemas, pues, nos proporcionará los conceptos y métodos queconstituirán un marco de referencia fructífero para el estudio de las organizaciones yfacilitarán la integración del conocimiento fragmentario que existe sobre ellas. La importancia que este enfoque interdisciplinario tendrá para la Organización deEmpresas es indudable, pero en el área de los sistemas de información para gestión, es yaun enfoque imprescindible para un desarrollo eficaz. Característica ésta lógica si seconsidera la repercusión interdepartamental de la información como se analizará másadelante.1.2.1. Estrategia, estructura e información: evolución histórica 3
  4. 4. Antes de pasar a la siguiente sección, donde se expondrán los orígenes, proble- masy tendencias actuales en los sistemas de información para gestión, nos parece conveniente,siguiendo un paralelismo con el desarrollo histórico del punto anterior, incluir algunas ideasrelativas a la evolución de las estrategias y estructuras empresariales y su conexión con lainformación. Los inicios del tipo de empresa actual, caracterizada por departamentos y divisionescon gran autonomía, se sitúa en 1.908, con la creación de la General Motors Corporation.Reuniendo un grupo de fabricantes de automóviles inició una cadena de sucesos quecambiaron la naturaleza de la organización, dirección y estrategia en los EE.UU. La crisis económica de 1.920 y los cambios internos de dirección de la GM,consolidaron este enfoque. Se desarrolló una organización descentralizada y coordinadacon líneas de responsabilidad y autoridad claramente establecidas. Dos conceptos deinformación tuvieron notable importancia en esta reorganización: la coordinación porcomités y la gestión con controles estadísticos y financieros. La estructura de comités suministró la comunicación necesaria entre las distintasfunciones en la empresa. El sistema de control proporcionaba los hechos significativos de laempresa a utilizar en decisiones estratégicas, sobre todo en períodos de crisis. Mientras la GM se estaba constituyendo en una firma diversificada e integradaverticalmente, que ofrecía diversidad de automóviles, la Ford perseguía una estrategia demayor concentración. En 1.908, Ford produjo el primer modelo T. Quince millones de estemodelo se venderían en los 19 años de vida del producto. Con el automóvil de Ford a bajoprecio y de distribución masiva, llegaron las ideas de la fabricación en serie y salariosmínimos altos. Otra idea precursora del pensamiento moderno de gestión lo tenemos en las ideas demercadotecnia masiva. En 1.891 Sears, Roebuck and Co. publicó su primer catálogo. En1.908 la compañía Sears se había consolidado suministrando a la América rural y aisladadiversidad de productos a precios relativamente bajos. Aprovechando el buen servicio decorreos y los bajos precios postales, la compra por correo sirvió para transmitir grandescantidades de información sobre su negocio (anuncios, descripciones de productos eimpresos y procedimientos para hacer pedidos) directamente a la casa de sus clientes. Laintroducción del sistema de paquete postal, en 1.913, facilitó el crecimiento de este tipo deactividad comercial. Fue en 1.925, siendo el automóvil ya muy popular, cuando Sears empezó suimportante expansión geográfica estableciendo las cadenas de tiendas.Hoy día esta tendencia de tiendas abiertas al público empieza a declinar a medida que losteléfonos libres de cargo, las tarjetas magnéticas de crédito y las posibilidades delvideotexto y de la telemática en los hogares vuelven a hacer atractiva la venta por correo yadistancia.En 1.927 la Bell desarrolló una teoría sobre la organización que se iniciaba con elindividuo y los elementos que le inducían hacia su participación en la empresa. Luego, seanalizó cómo se organizan los grupos que favorecen un comportamiento cooperativo; y deestas investigaciones se dedujeron las siguientes funciones del ejecutivo: 4
  5. 5. • Formular y definir los objetivos de la empresa.• Capitalizar y organizar la adquisición de los recursos necesarios para lograr estos objetivos.• Aportar un sistema de comunicación para todos los miembros de la empresa cooperadora. La teoría desarrolada en Bell influenció a algunos investigadores y les llevó aconsiderar que el proceso de toma de decisiones es la unidad básica para el análisis de lasorganizaciones. La necesidad de decidir origina un problema que se resuelve con labúsqueda de soluciones satisfactorias aceptables y se mejora con el aprendizaje adaptativo.Esta teoría integra plenamente el proceso de la información y comunicación en la teoría delas organizaciones. En 1.967 en el libro "Organización y Entorno , se aborda el problema del diseñoorganizativo diferenciando las actividades de la empresa en tareas realizables ycontrolables y luego integrando estas tareas en una estructura que asegure el correctocumplimiento de cada una de ellas. Para llevar a cabo acertadamente este proceso dediferenciación e integración de tareas hace falta coordinar con comunicación e información. Pocos años después, un investigador analizó al directivo desde la perspectivade sistemas de tratamiento de la información. Centros nerviosos que adquirían informacióndel entorno externo y la operativa interna, la transformaban, la diseminaban selectivamentea subordinados y personal externo, y la utilizaban para tomar decisiones y formular laestrategia. En el libro Organization Design, se hacían de la información, comunicación ycoordinación las ideas centrales del diseño de las organizaciones. En su enfoque, lainformación consiste en la reducción de la incertidumbre, lo mismo que postulabanShannon, Wiener y otros. Además, las organizaciones se diseñan para afrontar laincertidumbre. Cuanto mayor es la incertidumbre de la tarea, mayor es la cantidad deinformación que han de manejar los decisores para realizarla.ñ Desde otro punto de vista para la misma situación, en otro libroOrganizational Design (1.978) se introduce otro factor. Puesto que el manejo de lainformación es básico para el funcionamiento de una empresa, constituye la fuente primerade poder en la empresa. Quien sea que controle la información seleccionándola, filtrándola,transformándola y distribuyéndola, adquiere poder sociopolítico. La centralización de la información centraliza el poder; la distribución de la in-formación descentraliza el poder. Además, el mismo sistema de información determina loscriterios de evaluación del cumplimiento y para la distribución de premios ypenalizaciones. Los sistemas de información implantados con una tecnología de lainformación de crecientes posibilidades permiten el tipo de seguimiento necesario paraconvertir el control de esta tecnología y de los sistemas en una fuente de poder en laempresa. 5
  6. 6. En el libro Information Organization and Power: Effective Management in theKnowledge Society" (1.981), se exponen muchas implicaciones prácticas de estaperspectiva.1.2.2. Consideraciones sobre los sistemas de información Las relaciones entre tecnología de la información, conceptos e ideas sobre la in-formación y las formas de organización humana, han estado próximas desde los iniciosde la civilización. Se pueden destacar tres instantes como críticos en el progreso de lahumanidad. Unos 100 años después de Cristo tuvo lugar la invención del papel en China.Tuvo una gran repercusión social el pasar del conocimiento privado y oral al conocimientopúblico y escrito. Aparecieron los primeros diccionarios y farmacopeas, y se impulsó eldesarrollo de nuevas instituciones educadoras y alquímicas. Unos 1.500 años después, el mismo proceso social se puso en marcha con lainvención de la imprenta por Gutenberg. Desaparecieron muchos trabajos de escribientes yse redujo aún más la importancia de la tradición oral. En contrapartida, se abrieron nuevoscauces para la educación pública y se hizo posible la proliferaciónde las bibliotecas. El tercero es la aparición del ordenador. ¿Qué diferencia a las dos primeras innovaciones del pasado de la de la era moderna?La diferencia está en que el papel y la imprenta se introdujeron en sociedades ajenas a lainformación. Las preocupaciones sociales prevalecientes en la época eran la agricultura ypequeñas industrias, respectivamente. Fueron tecnologías pioneras que propugnaban nuevasideas y formas organizativas; pero el paso de la sociedad eramás lento, y su germinación y difusión lo fue también. La situación ha cambiado, el signo de nuestro tiempo es la información. Por primeravez en la historia de la humanidad algunos países desarrollados están dedicandoaproximadamente la mitad de su producto económico a actividades relacionadas con lainformación; y en naciones como EE.UU., más de la mitad de los puestos de trabajoexistentes están ligados de alguna forma a ocupaciones relacionadas con la información.1.3. LOS SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN(SIG)1.3.1. Los Sistemas de Información para la Gestión: Orígenes Aunque este campo de conocimientos se caracteriza en la actualidad por lautilización de la tecnología informática y de telecomunicaciones, su origen se remonta alos primeros trabajos sobre gestión donde ya se resaltaba la importancia de la informaciónen el proceso de toma de decisiones de los directivos. Por ejemplo, ya en 1.938 se señalaba en el libro Las Funciones del Ejecutivo que laproliferación rápida y creciente de datos exigiría una mayor atención a la calidad de lasdecisiones. A su vez, la calidad en la toma de decisiones depende de la capacidad deldirectivo para transformar los datos en la información que se ajuste a la perspectiva delmismo para decidir. En 1.947 algunos investigadores trataron de determinar procesos que permitieran alos directivos estructurar la información necesaria para las decisiones. Estos trabajos, junto 6
  7. 7. a la irrupción de los ordenadores, llevaron en 1.958 la publicación de un artículo queproporcionó una base conceptual inicial para el análisis del proceso de datos (utilización delos ordenadores para el tratamiento de los datos) y de su influencia en las organizaciones ytoma de decisiones. Los autores predijeron que la Tecnología de la información tendría unaimportante repercusión organizativa. Tras dicho artículo, muchos investigadores empezaron a explorar los desarrollos eningeniería eléctrica y en los centros de cálculo; así como a especular sobre el posibleimpacto sobre las personas, las organizaciones, las actividades de gestión, etc. Estacorriente de estudio sigue en la actualidad. Simultáneamente, el crecimiento explosivo de los datos y la información fueteniendo lugar a un ritmo superior al previsto. Una muestra representativa típica de ello laconstituye la Biblioteca del Congreso en EEUU. El número de volúmenes se duplicó entre1.933 y 1.966. Se volvió a duplicar en 1.979 y así mismo en 1.987. De forma progresiva, ya en los años 60 y en los 70, las empresas trataban de utilizarla tecnología de la información para contrarrestar: tanto el aumento del númerode datos e información dentro de la empresa, como las. fuertes alzas de costes en personal,energía y materias primas. Las claras ventajas de las tecnologías de la información comomedio cada vez más imprescindible para afrontar las crecientes necesidades de tratamientode datos, unido al abaratamiento de los equipos, ha llevado a una penetración continua yprofunda de la informática en las empresas. En los últimos años, el ritmo de la penetración de las tecnologías de la informática ylas comunicaciones en las empresas y la sociedad se ha acelerado impresionantemente. Engran medida esto se ha facilitado mucho con la introducción de los miniordenadores y sobretodo con la llegada del PC y sus económicos precios. Así, por ejemplo, un PC actual tiene más de 100 veces la capacidad de cálculo deun ordenador de 35 millones de pesetas en 1.970. Este cambio de economía hatransformado esencialmente tanto la naturaleza como la repercusión de las nuevasaplicaciones de esta tecnología. Las previsiones señalan que esta penetración en la empresacontinuará durante esta década con las mismas características de reducción de costes yaumento de capacidades técnicas. Como respuesta a esta evolución, muchas compañías crearon departamentos deproceso de datos dependientes de aquel departamento que más le hiciera falta. En laactualidad, muchos de estos departamentos han pasado a depender directamente de la altadirección de la empresa. Su liderazgo ha cambiado de una situación fundamentalmentetécnica a otra con una gran componente de dirección general. Importantes dotacionesde personal y equipos se han distribuido en muchas partes de la organización como soningeniería, producción, I+D y mercadotecnia.1.3.2. Situación actual1.3.2.1. Introducción 7
  8. 8. Como se indicó en el apartado anterior, los Sistemas de Información para Gestión(SIG) constituyen un campo de conocimientos reciente en el contexto de la direccióngeneral de la empresa. La década de los años 50 marca en EE.UU. la introducción de los grandesordenadores en las empresas privadas. Desde entonces, las mejoras tecnológicas y de preciose han sucedido a gran ritmo, provocando un creciente número de oportunidades deaplicación y problemas de implantación cuya tendencia permanece en la actualidad. Algunas razones sobre el por qué estudiar los Sistemas de Información para Gestión(SIG) son:• Fuente de empleo: "El 90% de los puestos de trabajo creados desde 1970 pertenece a información/ educación/ servicios; sólo el 5% corresponde a fabricación.• La Unión Europea (U.E.) la ha señalado como una de las áreas prioritarias de investigación, buena prueba de ello son los proyectos de desarrollo de tecnología ESPRIT, junto a los programas educativos como ERASMUS, o incluso aquellos más enfocados a la transferencia de tecnología como los BRITTE, entre otros.• La Tecnología de Información (T.I.) es una fuerza económica y social de los 90, al igual que calidad lo fue en los 80, finanzas en los 70, mercados en los 60, y producción en los 50.• Los Sistemas de Información para Gestión (SIG) forman un componente de la empresa del que dependen todos los demás, y especialmente los procesos de planificación, control, toma de decisiones y operaciones. Si la información de partida falla, no es de esperar mejor fortuna en las decisiones de ella derivadas.• La inclusión de la Tecnología de Información (TI) en los planes estratégicos de muchas empresas están convirtiendo a este departamento en un subsistema clave dentro de las políticas competitivas. Para poder aplicar plenamente las TIs es necesario comprender algunas ideas básicas,expuestas en los apartados siguientes.1.3.2.2. Concepto de Sistemas de Información para Gestión: El concepto del Sistema de Información para Gestión no ha cambiado en las dosúltimas décadas. Fundamentalmente consiste en un sistema integrado usuario-máquina quedesempeña cuatro funciones principales (ver la Figura 1.1):• registrar las transacciones u operaciones diarias de la empresa,• aportar información para planificación y control,• ayudar a la toma de decisiones, y• tomar decisiones previamente programadas. 8
  9. 9. La primera función es la más extendida, de tal manera que se estima que e195% detodas las aplicaciones actuales de los ordenadores se incluyen en esta categoría. Figura 1.1. Componentes de un Sistema de Información para Gestión. En la segunda se incluyen la generación de informes predefinidos paraplanificación, control por excepción, etc. Los sistemas de ayuda a la toma de decisiones constituyen la tercera vía aconsiderar. Consisten en una interacción directa hombre/máquina, típicamente a través delenguajes de interrogación a una Base de Datos (BD) o a una Base de modelos (BM). Estaúltima permite analizar los datos de diversas formas (optimización, simulación,descripción,..). De esta manera, el ordenador no solo aporta información sino que tambiénayuda activamente en diversas etapas del proceso de toma de decisiones. La cuarta contiene aquellos programas que ofrecen una decisión completa sobre unproblema. El sector con mayores repercusiones de este área lo forman los llamadossistemas expertos. Estos sistemas pretenden sustituir las funciones de un experto humanoen un área muy concreta, así como tenerlas disponibles en cualquier punto donde se puedaejecutar dicho programa.1.3.2.3. Problemas del entorno sociotécnico El problema capital de los SIGs y origen de todos los demás reside en sucomplejidad. Se trata de sistemas sociales y técnicos que además pueden verse gravementeafectados por factores de tipo de volumen, comunicativo, económico, psicológico opolítico. Empezando con los problemas de volumen, la infinidad de datos y aplicaciones quese utilizan en la empresa ha llevado a abandonar el concepto de un único sistemacompletamente integrado, en favor de una federación de subsistemas que se vanincorporando al SIG con arreglo a un plan maestro, normas y procedimientospreestablecidos. La Figura 1.2 muestra los subsistemas típicos y su integración a través delos datos. 9
  10. 10. Figura 1.2. Sistemas de información para Gestión soportados por la Base de Datos En cuanto a la comunicación, algunos autores estiman que un 80% de los problemasde las empresas radican en problemas de esta índole. En el caso de los SIGs, en donde los sistemas que se construyen requieren de laparticipación y colaboración de personas de muy diversas procedencias, la necesidad deconseguir una comunicación fluida, fiable, y que no fomente falsas expectativas es vital. Respecto al económico, estamos en la economía de la información y todavía nohemos aprendido a valorarla adecuadamente. La consideración de beneficios intangibles, laconvergencia de los objetivos del SIG con los de la empresa, y la adecuación a la capacidadtécnica disponible, son factores adicionales que pueden limitar en cualquier momento losresultados potenciales. Los factores psicológicos, y especialmente los referentes a la motivación, suponenotro imperativo para lograr la aceptación, uso, colaboración, responsabilización y apoyo,tanto de la alta dirección como de los usuarios. El carácter interdepartamental de muchas de las aplicaciones también precisa dela creación de grupos de trabajo, siendo muy conveniente el conocimiento de disciplinascomo la dinámica de grupos y relaciones interpersonales. El temor a lo desconocido, así como los cambios profundos en la estructura dela empresa que muchas veces acompañan a estos proyectos, hace necesaria una correctagestión del cambio. Las técnicas del Desarrollo de la Organización se hacen indispensablesen estos casos. El último problema del entorno lo presenta la Tecnología de la Información. Enprimer lugar, es una tecnología diferente a la tecnología industrial tradicional. Dos de suscaracterísticas mas destacables son:Su flexibilidad y maleabilidad. El hecho de ser modificable a voluntad. Hace que un cambio radical de diseño en un producto sea fácil de introducir y apenas encarezca los costes; basta con cambiar los programas y/o los diseños de las Bases de Datos en cuestión. 10
  11. 11. El aprendizaje continuo a que da lugar. Además de la formación necesaria en el uso de las herramientas, como sucede en la tecnología tradicional, aquí hace falta también aprender cómo aplicarla en el conjunto de problemas correspondientes. Este proceso suele empezar automatizando formas antiguas de hacer las cosas. obteniendo mejoras en eficiencia, y continuando con cambios posteriores más profundos y eficaces a medida que se va aprendiendo de su uso. A lo anterior habría que añadir la evolución vertiginosa de las TIs (Figura 1.3). Porcitar algunos cambios radicales: trabajo por lotes, interactivo, tiempo real, miniordenadores,microordenadores, bases de datos (B.D.), comunicaciones y redes, sistemas de fabricaciónflexible, ingeniería concurrente, sistemas expertos y visión artificial. Difícilmente datiempo a madurar el conocimiento de una tecnología, cuánto menos su aplicación y gestión.1.3.2.4. Particularidades del recurso Información La información constituye hoy en día uno de los recursos más importantes demuchas empresas. Sin embargo, presenta características que ninguno de los demás recursosposee, y que contribuyen a incrementar los problemas anteriormente citados. A diferencia del carbón, automóviles, alimentos o ropa, la información esexpandible (crece con el uso); está diseminada (tiende a difundirse o filtrarse, siendo difícilmantenerla secreta); y es compartible (si doy comida o vendo un coche dejo de tener esosrecursos, si doy información no dejo de poseerla, sino que el dador y el receptor lacomparten). Además, el recurso información es algo más que el recurso físico o dato; requiere deuna interpretación de los datos dentro de un contexto determinado. Incluso se ha señaladoque la información debería tener un efecto sorpresa, debería aportar luz sobre algodesconocido. La información que no sorprende es probablemente irrelevante o redundante. Por otra parte, la información no tiene valor intrínseco, a diferencia de los demásrecursos. Si pierdo un diamante y el papel con la dirección del joyero que lo iba a tallar, elque se encuentre el diamante mantendrá el valor del mismo, pero el que se encuentre elpapel con la dirección no podrá darle ningún significado y consiguiente valor. Por último, el coste de la información crece con la precisión, cantidad o volumen,calidad, rapidez de respuesta, y distribución. Proporcionar la información adecuada, en elinstante adecuado, a la persona adecuada, con el coste mínimo, son los objetivostradicionales del SIG desde el punto de vista de apoyo a los demás subsistemas de laempresa. Sin embargo, con ser importante el lograr el objetivo mencionado en el anteriorpárrafo, y constituir la meta tradicional del SIG, no deja de ser un objetivo orientado amejorar la productividad o eficiencia principalmente. La Figura 1.3 destaca un segundoobjetivo que cada vez está adquiriendo una mayor relevancia, y que se podría incluir en losde eficacia empresarial: uso de la Tecnología de la Información para obtener ventajascompetitivas. 11
  12. 12. Un ejemplo de utilización de la Tecnología de la Información para obtener ventajacompetitiva se puede ver con un caso de una empresa distribuidora de revistas a quioscos ytiendas. Este segmento industrial se encontraba dominado por un tipo de competenciabasado en distribuir a precio mínimo. La distribuidora en cuestión decidió apoyarse en elhecho de que sus clientes eran pequeñas empresas, poco complejas, y desconocedoras de sumercado potencial, así como de la combinación de revistas a vender mas adecuada (mix delproducto). Utilizando sus registros de envíos semanales y devoluciones de los distintospuestos, la distribuidora podía ver lo que se estaba vendiendo en cada quiosco. El desarrollode unos programas que calculaban el beneficio por metro cuadrado para cada revista, y quecomparaba estos datos con los de los puestos similares en características económicas y delentorno socio-económico, permitió a la distribuidora decir a sus clientes cómo podríanmejorar su combinación de productos. Este uso inteligente de un sistema de gestión deinventarlos cambió la forma de competencia para dicha empresa, hasta ese momento basadaen precios. El servicio aportado la diferenciaba de las demás y le permitió la subida deprecios sin reducir la demanda. Figura 1.3. Utilización de la Tecnología de la Información para conseguir ventaja competitiva.1.3.2.5. Análisis de los diferentes tipos de información a considerar Hasta este apartado se ha tratado al recurso información desde el punto de vistaexterno. La dificultad, una vez más, aumenta por la disparidad de propiedades yconsiguiente tratamiento, según se analice el origen de la información o su destino.1.3.2.5.1. 1nfluencia del tipo de problema Las tomas de decisiones se pueden clasificar en un rango de tipos, estando en unextremo las estructuradas y en el otro las no estructuradas. Otras formas de dar nombre aestos tipos son: programadas y no programadas, implícitas y abiertas, analíticas ysintéticas. Dentro del primer grupo se incluyen aquellas decisiones repetitivas y rutinarias,para las que existe previamente un método bien definido para su tratamiento. Enconsecuencia son candidatas a una plena automatización. El otro grupo corresponde a decisiones para las que hace falta definir elprocedimiento para abordar el problema, ya sea por el carácter nuevo del mismo, por su 12
  13. 13. complejidad o por su importancia. En este caso, lo procedente es usar el ordenador comoayuda en la toma de decisiones, típicamente en forma interactiva hombre/máquina, comoocurre con las hojas electrónicas, lenguajes de interrogación aB.D., etc. Algunos autores dividen el proceso humano de decisión y resolución de problemasen tres partes:• Inteligencia o información: viene a ser la respuesta a ¿cuál es el problema?• Diseño: ¿cuáles son las alternativas?• Selección: ¿cuál es la mejor alternativa? Un problema completamente estructurado lo ha de ser en las tres etapas y, por lotanto, ha de disponer de un algoritmo que permita dar respuesta a las tres preguntasformuladas. Por otro lado, si el problema no está estructurado, pero alguna parte si lo está , sepuede automatizar dicha parte y apoyar interactivamente las otras en los procesos que seanfactibles de mecanización. Esta es una de las ventajas de realizar este análisis de la toma de decisiones y quehace muy recomendable su consideración antes del diseño del sistema en cuestión.1.3.2.5.2. Influencia del destino de la información En la figura 1.4 se muestran las diferentes caracteristicas de la informaciónnecesaria para el desempeño de las funciones de gestión en los tres niveles típicos:operativo, gestión y estratégico.Figura 1.4. El recurso información: disparidad de características según el destino de la información. La disparidad que se muestra en la Figura 1.4, unida al hecho de que la implantaciónde las TIs conlleva un proceso de aprendizaje continuo y consiguientes mejoras, cambios ydesarrollo de nuevas aplicaciones, hace que la creación del SI totalmente integrado seaineficiente e ineficaz. Ello es debido, en primer lugar, al elevado coste que supondría la realización de unsistema tan complejo y con tan diversos usos; lo segundo, porque las fuentes deinformación son también, en gran medida, distintas según su finalidad. 13
  14. 14. 1.3.2.5.3. Fusión de ambas perspectivas Las dos perspectiva anteriores se pueden combinar como se muestra la Figura 1.6,denominando decisiones semiestructuradas aquellas en las que alguna de las fases deinteligencia, diseño o selección no está estructurada.Figura 1.5. El recurso información: disparidad de características según el tipo de problema. Al mismo tiempo señalan las siguientes consecuencias:• Necesidad de distribuir adecuadamente los esfuerzos de desarrollo de aplicaciones entre las seis áreas en función de su importancia para cumplir los objetivos de la empresa y no empecinarse sólo en alguna de ellas, como puede ser el caso típico del control de operaciones estructuradas por la tendencia natural hacia ellas.• El proceso continuo de aprendizaje de las TIs hace que lo que inicialmente no estaba estructurado con el tiempo se entienda mejor y pase a estar estructurado, y plenamente, o en menor medida, mecanizable.• Los problemas menos estructurados requieren más atención para la parte de definición del problema y desarrollo, mientras que los estructurados se centran básicamente en la implantación de un modelo general predeterminado, por ejemplo, de Investigación Operativa Esto hace que los procedimientos y conocimientos requeridos en cada uno de los dos casos sean distintos.• Tanto en usuarios como en analistas los conocimientos implicados son muy distintos, según se trate de un problema de control de operaciones o de planificación estratégica. En el primer caso, es también más un proceso de aplicación de un modelo preexistente, mientras que en el segundo centra su atención en la creación de un modelo nuevo. Además, el control de operaciones suele ser repetitivo y la eficiencia de diseño es unfactor muy relevante, mientras que el segundo caso suele corresponder a modelosde un sólo uso pero de amplia repercusión en la empresa, siendo por ello la situaciónopuesta.1.3.2.6. Problemas del entorno cultural 14
  15. 15. Ya en publicaciones de los 60s se daba una señal de alarma sobre la falta deresultados satisfactorios en los SIGs y se señalaba cinco supuestos erróres sobre su diseño,muy extendidos entre los directivos. Dichos errores se siguen cometiendo en la actualidad. A continuación destacamostres de ellos, por su especial importancia.• La limitación más crucial de la mayoría de directivos es la falta de información. Aun cuando esto es un factor importante, es más limitante el exceso de información irrelevante. Las consecuencias de partir del primer supuesto nos llevan a la Base de Datos infinita y a sobrecarga de información y problemas de estrés; mientras que partiendo del segundo supuesto se tenderá a diseñar un SIG con filtros, rutas de distribución, etc.• El director necesita la información que desea. Los problemas del mundo real son muy complejos y tienen un elevado grado deincertidumbre. En consecuencia, hay tendencia a reducirla con información, necesaria realo presumible, orientándose así de nuevo hacia la sobrecarga de información.• Directores controlados por ordenador. Las TIs se están introduciendo por todas las partes de las empresas; el director debeconocerlas lo suficiente para poder valorar si Las Tis están haciendo lo que se supone quedeben hacer. Aquellos directivos que no se preocupan en tener este mínimo deconocimientos informáticos y tienen a su servicio estos sistemas, se convierten muyfácilmente en víctimas de sus propios sistemas. Las consecuencias de fracasos de implantación de SIGs pueden verse en un recienteinforme del Govemment Accounting Office de los EEUU sobre el desarrollo de proyectosinformáticos, recogido en la Figura 1.6.Figura 1.6. El problema del desarrollo de proyectos informáticos, basado en un informedel Government Accounting Office de los EE.UU.1.3.2.7. Ampliación del concepto Estructura del Sistema de Información para Gestión1.3.2.7.1. Formas de describir un SIG Al igual que cualquier sistema complejo, como es el caso de un automóvil, quepuede explicarse en términos de sus características externas (forma, color, tamaño, ..), o porsus componentes (chasis, motor, transmisión..), su uso (deportivo, familiar, utilitario,..),etc., puede obtenerse una mejor comprensión del concepto del SIG analizándolo bajodiferentes criterios. Cada una de estas clasificaciones aporta información adicional para entender mejorel sistema en estudio. 15
  16. 16. Las clasificaciones relevantes, en nuestro caso son:• Componentes del SIG: computador y demás equipo físico; programas; BD; Base de Modelos; Procedimientos y manuales; y recursos humanos. La integración de todos estos elementos se consigue por diferentes vías, tales como Bases de Datos, planificación, directrices, procedimientos, normalizaciones, etc.• Funciones del SIG: (ver Figura 1.1)• Departamento al que va dirigido (ver Figura 1.2)• Tipo de apoyo en la toma de decisiones (ver Figura 1.3)• Nivel de la pirámide de gestión al que va dirigido (ver Figura 1.4);• Salidas del SIG,... En definitiva, la estructura del SIG queda definida como una federación de subsistemaspara las diversas funciones de los departamentos, cada una de las cuales está dividida en loscuatro niveles de gestión señalados en la Figura 1.7. Cada subsistema contiene a su vezficheros y programas específicos del subsistema y ficheros (BD) y programas (BM) quecomparte con otros sistemas.Figura 1.7. Estructura del Sistema de Información para Gestión La Figura 1.8 muestra otra clasificación de los SIGs, (a) estructura d SIG según lapertenencia y perdurabilidad, (b) efecto de los SIGs sobre los tamaños relativos a loscomponentes del Sistema de Información (b ). Al mismo tiempo se aprecia el efecto delSIG informatizado en el sentido de aumentar la importancia del SI público formal. 16
  17. 17. Figura 1.8. Estructura del Sistema de Información para Gestión1.3.2.7.2. Sistemas de Información formales e informales La diferencia entre formal e informal suele basarse en que quede constancia escritao no. La diferencia entre público o privado suele centrarse en la pertenencia a la empresa oal individuo. El SIG basado en ordenadores es parte del SI público formal, sin embargo la últimacorriente de usuarios finales, sobre todo en lo que se refiere a aplicaciones de PCs, datambién lugar a muchos SIs privados formales.Es interesante resaltar la importancia de estos subsistemas, porque todos ellos ocupan unlugar necesario en la empresa. Así, el SI público formal se caracteriza por pertenecer más ala posición que al individuo, sobreviviendo, en consecuencia, al cambio de personal.Simultáneamente proporciona un esquema de conceptos de la empresa común a todos,aumentando así la eficacia de comunicación y liberando tiempo para otras actividades. El peligro de este sistema reside en que adquiera excesiva prepotencia y pase adictar el comportamiento del personal de la empresa, en lugar de enriquecer a dichocomportamiento. Además, el coste de desarrollo y mantenimiento es alto, el tiempo derespuesta puede ser lento (recoger datos, introducirlos, tratarlos..), la fiabilidad en muchoscasos puede ser baja (errores, asunciones, limitaciones de los modelos, tendencia aseleccionar información fácil de medir,..). Por otro lado, muchas decisiones importantes, enespecial las más altas en la pirámide de gestión, necesitan información recibida a través decanales informales e incluso no formalizables. 17
  18. 18. 2. INTRODUCCIÓN A LA AUDITORÍA 2.1. INTRODUCCIÓN 2.2. OBJETIVOS DE UNA AUDITORÍA 2.3. DEFINICIONES DE AUDITORÍA 2.4. ASPECTOS DE LA AUDITORÍA 2.4.1. Principio de Autenticidad 2.4.2. Clases de Auditoría 2.4.3. Beneficiarios de la auditoría 2.5. DESARROLLO HISTÓRICO DE LA AUDITORÍA 2.6. CONTROL INTERNO Y AUDITORÍA INTERNA 2.6.1. Concepto de control interno 2.6.2. Concepto y objetivos de auditoría interna 2.6.3. Características de la auditoría interna 2.6.4. Diferencias entre auditoría interna y externa 2.7. LOS PAPELES DE TRABAJO 2.7.1. Concepto y objetivos 2.7.2. Forma y contenido 2.7.3. Propiedad, custodia y conservación 2.7.4. Organización y archivo 2.8. LOS INFORMES DE AUDITORÍA 2.8.1. El Informe de auditoría 2.8.2. Objetivos del informe 2.8.3. Clases de informes 2.8.4. Elementos básicos del informe de auditoría 2.8.5. Tipos de opinión 2.8.6. Requisitos de un buen informe, responsabilidad de su contenido y publicidad 2.8.7. La carta de recomendaciones2.1 INTRODUCCIÓN Auditoría, en su sentido más general, se puede entender como la investigación,consulta, revisión, verificación, comprobación y obtención de evidencia, desde unaposición de independencia, sobre la documentación e información de una organización,realizadas por un profesional, el auditor, designado para desempeñar tales funciones. El auditor, cuando actúa como tal, no es responsable ni de la operación delorganismo ni del control de su funcionamiento. Tales funciones son responsabilidad de losórganos directivos del organismo auditado. La función del auditor es la de examinar einformar sobre la documentación elaborada por los órganos directivos. Ante la creciente complejidad de las estructuras empresariales y la crecientedinámica de los mercados y las interrelaciones de las empresas con sus mercados, la 18
  19. 19. Auditoría ha tenido que ir ampliando su campo de aplicación y salir del entorno Contable yFinanciero, para abordar otras áreas operativas y funcionales de las empresas. También hatenido que abarcar toda la diversidad de empresas y organismos públicos y privados quecomponen el tejido industrial, económico y social de nuestra sociedad. Por lo que, según elámbito en que se aplique, hay que hablar de Auditoría Contable, Auditoría Financiera,Auditoría de Gestión, que comprende las dos anteriores, y, desde hace algunos años, deAuditoría de los Sistemas de Información. Las auditorías son necesarias por diversos motivos, y entre los más importantespodemos citar los siguientes:• Ofrecer la seguridad a los propietarios de las empresas, o a las partes interesadas en las organizaciones auditadas (accionistas), o a los responsables de sus actividades, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe.• Ofrecer la seguridad a otros posibles usuarios de los estados financieros, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe. Estos usuarios pueden ser: acreedores, entidades financieras, personal, Hacienda Pública, inversores potenciales e instituciones supranacionales.• Cuando se realiza una venta o cambio de titularidad o liquidación de una empresa, es necesario conocer la fiabilidad de la valoración de dicha empresa.• Cuando se quiere acceder a subvenciones, o intervenir en proyectos de desarrollo o producción promovidos por instituciones públicas nacionales o supranacionales, suele haber el requisito que obliga a efectuar una auditoría lo más completa posible.• Según los países y el ámbito en que se mueve la empresa, hay obligación legal de efectuar auditorías de forma periódica.2.2. OBJETIVOS DE UNA AUDITORÍA El objetivo fundamental de un trabajo de auditoría es permitir que el auditor llegue aestar en condiciones de informar fundadamente sobre la fidelidad y razonabilidad de lasituación que refleja la documentación aportada por la empresa. El auditor está obligado a establecer de forma inequívoca, según su criterio, si laimagen de la empresa es fiel y razonable en la documentación aportada. Si no ha podidoconfirmar estos términos, debe calificar su informe justificando las razones que le hanllevado a considerar las desviaciones de fidelidad y razonabilidad, y en qué aspectos, y enqué medida, se ha incurrido en una formulación errónea. El auditor debe expresar conindependencia su opinión. Un trabajo de auditoría también tiene unos objetivos secundarios:1. El examen del auditor no está específicamente destinado a descubrir actuaciones anómalas, fraudulentas o, simplemente erróneas. Por tanto, no se debe esperar como resultado necesario. 19
  20. 20. 2. La responsabilidad de la gestión y control corresponde a la administración de la empresa. El auditor no puede ejercer ninguna labor de protección en caso de incumplimiento de esas responsabilidades. En cambio, puede planificar su trabajo para poder descubrir los errores significativos provocados por irregularidades o fraudes, de los que informará cumplidamente a los administradores o a los socios, según corresponda.3. El auditor no es responsable de la preparación de la documentación de la gestión (estados financieros, por ejemplo), ni de la valoración critica de la gestión directiva reflejada en dicha documentación. En cambio, debe asistir a la dirección en el establecimiento y mantenimiento de un sistema de control interno adecuado, informando de las deficiencias observadas en el mismo a lo largo de la auditoría.4. El auditor está en condiciones de hacer sugerencias constructivas al cliente en relación con los aspectos operativos de la empresa.2.3. DEFINICIONES DE AUDITORÍA Hay diversas definiciones del concepto de Auditoría, entre ellas podemos teneren cuenta las siguientes:Norma AENOR X50-109: Examen metódico de una situación relativa a un producto, proceso, organización, en materia de calidad, realizado en cooperación con los interesados, a fin de verificar la concordancia de la realidad con lo preestablecido, y la adecuación al objetivo buscado.Ley 19/1988 de Auditoría de Cuentas: "... la actividad que, mediante la utilización de determinadas técnicas de revisión, tiene por objeto la emisión de un informe acerca de la fiabilidad de los documentos contables auditados; delimitándose, pues, a la mera comprobación de que los saldos que figuran en sus anotaciones contables concuerdan con los ofrecidos en el balance y en la cuenta de resultados, ...".Real Decreto 1636/1990 del Reglamento que desarrolla la Ley de Auditoría de Cuentas,Artículo 1°: " 1.- Se entenderá por auditoría de cuentas la actividad, realizada por una persona cualificada e independiente, consistente en analizar, mediante la utilización de las técnicas de revisión y verificación idóneas, la información económico-financiera deducida de los documentos contables examinados, y que tiene por objeto la emisión de un informe dirigido a poner de manifiesto su opinión responsable sobre la fiabilidad de la citada información, a fin de que se pueda conocer y valorar dicha información por terceros". En resumen, en todas las definiciones de auditoría podemos encontrar varios puntoscomunes:• la realización de un examen ordenado y planificado,• la comprobación de la calidad de lo examinado,• la verificación de la fiabilidad de lo examinado en cuanto a los hechos reales que refleja, y 20
  21. 21. • la obligación de informar a terceros con una opinión fundada. Hemos de tener en cuenta que la auditoría no es un fin en si misma, sino que se tratade un instrumento que permite obtener la respuesta a objetivos de calidad y fiabilidad.2.4. ASPECTOS DE LA AUDITORÍA2.4.1. Principio de Autenticidad El principio fundamental de la Auditoría es el de autenticidad, atendiendo a lasdefiniciones dadas anteriormente en el apartado 2.2. El auditor tiene que analizar todos loselementos informativos de la empresa con dos objetivos principales: comprobar lacorrección de lo realizado (calidad), y que la información presentada refleja la situaciónverdadera sin ambigüedades (fiabilidad).2.4.2. Clases de Auditoría La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto quela efectúa, según el contenido y los fines, por su amplitud y por su frecuencia. Pasamos a desarrollar estos aspectos:Por el sujeto que la efectúa:• Auditoría interna: Está a cargo de empleados de la propia empresa, encuadrados en un departamento directamente dependiente de la dirección general.• Auditoría externa: Está a cargo de auditores profesionales, ajenos a la empresa y totalmente independientes.Por su contenido y fines:• Auditoría de gestión: Afecta a la situación global de la empresa.• Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la adecuada, según las necesidades y problemas de la misma.• Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o función dentro de una organización, está cumpliendo los objetivos establecidos por la gerencia; así como identificar las condiciones que necesiten mejora.• Auditoría financiera: Examen y verificación de los estados financieros de la empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.• Auditoría contable: Analiza la adecuación de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.• Auditoría informática: Examen y verificación del correcto funcionamiento y control del sistema informático de la empresa.Por su amplitud:• Auditoría total: Afecta a todos los elementos de la empresa.• Auditoría parcial: Se concentra en determinados elementos de la empresa.Por su frecuencia:• Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico. 21
  22. 22. • Auditoría ocasional: Se realiza de forma esporádica.2.4.3. Beneficiarios de la auditoría Los beneficiarios de la auditoría son los que tienen relación con la empresa ynecesitan información correcta y auténtica sobre la situación y actividades de la misma. Según el sujeto que la realiza, los beneficiarios son distintos:• En la A. interna, es la propia empresa y todos los órganos de gobierno y ejecutivos.• En la A. externa: • Accionistas o socios. • Consejeros y ejecutivos. • Proveedores, acreedores y otros. • Inversores. • La Banca • La Bolsa. • La Hacienda Pública. • Los empleados de la empresa. • Otros organismos públicos e institucionales.2.5. DESARROLLO HISTÓRICO DE LA AUDITORÍA Los antecedentes de la auditoría podemos encontrarlos en civilizacionespreocupadas en controlar los gastos y los ingresos del Estado, para vigilar el manejo de losfondos por los funcionarios asignados. Entre estas civilizaciones tenemos la cultura egipcia.Se afirma que el término "auditor" procede de la persona que efectuaba estos controles,quien escuchaba las relaciones de cuentas de los funcionarios de viva voz, puesto que éstoscarecían de la instrucción necesaria para presentarlas en forma escrita. Durante el reinado de Eduardo I de Inglaterra, a fines del siglo XIII, se acuña elvocablo auditor como denominación propia de la persona encargada de realizar loscontroles de cuentas. Las actuales asociaciones profesionales de auditores tuvieron sus precursoresen los Consejos Londinenses de Londres (1310), el Colegio de Contadores de Venecia(1581), el Tribunal de Cuentas de París (1640) y la "Academia dei Ragioneri" de Milán yBolonia (1658). El concepto moderno de auditoría contable surge con los fracasos financiero-económicos de las sociedades de acciones nacidas de la revolución industrial, en la segundamitad del siglo XVIII. La falta de seriedad y de profesionalidad en sus gestores provocó laquiebra de una gran número de empresas. Esta situación dio lugar a la imposición tácita, yposteriormente legal, de revisiones de la situación financiera de las empresas a cargo decontables independientes. Inglaterra, como una de las pioneras en la revolución industrial,fue también una de las pioneras en el desarrollo de la profesión de auditor, entendida en elsentido mencionado anteriormente. El gobierno británico aprobó oficialmente la creacióndel Instituto de Auditores Titulados de Inglaterra y Gales, en 1880. Las normas de auditoría se elaboraron inicialmente en los Estados Unidos de 22
  23. 23. Norteamérica, como consecuencia del desarrollo económico de principios de siglo y de lacrisis de 1929. El "American Institute of Accountants" publicó un documento sobre auditoría debalances en 1917, a petición de la "Federal Trade Comission ". En 1929 se efectuó unarevisión a cargo del American Institute of Certified Public Accountants(AICPA). En 1934se publica un documento conjunto entre el AICPA y la recién , creada "Securities andExchange Commission" (SEC): " Audit of Corporate Accounts". El primer documento donde se puede hallar la descripción de la profesión deauditor, así como de los procedimientos detallados de auditoría, es el "Examination ofFinancial Statements by Independent Public Accountants", publicado porel AICPA. En 1939 se establece las primeras acciones para la definición de las Normas deAuditoría Generalmente Aceptadas (NAGA), mediante la creación de un Comité especialsobre Procedimientos de Auditoría en el AICP A. La documentación fruto de los trabajosde este Comité se denominó "Extensions of Auditing Procedure" (mayo de 1939), queposteriormente pasó a denominarse "Statements on Auditing Procedure" (SAP). Hasta 1972se publicaron un total de 54 SAP. En 1972, el comité pasa a llamarse "Comité Ejecutivo de Normas de Auditoría",cuya misión es la interpretación de las NAGA, produciendo los "Statements on AuditingStandard" (SAS). A partir de 1978, el "Auditing Standard Board" (AICPA) es elresponsable de la promulgación de normas y procedimientos deauditoría para los miembros del AICPA. En Europa se han desarrollado diversas instituciones de auditoría, oficiales yprivadas, que han publicado normas de auditoría con clara influencia de los normaspublicadas en Estados Unidos, adaptadas a las legislaciones y usos propios de cada país.Por ejemplo, tenemos la serie de Declaraciones sobre Auditoría, publicadas en 1951 por el"Institute of Chartered Accountants in England and Wales". En España no se empieza a considerar la aplicación y desarrollo de la auditoría hastala publicación del Código de Comercio (Ley 21/7/73) [7]. Anteriormente, se contemplabanunas revisiones contables (ordinaria y extraordinaria) con fuertes limitaciones, fijadas en laLey de Sociedades Anónimas (17/7/51) [28]. En 1943 se crea el Instituto de Censores Jurados de Cuentas, institución profesionalprivada que agrupa a los profesionales dedicados a la censura de cuentas, precedente de laauditoría de cuentas. La Ley de Sociedades Anónimas fue un importante freno al desarrollode la profesión auspiciado por dicho Instituto. Posteriormente, en la década de los sesenta ysetenta, aparecieron algunas disposiciones legales que regulaban la actuación de losauditores. Sin embargo, en la práctica, la totalidad de las actuaciones de auditoría estaban acargo de miembros del Instituto de Censores Jurados de Cuentas de España. Con la constitución y posterior desarrollo de la Comunidad Económica Europea, seha tratado de armonizar y estandarizar las normas de auditoría de los países miembros, através de las directivas y de los reglamentos, publicadas desde 1968. 23
  24. 24. España, para poder incorporarse como miembro de pleno derecho en la CEE, tuvoque adaptar parte de su legislación a las directivas promulgadas. Por tanto, a partir de 1988,se realiza una paulatina adaptación del ordenamiento mercantil con la promulgación devarias leyes y decretos, como la Ley de Auditoría de Cuentas (12/7/88) [26], el TextoRefundido de la Ley de Sociedades Anónimas (22/12/89) y el Plan General de Contabilidad(20/12/90) [37], entre los más importantes.2.6. CONTROL INTERNO Y AUDITORÍA INTERNA2.6.1 Concepto y objetivos de control interno Una de las formas de definir el concepto de control interno es la siguiente:el control interno es un proceso que lleva a cabo el Consejo de Administración, ladirección y el resto de los miembros de una entidad, con el objeto de proporcionar ungrado razonable de confianza en la consecución de objetivos de fiabilidad de lainformación financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyesy las normas aplicables. La dirección de la organización tiene la responsabilidad de decidir el alcanceadecuado del sistema de control interno. La naturaleza de los controles depende de la clasede grado de control, distribución geográfica y estructura de la organización, entre losfactores más importantes. El control interno tiene limitaciones, puesto que no garantiza, por si mismo, unaadministración eficiente y tampoco puede evitar el fraude, cuando se da la complicidadentre los cargos de confianza. Los objetivos de salvaguarda de los activos, integridad de los datos, efectividad delsistema y eficiencia del sistema solo se pueden conseguir si la dirección de unaorganización establece un sistema de control interno. Tradicionalmente, los principales componentes de un sistema de control interno hanincluido: (1)la segregación de funciones, (2) la delegación de la responsabilidad y de laautoridad, (3) existencia de personal competente y de confianza, (4) el sistema deautorizaciones, (5) documentación y registros adecuados, (6) el control físico sobre activosy registros, (7) la adecuada supervisión de la gestión, (8) la verificación independiente delas operaciones y (9) la comparación periódica de los registros contabilizados con losactivos.2.6.2. Concepto y objetivos de auditoría interna La auditoría interna es la actividad, dentro de una organización, dirigida a larevisión de las operaciones contables, financieras y de otro tipo. Es un control que la gerencia de la empresa aplica para medir y evaluar la eficaciadel control interno. Su objetivo principal es la asistencia a la gerencia en el eficaz desempeño de susfunciones. La auditoría interna proporciona a la gerencia análisis, evaluaciones yrecomendaciones de las actividades revisadas. 24
  25. 25. Otro objetivo de la auditoría interna es la supervisión del cumplimiento de laspolíticas contables y procedimientos establecidos por la empresa. La auditoría interna se lleva a cabo en un departamento que depende directamentede la gerencia de la empresa.2.6.3. Características de la auditoría interna Las principales características de un departamento de auditoría interna son:• Independencia limitada: en su estructura pero no en la realización y evaluación de su trabajo.• Personal cualificado para la realización de auditorías: características similares a las del auditor externo.• Preparación de informes periódicos a la gerencia: actividades del departamento, con expresión del alcance y resultados de la auditoría.• No participación en actividades que posteriormente serán auditadas por el propio departamento. La eficacia del departamento de auditoría interna está basada en los factores querelacionamos a continuación:• Adecuada planificación: elaboración de un plan de auditoría interna.• Adecuada y efectiva supervisión: participación en la planificación, revisión de los papeles de trabajo y de los informes preparados.• Fomación continuada: formación técnica suficiente inicial y actualización mediante la participación en cursillos y seminarios. Se recomienda la inscripción en asociaciones profesionales de auditoría.• Evidencia documental: preparación de papeles de trabajo necesarios para soporte del trabajo realizado y de las conclusiones alcanzadas.2.6.4. Diferencias entre auditoría interna y externa1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa; mientras que en la auditoría externa, es un profesional independiente.2. En la auditoría interna, la independencia está limitada; mientras que en la auditoría externa, la independencia es total.3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo laboral; mientras que en la auditoría externa, es de tipo profesional, que puede llegar a ser penal.4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión; mientras que en la auditoría externa, el objetivo es el examen de los estados financieros para determinar si representan la situación real de la entidad auditada.5. En la auditoría interna, el informe emitido es un informe con recomendaciones para la gerencia; mientras que en la auditoría externa, está dirigido también a terceros.6. En la auditoría interna, el uso del informe está restringido al ámbito de la propia empresa; mientras que en la auditoría externa, el uso trasciende la propia empresa. Ambos tipos de auditoría no son excluyentes. El auditor externo debe tener en cuenta eltrabajo efectuado por el auditor interno a la hora de fijar la naturaleza y extensión de losprocedimientos. Se debe establecer una colaboración entre ambos. Con este propósito, el 25
  26. 26. auditor externo debe considerar la objetividad y competencia de los auditores internos yevaluar el trabajo realizado por los mismos.2.7. DOCUMENTOS DE AUDITORÍA2.7.1 los papeles de trabajo2.7.1.1 Concepto y objetivos Los papeles de trabajo es la documentación que mantiene el auditor sobre losprocedimientos aplicados, sobre las comprobaciones parciales realizadas y sobre lasconclusiones alcanzadas después del examen. En resumen, constituyen la totalidad de losdocumentos preparados o recibidos por el auditor. En las normas técnicas de auditoría se establecen los objetivos principales delos papeles de trabajo, que son los siguientes:1. Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción de los medios que han conducido a formar la opinión del auditor.2. Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría.3. Ayudar al auditor en la ejecución de su trabajo.4. Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías,5. Hacer posible que cualquier persona capacitada pueda supervisar la actuación realizada2.7.1.2 Forma y contenido En base al último de los objetivos formulados, las normas técnicas de auditoríaresaltan una regla general en cuanto a la forma y contenido de los papeles de trabajo: debenestar elaborados con la suficiente claridad y precisión para que cualquier auditor que nohaya participado en la auditoría pueda revisar el trabajo y comprobar que se ajusta a lasnormas técnicas. La forma y contenido van a ser diferentes para cada uno de los trabajos realizados,siempre y cuando se ajusten a los objetivos establecidos. Sin embargo, los papeles detrabajo deberán contemplar temas como:1. Dejar constancia del proceso de planificación y de los programas de auditoría.2. Dejar constancia del estudio y evaluación del sistema de control interno contable.3. Los principios contables y criterios de valoración seguidos.4. Las conclusiones alcanzadas por el auditor.5. Copia de las cuentas anuales auditadas y del informe de auditoría.6. Constancia de la naturaleza, momento de realización y amplitud de las pruebas realizadas.7. Confirmaciones o certificados recibidos de terceros.8. Indicación del autor de los procedimientos de auditoría y de la fecha de realización.9. Constancia de la supervisión y revisión del trabajo de los ayudantes.10. Extractos de las actas de las Juntas de Accionistas, Consejos de Administración y de otros órganos de dirección y vigilancia. Hay una información mínima común a todos los papeles de trabajo que es lasiguiente:• Nombre del cliente o empresa sujeta a la auditoría. 26
  27. 27. • Fecha del examen.• Descripción del papel de trabajo.• Nombre de la persona que ha preparado el documento.• Evidencia de que ha sido revisado por otra persona distinta al que ha preparado el documento.• Detalles, cifras y explicaciones de los datos financieros y procedimientos de verificación utilizados.• Fuentes de información de los datos incluidos.• Conclusiones alcanzadas.2.7.1.3 Propiedad, custodia y conservación El auditor está encargado de la custodia de la privacidad de los papeles de trabajo,que tienen un carácter estrictamente privado. Cualquier información contenida en losmismos no debe trascender del ámbito de trabajo exclusivamente. Además, si el clientesolicita alguno de los documentos de los papeles de trabajo, si no es un papel elaborado porel auditor con información reservada incluso pare el cliente, el auditor debe facilitarle unacopia o fotocopia y retener el original. Por otra parte, el auditor está obligado a conservar durante cinco años, a partir de lafecha del informe, toda la documentación de la auditoría.2.7.1.4 Organización y archivo El auditor debe organizar y archivar la documentación que está manejando oelaborando para acceder a ella con eficacia. El criterio de organización y archivo se deja aelección del profesional. Sin embargo, a lo largo de la experiencia de auditoría, se haconfeccionado unas normas de trabajo que facilitan esta función del auditor,fundamentalmente respecto del acceso rápido a la información contenida en los papeles detrabajo. Estas normas se relacionan a continuación:1. Identificar todos los papeles de trabajo por áreas o cuentas, aplicando la técnica de índices de referencia (símbolos utilizados en la preparación de los papeles de trabajo para conseguir una ordenación lógica).2. Referenciar adecuadamente cada papel de detalle en cada área de trabajo, con papeles de otras áreas, etc.3. Agrupar los papeles de trabajo por áreas, cuentas, etc.4. Separar los papeles de trabajo en dos grupos: • Papeles de trabajo permanentes: Archivo permanente. • Papeles de trabajo corrientes (del ejercicio): • Carpeta general • Carpeta de las áreas. La carpeta general y las carpetas de las áreas constituyen el Archivo general deauditoría. En el archivo permanente se registra la información siguiente: 27
  28. 28. 1. Datos generales: actividades de la empresa, organigrama general y reparto de las funciones, composición del Consejo de Administración, extracto de las actas de la Junta de Accionistas y del Consejo de Administración, y detalle de firmas autorizadas.2. Información contable: Plan de cuentas, descripción del sistema contable, normas especiales de contabilización, descripción de los procedimientos de contabilidad y de las medidas de control interno, y cuestionario de control interno.3. Escrituras y contratos.4. Detalles de cuentas y otros datos. En la carpeta general se registra fundamentalmente la información siguiente.1. Copia del informe de auditoría.2. Copia de la carta de recomendaciones.3. Cuentas anuales finales.4. Cuentas anuales iniciales.5. Balances de Situación de Activos y de Pasivos y Cuentas de Pérdidas y Ganancias.6. Cuadros de financiación.7. Programas de auditoría.8. Cuestionarios de comprobación.En las carpetas por áreas se registra fundamentalmente la información siguiente.Memorándum de sección.Memorándum de procedimientos.Programa de auditoría.Análisis resumen del área.Análisis principales.Análisis de detalle.2.7.2 El Informe de auditoría El informe de auditoría constituye el producto final del trabajo de auditoría y laúnica documentación que va a llegar a quien ha encargado la auditoría. Por tanto, el nivelde calidad del informe ha de ser el máximo que se pueda alcanzar.2.7.2.1 Objetivos del informe Los objetivos principales del informe son:1. Permitir a quien esté revisando el informe entender el trabajo realizado, las circunstancias que afectan a la falta de fiabilidad de las cuentas anuales y las conclusiones del auditor.2. Prevenir una interpretación errónea del grado de responsabilidad que asume el auditor.2.7.2.2 Clases de informes Como el informe representa el trabajo de auditoría realizado, su naturaleza estará enconsonancia con la naturaleza de la auditoría, y ésta se ha desarrollado según lasinstrucciones recibidas del solicitante del encargo. Vimos en la sección ¿¿2.3.2las distintas clases de auditoría empresarial, que determinan las clases de informes deauditoría. Cabe destacar los siguientes, dentro del tipo de auditoría financiero-contable: 28
  29. 29. • Informe de auditoría completa.• Informe de auditoría limitada.• Informe de auditoría especial• Informe de auditoría de gestión u operativa.2.7.2.3 Elementos básicos del informe de auditoría1. Título del informe:2. Identificación de los destinatarios y de los solicitantes del trabajo: accionistas, Consejo de Administración u organismos oficiales.3. Identificación de la empresa auditada: nombre o razón social completos.4. Párrafo de alcance de la auditoría: • Identificación de las cuentas anuales (nombre de la empresa y régimen jurídico, estados objetos del examen, fecha del balance de situación, periodo que cubren el resto de estados y referencia de la responsabilidad de los Administradores en la formulación de las cuentas anuales. • Referencia a la aplicación de las normas de auditoría generalmente aceptadas o de las normas técnicas de auditoría legalmente permitidas. • Naturaleza y motivo de los procedimientos que no hubieran podido aplicarse.5. Párrafo de opinión: expresa la opinión del auditor sobre si las cuentas anuales reflejan la imagen fiel de la situación de la empresa y si la información es necesaria y suficiente para la interpretación y comprensión adecuada de conformidad con los PCGA. Se pide claridad y precisión en la forma y contenido. También se menciona la naturaleza de cualquier salvedad significativa con la partícula "excepto por...". En este párrafo se puede expresar una opinión negativa o denegar la opinión cuando las excepciones son significativas.6. Párrafo de salvedades: detalles de los efectos en las cuentas anuales de las salvedades recogidas en los puntos 4 y 5.7. Párrafo de énfasis: a diferencia de las salvedades, este párrafo sirve para enfatizar excepcionalmente alguna circunstancia relacionada con las cuentas anuales.8. Párrafo sobre el informe de gestión: alcance del informe y si la información contable contenida concuerda con la de las cuentas anuales del ejercicio.9. Nombre, dirección y datos registrales del autor: aparte debe incluirse la dirección y número de registro en el ROAC.10. Firma del auditor: firma del auditor de cuentas que ha dirigido el trabajo o uno de los socios si es una sociedad de auditoría.11. Fecha de emisión del informe: debe coincidir con la fecha de terminación del trabajo en la empresa auditada y no debe ser anterior a la fecha de formulación de las cuentas anuales por los Administradores.2.7.2.4 Tipos de opinión La opinión que se expresa en el informe, se puede clasificar como viene acontinuación:1. Opinión favorable (o sin salvedades): cuando se haya realizado el trabajo sin limitaciones, según las Normas Técnicas; y las cuentas anuales estén formuladas de acuerdo con los PCGA.2. Opinión con salvedades: cuando el auditor concluye que existen una o más circunstancias que marcan limitaciones al alcance, incumplimiento de los PCGA, incertidumbre y no uniformidad con los PCGA. 29
  30. 30. 3. Opinión desfavorable (o adversa): cuando las cuentas anuales no presentan la imagen fiel de la situación de la empresa.4. Opinión denegada (o renuncia de opinión): cuando el auditor no ha obtenido la evidencia necesaria para formar una opinión.2.7.2.Requisitos de un buen informe, responsabilidad de su contenido y publicidad Un informe de calidad debe cumplir los siguientes requisitos para alcanzar susobjetivos primordiales:1. Claridad en la explicación del alcance del trabajo efectuado.2. Sencillez en la descripción de los problemas encontrados.3. Precisión en las salvedades que se inserten en la opinión.4. Cumplimiento con las normas relacionadas con los informes de auditoría completa: • Las cuentas anuales deberán contener la información necesaria y suficiente para su interpretación y comprensión adecuadas y formuladas de conformidad con principios y normas generalmente aceptados. • Uniformidad en la aplicación de los principios y normas generalmente aceptados, en relación con el ejercicio anterior. • Las cuentas anuales expresarán, en todos los aspectos significativos, la imagen fiel del patrimonio y de la situación financiera de la empresa o entidad y de los resultados de sus operaciones y de los recursos obtenidos y aplicados. • El informe de auditoría debe contener una expresión de opinión acerca de las cuentas anuales en su conjunto o indicar por qué tal opinión no se expresa. • En el informe de auditoría se indicará si la información contable que contienen el informe de gestión concuerda con la de las cuentas anuales auditadas. El auditor solamente es responsable de su opinión, expresada en el informe, pero laresponsabilidad de la formulación de las cuentas anuales recae en la Administración de laempresa auditada. . El auditor no puede facilitar directamente a terceros copia del informe de auditoría.Por regla general, el auditor debe remitir el informe a la Administración de la empresa y,ésta, es la responsable de remitir las copias pertinentes del informe junto con ladocumentación de las cuentas anuales. Solamente en los supuestos establecidos por la leyvigente, o con la autorización expresa de la empresa, se puede facilitar una copia delinforme a terceros sin que pase por la administración de la empresa.2.7.2.6 La carta de recomendaciones La carta de recomendaciones constituye un complemento al informe de auditoría,donde el auditor, basado en su experiencia profesional, relaciona los problemas que hadetectado y sugiere las posibles soluciones para solventarlos. El auditor también se puedeayudar de cuestionarios o formularios para la preparación de la carta de recomendaciones.Sin embargo, sigue siendo fundamental la experiencia individual del auditor o de losmiembros del equipo de auditoría. No hay una estructura estandarizada de la carta de recomendaciones, cada auditor osociedad de auditoría confecciona sus propias normas. Sin embargo, se puede 30
  31. 31. enunciar una serie de puntos comunes que suelen tener las cartas de recomendaciones, quevemos a continuación:• Párrafo de introducción: se explica el trabajo realizado, el periodo cubierto y la limitación en el uso de los comentarios que se incluyen a continuación en la carta.• Referencia de las personas con las que se han comentado los temas.• Comentarios individualizados por áreas de las cuentas anuales u otros temas: explicación del problema encontrado y sugerencias o recomendaciones para solventarlo. Los problemas típicos que puede encontrar el auditor son:• Debilidades en el control interno contable;• circuitos administrativos deficientes;• prácticas contables incorrectas; y• errores no significativos detectados en el curso de la auditoría. 31
  32. 32. 3 LA FUNCIÓN DE AUDITORÍA INFORMÁTICA Y SUORGANIZACIÓN 3.1. ANTECEDENTES 3.2. TIPOS DE AUDITORÍA INFORMÁTICA 3.3. LA FUNCIÓN DE AUDITORÍA INFORMÁTICA 3.3.1. Perfiles de un auditor de Sistemas de Información 3.3.2. Funciones a desarrollar por la función de Auditoría Informática 3.4. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA INFORMÁTICA3.1. ANTECEDENTES El concepto de auditoría informática ha estado siempre ligado al de auditoría engeneral y al de auditoría interna en particular, y éste ha estado unido desde tiemposhistóricos al de contabilidad, control, veracidad de operaciones, etc. En tiempo de los egipcios ya se hablaba de contabilidad y de control de los registrosy de las operaciones. Aún algunos historiadores fijan el nacimiento de la escritura comoconsecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Yearsof Progress). Esta referencia histórica a fin de explicar la evolución de la corta pero intensahistoria de la auditoría informática, y para que posteriormente nos sirva de referencia alobjeto de entender las diferentes tendencias que existen en la actualidad. Si analizamos el nacimiento y la existencia de la auditoría informática desde unpunto de vista empresarial, tendremos que empezar analizando el contexto organizativo y elentorno en el que se mueve. Empezaremos diciendo que tanto dentro del contexto estratégico como del operativode las organizaciones actuales, los SIs y la arquitectura que los soportan desempeñan unimportante papel como uno de los soportes básicos para la gestión y el control del negocio,siendo así uno de los requerimientos básicos de cualquier organización. Esto da lugar a losSis de una organización. Es evidente que para que dichos sistemas cumplan sus objetivos debe existir unafunción de gestión de dichos sistemas, de los recursos que los manejan y de las inversionesque se ponen a disposición de dichos recursos para que el funcionamiento y los resultadossean los esperados. A esta función es lo que llamamos el Departamento de Sistemas deInformación Finalmente, y en función de lo anterior, aunque no como algo no enteramenteaceptado aún, debe existir una función de control de la gestión de los sistemas y deldepartamento de sistemas de información. A esta función la llamamos auditoríainformática. El concepto de la función de auditoría informática, en algunos casos llamadafunción de control informático y en los menos, llamada y conocida por ambos términos,arranca en su corta historia, cuando en los años cincuenta las organizaciones empezaron a 32
  33. 33. desarrollar aplicaciones informáticas. En ese momento, la auditoría trataba con sistemasmanuales. Posteriormente, en función de que las organizaciones empezaron con sistemascada vez más complejos, se hizo necesario que parte del trabajo de auditoría empezara atratar con sistemas que utilizaban sistemas informáticos. En ese momento, los equipos de auditoria, tanto externos como internos, empezarona ser mixtos, con involucración de auditores informáticos junto con auditores financieros.En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunoscasos convergían:• Trabajos en los que el equipo de auditoría informática trabajaba bajo un programa de trabajo propio, aunque entroncando sus objetivos con los de la auditoría financiera; éste era el caso de trabajos en los que se revisaban controles generales de la instalación y controles específicos de las aplicaciones bajo conceptos de riesgo, pero siempre unido al hecho de que el equipo de auditoría financiera utilizaría este trabajo para sus conclusiones generales sobre el componente financiero determinado.• Revisiones en las que la auditoría informática consistía en la extracción de información para el equipo de auditoría financiera. En este caso el equipo o función de auditoría interna era un exponente de la necesidad de las organizaciones y departamentos de auditoría de utilizar expertos en informática para proveer al personal de dicho departamento de información extraída del sistema informático cuando la información a auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de cómo se había creado. Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que esla función y de lo que son los objetivos de la auditoría informática. Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que esla función y de lo que son los objetivos de la auditoría informática.Parece que la tendencia futura de la auditoría informática radicará en los siguientesprincipios:1. Todos los auditores tendrán que tener conocimientos informáticos que les permitan trabajar en el cada vez más fluctuante entorno de las tecnologías de la información dentro de las organizaciones empresariales, culturales y sociales.2. Este aspecto no eliminará la necesidad de especialistas en auditoría informática, es más, los especialistas necesitarán cada vez más unos conocimientos muy específicos que, de la misma forma que a los especialistas en sistemas de información, les sirva para ser expertos en las diferentes ramas de la tecnología informática: redes y comunicaciones, bases de datos, seguridad, internet, comercio electrónico, etc.3. El auditor informático dejará de ser un profesional procedente de otra área, para pasar a ser un profesional formado y titulado en auditoría informática que tendrá a su alcance diferentes medios de formación y, además, formar parte de una red de conocimientos compartidos con otros profesionales, de su misma organización y de otras organizaciones.3.2 CLASES Y TIPOS DE AUDITORÍA INFORMÁTICA 33
  34. 34. Hay cierta confusión sobre lo que es auditoría informática. Si preguntamos a diferentes personas, probablemente, nos darándiferentes definiciones. La siguiente lista es un resumen de las diferentes definiciones que nos podemos encontrar:• Auditoría informática como soporte a la auditoría tradicional.• Auditoría informática con el concepto anterior, añadiendo la función de auditoría de la función de gestión del entorno informático.• Auditoría informática como función independiente, enfocada hacia la obtención de la situación actual de un entorno de información e informático en aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.• Las acepciones anteriores desde un punto de vista interno y externo-• Auditoría como función de control dentro de un departamento de sistemas.3.3. FUNCIÓN DE AUDITORÍA INFORMÁTICA3.3.1 Definición Por lo dicho hasta ahora, está claro que la auditoría, revisión, diagnóstico y controlde los SIs deben ser realizados por personas con experiencia en las disciplinas, deinformática y auditoría Además, estas personas deben completar su formación conconocimientos de gestión empresarial. Para tratar de definir el perfil de un auditor informático, la definición más exacta,quizás, es que es un profesional dedicado al análisis de sistemas de informacióninformatizados que está especializado en alguna de las múltiples ramas de la auditoríainformática, que tiene conocimientos generales de los ámbitos en los que ésta se mueve,que tiene conocimientos empresariales generales, y que además:• Posea las características necesarias para actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y de gestión que le sean propios.• Que pueda actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado, puede ser un entorno ineficiente si no es consistente con los objetivos de la organización. El eterno problema que se ha suscitado durante mucho tiempo es si el auditorinformático, al no existir tal formación académica en nuestro país, tenía que ser un auditorconvertido en informático, o por el contrario un informático reciclado como auditorinformático. En las experiencias habidas, los éxitos y los fracasos se acumulaban por igualen ambos orígenes. ¿ Qué hacer en estos casos? ¿Cuál debe ser el perfil correcto de unauditor informático?. En los dos siguientes apartados se esbozan unas directrices sobre los perfiles de losauditores informáticos y las responsabilidades de la función de auditoría informática.3.3.2. Perfiles profesionales de la función de Auditoría Informática A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditorinformático debe ser un persona con un alto grado de calificación técnica y al mismotiempo estar integrado en las corrientes organizativas empresariales que imperan hoy endía. 34
  35. 35. De esta forma, dentro de la función de auditoría informática, se deben contemplarlas siguientes características para mantener un perfil profesional adecuado y actualizado:1. La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática general. Estos últimos deben contemplar conocimientos básicos en cuanto a: • Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de desarrollo. • Gestión del departamento de sistemas. • Análisis de riesgos en un entorno informático. • Sistema operativo (este aspecto dependerá de varios factores, pero principalmente de si va a trabajar en un entorno único -auditor interno- o, por el contrario, va a tener posibilidades de trabajar en varios entornos como auditor externo). • Telecomunicaciones. • Gestión de bases de datos. • Redes locales. • Seguridad física. • Operaciones y planificación informática; efectividad de las operaciones y del rendimiento de los sistemas. • Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la información. • Gestión de problemas y de cambios en entornos informáticos. • Administración de datos. • Ofimática. • Comercio electrónico. • Encríptación de datos.2. A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial. Así, en un entorno financiero pueden tener mucha importancia las comunicaciones, y será necesario que alguien dentro de la función de auditoría informática tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en el que las transacciones EDI pueden ser más importantes.3. Uno de los problemas que más han incidido en la escasa presencia de auditores informáticos en nuestro país, es quizás la a veces escasa relación entre el trabajo de auditoría informática y las conclusiones con el entorno empresarial donde se ubicaba la entidad auditada. Esta sensación de que las normas van por sitios diferentes de por donde va el negocio ha sido fruto muchas veces de la escasa comunicación entre el auditado (objetivos empresariales) y el auditor (objetivos de control). Como quiera que la cruda realidad nos está demostrando en la actualidad cada vez más la necesidad de cada vez mayor control en los sistemas de información, se hace necesario para el auditor informático conocer técnicas de gestión empresarial, y sobre todo de gestión del cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la línea de la búsqueda óptima de la mejor solución para los objetivos empresaríales que se persiguen y con los recursos que se tienen. 35
  36. 36. 4. El auditor informático debe tener siempre el concepto de Calidad Total (últimamente también llamado Excelencia Empresarial). Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sea reconocido como un elemento valioso dentro de la organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva por la organización.3.3.3. Funciones a desarrollar por la función de Auditoría Informática Se han suscitado múltiples controversias sobre las funciones a desarrollar en cuantoal trabajo de Auditoría Informática que se debe realizar. ¿Cuál es el objetivo deuna Auditoría Informática? ¿Qué se debe revisar, analizar o diagnosticar? ¿Puede la función de Auditoría Informática aportar sólo lo que le piden o debeformar parte de un ente organizativo total, lo que le exige una actitud de contribución totalal entorno empresarial en el que está realizando su trabajo? En definitiva, los aspectos quedebe revisar el auditor informático son: la seguridad, el control interno, la efectividad, lagestión del cambio y la integridad de la información. Si analizamos la realidad más actual, diremos que la función Auditoría Informáticadebe mantener en la medida de lo posible los objetivos de revisión que le demande laorganización, pero como esto es muy general, vamos a precisar algo más lo que sería unentorno ideal que tiene que ser auditado. Supongamos una organización que produce componentes tecnológicos de audio y vídeo, tanto en formato primario como en producto semiterminado y terminado. Esta organización mantiene sus programas y resultados de investigación bajo control informático. Además tiene las características propias de cualquier empresa productora y comercial en cuanto a sistemas de información. Mantiene en INTERNET un sistema de información de sus productos con la posibilidad de que usuarios de la Red puedan hacer consultas sobre diferentes características de los productos. Gasta anualmente un uno por ciento de su facturación en sus sistemas de información y un diez por ciento en investigación. ¿Cuáles serían los objetivos de revisión de la Auditoría Informática en este ejemplo? Desde luego parece que la Auditoría Informática debería enfocarse hacia aspectos de seguridad, de comercio electrónico y de control interno en general, añadiendo en función de lo expuesto en cuanto al gasto anual que debería realizarse una revisión de la efectividad del departamento. Esto nos indica que solamente con un ejemplo simple vemos que la AuditoríaInformática abarca campos de revisión más allá de los que tradicionalmente se hanmantenido; esto es, la revisión del control interno informático de los servicios centrales yde las aplicaciones. El mundo complejo de las empresas en el que nos movemos, con industriasemergentes y con una tendencia globalizadora en los negocios, hace muy necesario que lossistemas de control interno sean lo más efectivos posibles, pero también conceptos másamplios, como el riesgo de la información, la continuidad de las operaciones, la gestión delcentro de información o la efectividad y actualización de las inversiones realizadas sonnecesarias para poder mantener el nivel competitivo que el mundo empresarial demanda asus sistemas de información. 36
  37. 37. Es así que entonces la función de Auditoría Informática debe realizar un amplioabanico de actividades objetivas, algunas de las cuales se enumeran a continuación:• Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos, centrales y periféricos.• Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de seguridad, de gestión y de efectividad de la gestión-• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarla los auditores financieros.• Auditoría del riesgo operativo de los circuitos de información.• Análisis de la gestión de los riesgos de la información y de la seguridad implícita.• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros)-• Análisis del Estado del Arte tecnológico de la instalación revisada y de las consecuencias empresariales que un desfase tecnológico pueda acarrear.• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización.3.4. ORGANIZACION DE LA FUNCION DE AUDITORIAINFORMÁTICA Según lo que hemos comentado hasta ahora, la función de auditoría informáticaha pasado de ser una función meramente de ayuda al auditor financiero a ser una funciónque desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importanciaque para las organizaciones tienen los sistemas informáticos y de información que son suobjeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del enteempresarial, en el que va a ser analista, auditor y asesor en materias de:• Seguridad.• Control interno operativo.• Eficiencia y eficacia• Tecnología informática.• Continuidad de operaciones.• Gestión de riesgosno solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones eimplicaciones operativas que dichos sistemas tienen en el contexto empresarial. Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de laempresa? Está claro que en este caso estamos hablando de una función interna de auditoríainformática. La concepción típica en las empresas españolas hasta ahora, es la de que la funciónde auditoría informática está entroncada dentro de lo que es la función de auditoría internacon rango de subdepartamento. Esta concepción se basa en el nacimiento histórico de laauditoría informática y en la dificultad de separar el elemento informático de lo que es la 37

×