Introducción Auditoría

El Sistema de Información contable se desarrolló Se define como un proceso sistemático que

para ser utilizado en un entorno manual con consiste en obtener y evaluar objetivamente
libros contables, de manera escrita, evidencias sobre las afirmaciones relativas los
comprobantes físicos ,etc.; con la introducción actos y eventos de carácter económico; con el
de las tecnología de información las empresa fin de determinar el grado de correspondencia
han experimentado un cambio sustancial en el entre esas afirmaciones y los criterios
proceso contable, obteniendo una mayor ventaja establecidos, para luego comunicar los
que nos aporta la informatización con respecto resultados a las personas interesadas. (Ynfante,
al trabajo manual empleado aun en la actualidad, 2009).
el avance de la tecnología de información ha
impactado en los métodos de registro de las La Auditoría es una función de dirección cuya
operaciones y de la información general que finalidad es analizar y apreciar, con vistas alas
producen las empresas. La información que se eventuales las acciones correctivas, el control
procesa y se trata dentro de una empresa es interno de las organizaciones para garantizar la
incalculable, los datos y la información que integridad de su patrimonio, la veracidad de su
manejan las empresas son infinitos. información y el mantenimiento de la eficacia de
El uso de Tecnologías de la Información (TI) en sus sistemas de gestión.
las empresas como factor de ventaja competitiva
es una realidad. Las TI nos ayudan a acelerar el Definiciones de Auditoría Informática
proceso de toma de decisiones, ya que se acorta
el tiempo para transformar los datos en Algunas definiciones de Auditoría Informática:
información, siempre y cuando esta cumpla con Según Rivas ,1989 “es el conjunto de técnicas,
los atributos de: oportunidad, confiabilidad, actividades y procedimientos destinados a
veracidad, integridad, confidencialidad y analizar, evaluar, verificar y recomendar en
accesibilidad asuntos relativos a la planificación, control,
Por lo tanto el uso de la tecnología de eficacia, seguridad y adecuación del servicio
información impone una nueva condicionante al informático de la empresa, ... con vistas a
auditor ha de trabajar ante los elementos de la mejorar en rentabilidad, seguridad y eficacia.”
Tecnología de información, el incremento en
velocidad, eficiencia y seguridad de la Al respecto Acha, 1996, define como “conjunto
información es evidente; la presencia imperante de Procedimientos y Técnicas para evaluar y
de software y tecnología, provoca la necesidad controlar total o parcialmente un Sistema
de la auditoría informática. Informático, con el fin de proteger sus activos y
Auditoría infomática, se ocupa sólo de evaluar recursos, verificar si sus actividades se
cómo se utilizan los recursos informáticos que desarrollan eficientemente y de acuerdo con la
dispone la organización. Es un análisis de normativa informática y general existente en
eficiencia y puede llegar, incluso, a considerar cada empresa, y para conseguir la eficacia
las nuevas tecnologías disponibles en el exigida en el marco de la organización
mercado aplicables al procesamiento de datos. correspondiente.”

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 1

La Auditoría Informática de sistemas de para describir las circunstancias en que se
información es el proceso de recoger, agrupar y encuentran los Recursos Informáticos y cómo se
evaluar evidencias para determinar si un utilizan; a esta descripción se le conoce como
Sistema de Información salvaguarda el activo Informe de auditoría, posteriormente el auditor
empresarial, mantiene la integridad de los datos, tiene que emitir una opinión profesional acerca
lleva a cabo eficazmente los fines de la de dicho Informe, esta opinión se conoce como
organización, utiliza eficientemente los recursos, dictamen, que resume los hallazgos encontrados
y cumple con las leyes y regulaciones durante la auditoría y el juicio del auditor que
establecidas. Al auditar principalmente se puede o no ser favorable a la entidad, empresa
estudian los mecanismos de control que están u organización.
implantados en una empresa u organización, Según Castello(2006),la Auditoría Informática,
determinando si los mismos son adecuados y también llamada Auditoría de Recursos
cumplen unos determinados objetivos o Informáticos, no es dependiente ni evoluciona
estrategias, estableciendo los cambios que se desde la “convencional” (auditoría del sistema de
deberían realizar para la consecución de los información contable). Sus puntos de partida son
mismos, además habrá de evaluar los sistemas diferentes, no se trata sólo de analizar la
de información en general desde sus entradas, corrección de los estados financieros misión de
procedimientos, controles, archivos, seguridad y una auditoría contable-, sino de verificar la
obtención de información, hasta los mecanismos correcta utilización de los recursos informáticos
de control, los cuales pueden ser directivos, disponibles en la entidad. Es decir, se evalúa el
preventivos, de detección, correctivos o de cumplimiento de las normas y procedimientos
recuperación ante una fijados por la organización para usar y
contingencia.(Ramirez,2009) administrar sus recursos IT y también
El concepto de Auditoría en Informática de José comprende el análisis de la marcha de los planes
de Jesús Aguirre Bautista es el siguiente: y proyectos informáticos.
La Auditoría en Informática se refiere Los trabajos de auditoría de esta naturaleza, en
a la revisión práctica que se realiza general, controlan el departamento de Sistemas
sobre los Recursos Informáticos con de la empresa e incluyen la evaluación del
que cuenta una entidad, con el fin de funcionamiento y utilización de las aplicaciones
emitir un informe y/o dictamen en producción, es decir, revisar los programas y
profesional sobre la situación en que procedimientos que automatizan el
se desarrollan y se utilizan, esos procesamiento de los datos pertenecientes a las
recursos. aplicaciones bajo análisis.
A veces, se confunde una Auditoría Informática
La revisión que se lleva acabo sirve para con control de gestión de la actividad de
comprobar el aprovechamiento de los Recursos sistemas. Recordemos que la función auditora -
Informáticos que abarcan los siguientes a diferencia de un control de gestión- no tiene
elementos: Información, Aplicaciones (software), carácter ejecutivo, ni son vinculantes sus
Infraestructura (hardware, telecomunicaciones, conclusiones. La auditoría contiene elementos
etc.) y Recursos Humanos. Dicha revisión sirve de análisis, de verificación y de exposición de

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 2

debilidades y disfunciones; subsidiariamente · Que la adecuada y eficaz operación de los
pueden aportar sugerencias y planes de acción sistemas y de las aplicaciones informáticas de la
(recomendaciones) para eliminarlas. entidad esté asegurada.

CONTROL DE Objetivo de la Auditoría Informática

AUDITORIA
GESTIÓN
Administración Evaluación del centro de
procesamiento de datos
Examina, Evalúa el
¿qué (evaluar la función Implica evaluar la calidad de
enjuicia y Coeficiente
hace?
recomienda objetivos/realización administrativa) los servicios informáticos de
una organización: los recursos
¿cuándo Haciendo un tecnológicos y humanos
se corte en el disponibles y el uso que se
hace? calendario Permanentemente hace de ellos.
Explotación Evaluación de los servicios y
aplicaciones en producción
Desmonta Analizamos la calidad de los
los Implementa (de los servicios del
¿cómo se servicios prestados por el área
mecanismos acciones área Sistemas)
hace? correctivas Sistemas y la productividad de
los sistemas de aplicación en
producción.
Paradójicamente, una actividad eminentemente Desarrollo Evaluación del área de
(de aplicaciones y desarrollo
técnica como la informática, ha sido una de las sistemas) Analizamos cómo trabaja el
últimas en ser sometida al control de gestión área de Desarrollo, es decir,
los sectores de análisis
general de la empresa.
programación

Objetivos de la Auditoría Informática Para cada uno de estos tipos de trabajos de

auditoría informática el autor analiza los
Los objetivos generales de una auditoría objetivos, propone la metodología para abordar
informática son comprobar: el trabajo y aporta cuestionarios (check list) para
facilitar la tarea del auditor.
· Que el procesamiento electrónico de datos
cumpla con las políticas normativas y los Importancia de la auditoría en informática
procedimientos institucionales y legales
vigentes. (Aguirre,2005); la preocupación por parte de las
· Que existan procedimientos adecuados para la organizaciones por optimizar todos los recursos
selección, uso y resguardo de los recursos con los que cuenta la entidad, sin embargo, por
informáticos de la entidad, tanto los aplicados a lo que respecta a la tecnología de informática, es
los activos físicos (hardware, redes de decir, software, hardware, sistemas de
comunicación de datos), como intangibles información, investigación tecnológica, redes
(licencias de software, programas de aplicación, locales, bases de datos, ingeniería de software,
datos). telecomunicaciones, etc., ésta representa una
· Que la consistencia y confiabilidad de los datos herramienta estratégica que significa
administrados por las aplicaciones en rentabilidad y ventaja competitiva frente a sus
producción son suficientes. similares en el mercado, en el ámbito de los

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 3

sistemas de información y tecnología un alto una opinión profesional respecto a si
porcentaje de las empresas tiene problemas en dichos estados presentan la situación
el manejo y control, tanto de los datos como de financiera, los resultados de las
los elementos que almacena, procesa y operaciones, las variaciones en el
distribuye. capital contable y los cambios en la
situación financiera de la empresa, de
El propósito de la revisión de la auditoría en acuerdo con los principios de
informática es el de verificar que los recursos, es contabilidad generalmente aceptados”
decir, información, aplicaciones, infraestructura, (Comisión de Normas y Procedimientos,
recursos humanos y presupuestos, sean en Téllez, 2004, p. 45)
adecuadamente coordinados y vigilados por la
gerencia o por quien ellos designen. La Auditoría Administrativa tiene como propósito
evaluar la administración en todas sus etapas
Durante años se ha detectado el despilfarro de del proceso administrativo: planeación,
los recursos o uso inadecuado de los mismos, organización, dirección, integración y control y la
especialmente en Informática, se ha mostrado auditoría contable evalúa la situación financiera
interés por llegar a la meta sin importar el costo de ambas áreas (administrativa e informática);se
y los problemas, de productividad. complementan con la auditoría en informática ya
que los recursos informáticos o las TI son el
Diferencias entre la auditoría administrativa, soporte a las funciones de la administración y la
auditoría contable y, auditoría en informática contaduría.

Las diferencias básicas de las auditorías es su DEMANDANTES DE UNA AUDITORIA

área de aplicación, revisemos los conceptos de NFORMATICA
Auditoría Administrativa y Contable.
Siguiendo a Derrien, los demandantes de una
Auditoría Administrativa auditoría de la actividad informática. En primer
lugar, la Dirección de la empresa. Esto ocurre
“Revisión sistemática y exhaustiva que cuando se cuestiona internamente la calidad de
se realiza a la actividad administrativa la producción del área de Sistemas, sector
de una empresa, en cuanto a su considerado como piedra angular en muchas
organización, las relaciones entre sus organizaciones. Esta inquietud es más frecuente
integrantes y el cumplimiento de las en aquellas empresas que disponen de
funciones y actividades que regulan sus mecanismos de control interno eficaces (por
operaciones” (Muñoz,2002, p. 16) ejemplo, departamento de auditoría interna) para
evaluar su actividad. El Director de la entidad
Auditoría Contable
está a menudo en inferioridad de condiciones
para evaluar una actividad técnica en la cual,
“Examen de los estados financieros de
generalmente, no ha sido formado. Por lo tanto,
una entidad, con objeto de que el
es del todo legítimo que haga uso de las
contador público independiente emita
competencias profesionales de un auditor

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 4

informático para evaluar y comprobar el Beneficios y limitaciones de la auditoría en
seguimiento de los mandatos oportunamente informática
definidos para el área de Sistemas.
El realizar auditorías en informática de una forma
periódica y programada nos puede beneficiar de
El responsable informático, igualmente, puede
la siguiente forma:
recurrir a la auditoría de su propio servicio. De
esta forma, podrá obtener la opinión  Evaluar el cumplimiento de planes,
independiente de un especialista en contacto programas, políticas, normas y
con varias instalaciones informáticas- sobre su lineamientos.
propio departamento. En un contexto de  Identificar problemas operacionales.
reorganización, la auditoría de su área será  Proveer oportunidad de mejoras.
también para él una forma de ratificar algunas de  Proveer realimentación para
sus decisiones y, por lo tanto, de justificar y de acciones preventivas y correctivas.
hacer aceptar a sus colaboradores la nueva  Dictaminar sobre los resultados
estructura y los procedimientos introducidos. obtenidos por una empresa, así
como sobre el desarrollo de sus
Por último, los organismos de control externo funciones y el cumplimiento de sus
(organismos fiscales, de regulación, Tribunales objetivos.
de Cuenta, etc.) tienen igualmente la necesidad  Generar confianza internamente a
de evaluar la calidad del entorno informático, nivel dirección y en los usuarios
fundamentalmente en lo que hace a la calidad de sobre la seguridad y control de los
los datos digitalizados que deben controlar para servicios de TI.
cumplir con su misión de fiscalización.  Generar confianza externamente
(clientes y opinión pública).
Existen situaciones en las que el auditor debe
estar alerta y aclarar las razones del pedido de Por otra parte existen limitaciones como:
una auditoría informática. Por ejemplo, cuando  Tiempo. No contar con el tiempo
es encargada por la Dirección, en un contexto de suficiente para ejecutar la auditoría.
relación tensa con la Gerencia de Sistemas, el  Presupuesto. Tener poco
auditor puede ser considerado (a veces con presupuesto asignado para este fin,
razón) como un “cortacabezas”; o cuando es por lo que se tendrá que recurrir a
encargada por una nueva Gerencia de Sistemas una auditoría interna.
en el momento de hacerse cargo de sus  Personal. No contar con el personal
funciones, en este caso la auditoría puede ser el adecuado y la disponibilidad del
pretexto para una crítica o para poner en tela de mismo es baja.
juicio la labor de quien lo precedió en dicho  Lugar. Dada las dimensiones de
cargo. En este último caso, siendo bien pensado, área puede sobrepasar en tamaño
puede servir para establecer el estado de nuestras capacidades y superar el
situación en la cual se asume la responsabilidad uso de recursos inicialmente
de conducir el área. asignados.

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 5

DIFICULTADES APORTADAS POR EL • En la elaboración de la información se realiza
AMBIENTE INFORMATICO todo tipo de operaciones intermedias sin dejar
rastros o constancias de las mismas. Así, esta
Características de un computador información resulta más vulnerable a su
modificación, en comparación con los sistemas
Nardelli, nos señala las características más manuales.
importantes de un computador en su relación • Gran parte de la tarea de procesamiento y
con la auditoría. Ellas son: control de la información que se realizaba en
• Automatismo del computador. El computador forma manual, es sustituida por el programa.
como un autómata nos libera del
comportamiento probabilístico de los seres En síntesis, podemos afirmar que los problemas
humanos. generados por la aplicación de tecnología
• Determinismo del algoritmo. El computador informática en el tratamiento de datos son:
trabaja mediante un proceso exactamente • La información ya no es accesible directamente
definido que fija la secuencia estricta en que ha al ojo humano.
de realizarse una serie de operaciones para • Se depende para el acceso a la información de
arribar a un resultado prefijado. Esto lo realiza un especialistas en informática, ajenos a la
programa que en realidad se trata de un modelo profesión del auditor.
determinístico. • Facilidad para modificar la información que
Se podría resumir en que un computador actúa reside en los medios de almacenamiento
siempre igual ante iguales situaciones; su magnéticos sin dejar rastros; esta característica
comportamiento no es autónomo, sino que debe es conocida como fenómeno de “volatilidad” de
ser previamente determinado por el hombre (a los datos y es un aspecto que afecta
través de un programa). Como corolario, el especialmente a las pistas de auditoría
riesgo no está en el instrumento en sí (el registradas por los sistemas. El próximo capítulo
computador), sino en quién lo maneja y controla se dedica en forma completa a tratar esta
(el programador u operador). problemática
• Gran parte de los controles se delegan al propio
Cuando se realizan trabajos de auditoría en un sistema informático, dando lugar a la
entorno computarizado el auditor se encuentra instrumentación de los llamados
con problemas propios del ambiente. A modo de “controles programados”.
ejemplo reproducimos a continuación opiniones
de autores especializados, quienes destacan en Para el examen de esta área se hace necesario
forma coincidente algunas de esas dificultades. un experto en cómputo, quien oriente su labor a
J.M. Pérez Gómez, destaca: efectuar una auditoría operativa, contemplando
• La información (los registros en general) no entre otros aspectos los siguientes:
está visible al ojo humano.
 Evaluación de la organización del
Los datos del sistema de información contable
centro de procesamiento de datos, en
residen en un medio no visible y sólo accesible
relación con las diferentes áreas
por el computador.
usuarias de la empresa, tratando de

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 6

 determinar si tiene la independencia Hospital son tan empresas como una
administrativa y funcional suficiente. Sociedad Anónima o una multinacional
 Revisión y evaluación de la solidez del privada. Todos utilizan la informática
control interno y riesgos, que permita para gestionar sus "negocios" de forma
asegurar la confiabilidad de las rápida y eficiente con el fin de obtener
operaciones registradas. Incluye la beneficios económicos y reducción de
evaluación de su seguridad física, costes, pero todo ello en base a una
mantenimiento del hardware y serie de objetivos que priorizarán más
software, funciones de desarrollo y unos aspectos frente a
mantenimiento de los sistemas, otros.(Ramirez,2009)
administración de la base de datos, etc.
PLAN DE SEGURIDAD INFORMATICA
 Revisión y evaluación de los controles
en las áreas que proporcionan los datos Tras hacer un análisis de los riesgos y considerar
el valor de los equipos, aplicaciones y datos a
de entrada (integridad y autenticidad),
proteger, se decide cuáles serán las medidas de
asegurándose su adecuada transacción
seguridad que se van a implantar en una
(intacta) a las unidades de proceso.
organización. Hacer que estas medidas de
 Revisión de los controles en el seguridad se conviertan en normas y asegurarse
desarrollo y uso de los programas. que sean implementadas y documentadas
 Revisión de los procedimientos de correctamente, es establecer un Plan de
control de datos recibidos, registro y Seguridad Informática.
corrección de errores durante el
Podemos definir, entonces, al Plan de Seguridad
procesamiento de información.
Informática como el documento que formaliza las
 Revisión de los procedimientos de
políticas y acciones de la organización para
protección a los métodos utilizados por
enfrentar las contingencias y vulnerabilidades
el encargado de cómputo, no
derivadas del entorno computarizado. El objetivo
permitiendo el acceso a sus registros,
final es proteger los recursos informáticos de la
archivos y programas a personal ajeno
entidad.
al centro.
Un plan de seguridad informática se desarrolla
Auditor Informático
considerando los siguientes aspectos:
 El auditor informático ha de velar por la
• Objetivos de seguridad informática: en función
correcta utilización de los amplios
del Plan Estratégico de la empresa, el Plan de
recursos que la empresa pone en juego
Sistemas y Presupuesto del área, se fijan y
para disponer de un eficiente y eficaz
priorizan los componentes a proteger.
Sistema de Información. Claro está, que
para la realización de una auditoría • Análisis de riesgos: en función de los
informática eficaz, se debe entender a la componentes seleccionados para ser
empresa en su más amplio sentido, ya protegidos, se realiza un análisis de las
que una Universidad, un Ministerio o un

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 7

amenazas y se categorizan en función de Sin embargo, cabe señalar que si bien es cierto
probabilidad de ocurrencia e impacto. el desarrollo vertiginoso de la informática ha
originado cambios sustanciales en los controles
• Identificación de medidas de seguridad: se
y procedimientos de revisión, para un auditor
determinan las medidas de seguridad más
financiero se mantiene invariable el propósito de
adecuadas en función del análisis de riesgo.
la auditoría financiera y, por consiguiente, los
• Elaboración de proyectos para implementar las objetivos específicos en la revisión de cada
medidas elegidas de seguridad: se asignan cuenta o rubro de los estados financieros. En
responsabilidades, se adquieren e instalan todo caso, lo que cambia es la metodología de
productos de seguridad, se desarrollan revisión.
procedimientos y políticas para mantenerlas en
Este tipo de auditoría tiene como propósito
operación, etc..
principal evaluar la funcionabilidad del sistema
• Difusión de las políticas de seguridad computarizado, en cuanto si opera con
informática entre el personal para concientizar y eficiencia, eficacia y economicidad,
capacitar a especialistas y usuarios finales. proporcionando información confiable, oportuna
y útil para la toma de decisiones. Es oportuno y
• Desarrollo de Planes de Contingencia
pertinente reconocer que el Contador Público de
• Asignación de presupuesto adecuado y apoyo hoy, y del mañana, tiene un gran reto, de
de la Dirección. capacitarse y mantenerse actualizado en los
avances tecnológicos de la informática, lo
Conclusión
contrario significaría encaminarse hacia la
Una auditoría nos proporciona una información obsolescencia.
que debemos poner en manos de las personas
Bibliografía
adecuadas, es decir, al igual que la auditoría nos
informa de las cosas que se están realizando de Aguirre,José(2005),Auditoría
forma correcto en una empresa, también nos Informatica,Universidad Nacional
informa de las que se están haciendo mal, para Autónoma De México
esto debemos utilizar la información de una ACHA ITURMENDI, JUAN JOSE, Auditoría informática en
manera adecuada para una buena toma de la empresa, Madrid,Editorial Paraninfo, 1994.
decisiones.
CASTELLO,RICARDO(2005) Auditoria En Entornos
Lejos de considerarse una moda entre las Informáticos,Argentina
entidades, empresas u organizaciones la DERRIEN, YANN, Técnicas de la auditoría informática,
Auditoría en Informática está justificada por la Marcondo, España, 1994. pág. 15.
misma importancia que tiene la información
PAREDES,JOSÉ, Auditoría I,Lima,Perú 2015, pág. 22
como un factor de ventaja competitiva, el tener
el control adecuado sobre los recursos RAMIREZ. 2009,Sobre la Auditoría Informática y
informáticos nos proporciona certeza en la toma LOPD desde la experiencia personal y
profesional.
de decisiones, nos proporciona confianza y nos
asegura el cumplimiento de nuestros objetivos. RIVAS, GONZALO ALONSO, Auditoría Informática,
Madrid, Ediciones Díaz de Santos, 1989.

AUDITORÍA INFORMÁTICA - ROMERO CURI, TANIA 8