Transcripción de auditoria y las tic

Auditoria y las Tecnologías de Información y Comunicación (TIC)

¿Que son las Tic? Cuando unimos estas tres palabras hacemos referencia al conjunto de
avances tecnológicos que nos proporcionan la informática, las telecomunicaciones y las
tecnologías audiovisuales, que comprenden los desarrollos relacionados con los
ordenadores, Internet, la telefonía, los "mas media", las aplicaciones multimedia y la
realidad virtual. Estas tecnologías básicamente nos proporcionan información, herramientas
para su proceso y canales de comunicación. Tecnologías de la Información y la
comunicación (TIC) : Aplicación de los conocimientos científicos para facilitar la
realización de las actividades humanas. Supone la creación de productos, instrumentos,
lenguajes y métodos al servicio de las personas. Tecnología Transmisión de mensajes entre
personas. Como seres sociales las personas, además de recibir información de los demás,
necesitamos comunicarnos para saber más de ellos, expresar nuestros pensamientos,
sentimientos y deseos, coordinar los comportamientos de los grupos en convivencia, etc.
Comunicación Datos que tienen significado para determinados colectivos. La información
resulta fundamental para las personas, ya que a partir del proceso cognitivo de la
información que obtenemos continuamente con nuestros sentidos vamos tomando las
decisiones que dan lugar a todas nuestras acciones. Información Son tecnologías de la
información y de comunicaciones, constan de equipos de programas informáticos y medios
de comunicación para reunir, almacenar, procesar, transmitir y presentar información en
cualquier formato es decir voz, datos, textos e imágenes Auditoria y las TICs.

La Auditoria de las Tecnologías de la Información y las Comunicaciones está adquiriendo

cada vez una mayor importancia debido a la necesidad de garantizar la seguridad,
continuidad y disponibilidad de las infraestructuras informáticas sobre las que se sustentan
los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que
todos estos procesos se realicen de forma eficiente. La Auditoría de Gestión a las
Tecnologías de Información y Comunicaciones consiste en el examen de carácter objetivo
(independiente), crítico (evidencia), sistemático (normas) y selectivo (muestral) de las
políticas, normas, funciones, actividades, procesos e informes de una entidad, con el fin de
emitir una opinión profesional (imparcial) con respecto a:

eficiencia en el uso de los recursos informáticos, validez y oportunidad de la información,

efectividad de los controles establecidos y la optimización de los recursos tecnológicos.
Este enfoque es totalmente compatible con las prácticas y controles contenidos en COBIT,
ITIL, estándares o normativa que relaciona el enfoque COSO, SAC, NIAS, Estándares de
Seguridad de la Información (ISO 27000) entre otros, que hacen referencia a las pistas de
auditoría en los sistemas informáticos, controles de acceso a los sistemas, bases de datos,
Áreas de Tecnología de la Información y Comunicaciones (TIC´s) área de servidores,
codificación de la información, prevención de virus y fraudes. Camila Gomez Muñoz
 ¿Por qué es Importante la TI?

• Por ser un elemento crítico para el éxito y la supervivencia de las organizaciones.

• Por la creciente dependencia en información y en los sistemas que proporcionan dicha

información.

• Por la escala, el costo de las inversiones actuales y futuras en información así como en
tecnología de información.

Efectos de la TI en el examen del control interno

Otras consideraciones:

¿Por qué reviste importancia hoy en día la TI?

 Fraudes.
 e-comerce.
 Seguridad en la información (accesos no deseados).
 Fuga de información.
 Pérdidas monetarias.

¿Por qué la importancia de dichos efectos?

Por la importancia que han adquirido los sistemas de TI en la información contable,

por el volumen de operaciones procesadas en ellos,
así como por la pérdida de huellas visibles y concentración de funciones contables
que frecuentemente se dan en un ambiente de este tipo, el auditor debe conocer,
evaluar y, en su caso, probar el sistema de
TI como parte fundamental del estudio y evaluación del control interno.

Así como documentar adecuadamente sus conclusiones sobre su efecto en la inform

ación financiera y el grado de confianza que depositará en los controles.

El alcance al efectuar el examen del control interno establecido en la TI,

dependerá de la importancia que las aplicaciones en el proceso de la información fi
nanciera.

La TI, por su complejidad y su constante evolución,

requiere para el estudio y evaluación de su control interno de personal con entrena
miento técnico y capacidad profesional adecuados,
que muchas de las veces se transforman en uso de especialistas.
 El impacto que eventualmente pueda tener una deficiencia o desviación de control i
nterno en el área de TI puede ser menos evidente y, sin embargo,
tener mayor repercusión en errores en los estados financieros que pasen inadvertidas.

Lo anterior significa que el auditor está obligado a efectuar su revisión utilizando to

dos los elementos que le permitan asegurarse de que la información financiera a dic
taminar se procesa adecuadamente, ya sea de forma interna o externa.

En primer lugar, debe mencionarse que,

para que el control interno funcione en una empresa determinada,
es necesario que su estructura organizacional esté diseñada para que quienes son res
ponsables del establecimiento de los procedimientos de control y de su supervisión,
tengan la autoridad necesaria para hacer cumplir sus objetivos.
Esto es particularmente importante en el área de la TI,
ya que ocasionalmente estas funciones en las empresas serán nuevas o recientes y
quizá no se les haya asignado un nivel adecuado en la estructura de organización.

Los controles generales se enfocan a la organización general del departamento y a l

as funciones de quienes intervienen en el desarrollo de sistemas; esto es,
el medio ambiente en que se desarrollan los sistemas. Los controles de aplicación o

específicos se refieren a los establecidos en la operación del computador que incluy

e la entrada, el proceso y la salida de datos, o sea,
que todos los datos se procesen una sola vez oportunamente (entrada),
sujetos a un proceso de validación (proceso) y que sean la
base para producir información confiable y completa (salida).

Todo lo anterior se traduce en vigilar, entre otros aspectos, los siguientes:

 Administración de la tecnología de información.

 Seguridad física y lógica.
 Continuidad del negocio.
 Administración de cambios.
 Desarrollo de sistemas.
 Pruebas especificas de control interno.

Cuando se tiene TI en la propia empresa,

la revisión del estudio y evaluación de control interno, deberá dirigirse principalment
e a los siguientes aspectos:

Controles generales

Pre-instalación

Se refiere al estudio de viabilidad y selección de equipo que debe (o que debió)

efectuarse previo a la adquisición de un equipo de cómputo,
así como el acondicionamiento físico y medidas de seguridad en
el área donde se localiza el equipo y a la capacitación de personal y
adquisición o desarrollo de sistemas.

Organización del departamento de TI

Comprende la correcta estructura organizacional del departamento,

principalmente la adecuada segregación de labores, la definición de políticas,
funciones y responsabilidades, así como la asignación de personal competente.

Control del desarrollo de sistemas

Se debe contar con estudios preliminares que justifiquen las aplicaciones,

así como con definición de los estándares para el diseño, programación,
prueba y mantenimiento de los sistemas.
Estos estudios y los estándares definidos por la empresa deben quedar documentados
adecuadamente.

Al desarrollar nuevos sistemas, puede ser necesario llevar un paralelo,

por el tiempo necesario, el sistema anterior y el nuevo.

Es necesario que, en la definición de los estándares para el desarrollo de sistemas,

se incluyan los procedimientos que aseguren que el sistema a desarrollar ha sido aut
orizado por un funcionario responsable; además,
que en el propio desarrollo exista una intervención activa del que va a ser usuario
del sistema y de quien lo va a auditar,
esto último con el objeto de establecer desde esta etapa,
los controles necesarios y las pistas de auditoría.

En la definición de estándares,
también deben incluirse los procedimientos de autorización de cambios.

Control de la documentación

Necesidad de que todos los programas,

la operación y los procedimientos relativos estén adecuadamente documentados y ac
tualizados.
Es conveniente que se tenga un respaldo actualizado de esta documentación fuera de
las instalaciones del centro de cómputo,
así como la historia de los cambios efectuados.

Control de la operación

Comprende la creación de
un medio ambiente que garantice efectividad en la producción de la sección de oper
aciones y proporcione la seguridad física suficiente sobre los registros que se mantie
nen en el centro de cómputo,
así como el establecimiento de controles adecuados que eviten el acceso de personal
no autorizado.
Esto es especialmente critico cuando existe teleproceso distribuido
(terminales remotas).

Es muy importante también contar con una razonable seguridad contra la destrucción
accidental de los registros durante el proceso y asegurar la continuidad de la opera
ción y, en su caso, la recaptura de datos; asimismo,
prevenir y detectar la manipulación fraudulenta de datos durante los procesos por el
personal del departamento de TI y prevenir el mal uso de la información.

Con el fin de no entorpecer los procesos cuando ocurran rupturas importantes en el

computador,
se deberá contar con equipos de respaldo para ser utilizados en esos casos.

Asimismo, se deben llevar a cabo

los simulacros con dichos equipos para asegurar que no haya cambios que imposibi
liten la utilización oportuna de dichos equipos de respaldo.
Incluye también controles ambientales contra exceso de humedad y temperatura;
además, el lugar de la instalación de
l computador debe estar debidamente protegido contra siniestros (fuego, inundación,
alborotos populares, etc.),
y no deberá estar expuesto o exhibido a la vista del público.

Controles de aplicación o específicos

Controles de entrada

Asegurar que toda la información que vaya a ser procesada por el computador esté
completa y correcta y que existan controles adecuados para el manejo de informació
n rechazada (revisión, corrección, previsión y oportuna reentrada en TI).

Controles de proceso

Asegurar la exactitud del proceso de la información por el computador.

Autorización y controles de salida

Asegurar que toda la información que se procesa está debidamente autorizada y que
existen controles sobre el acceso al computador,
ya sea para obtener información o para modificarla por alguna transacción, sobre to
do cuando es a través de sistemas en línea o de teleproceso distribuido
(terminales remotas),
puesto que únicamente personal autorizado debe tener acceso a los datos e informes
de TI y que los cambios a los archivos sean autorizados únicamente por el person
al designado.

Establecimiento de huellas o pistas

Asegurar lo adecuado de las huellas o pistas en la transformación de la información

. Cuando la TI se realice en un centro de cómputo externo, la revisión,
 estudio y evaluación del control interno deberá dirigirse principalmente a los siguie
ntes aspectos:

• Selección del centro de cómputo

Debe seleccionase un centro de cómputo que asegure la obtención de información c

onfiable y oportuna, vigilándose aspectos como: su localización,
seguridad en el manejo de datos y archivos, organización,
capacidad instalada y soporte técnico.

• Contrato de servicio

El contrato con el centro de cómputo debe contener los términos en que el servicio
será prestado.

• Control de los datos

Es necesario que toda la información enviada, ya sea a

través de unidades de proceso directo (terminales) o bien, físicamente,
se someta a un control que asegure que se incluyen todos los datos,
que la información transmitida sea correcta,
que existan archivos de soporte en caso de pérdida accidental de información y que

la información se devuelva completa y oportunamente a la empresa una vez procesa

da.

• Personal

La relación con el centro de cómputo, así como el envió de la documentación,

recepción y revisión de la información debe estar asignada a personal competente.

• Otros controles

En general, la empresa que contrate servicios de TI

a través de un centro de cómputo externo,
debe asegurarse de que dicho centro reúna los controles comentados en la sección d
e controles generales y de aplicación o específicos

En términos generales, debemos evaluar:

 Características de la TI.
 La importancia de las aplicaciones.

El grado de transformación de la información

(desde compilaciones sencillas de datos hasta transformaciones sofisticadas de las hu
ellas o pistas dejadas en
estos procesos, ya sean estás visibles o incorporadas en los mismos sistemas;
estas últimas solamente pueden ser localizadas y verificadas a través de pruebas usa
ndo el mismo computador).
El grado de confianza que el auditor deba depositar en los sistemas de control
interno integrado a la TI

Lo anterior a través de tres fases:

Primera fase. Estudio preliminar,

obligatorio y necesario efectuar en todas las empresas que usen en alguna forma la
TI para la obtención de su información financiera.

Segunda fase. Ampliación del estudio de control interno.

De aplicación obligatoria cuando en el estudio preliminar se ha determinado que se
tienen aplicaciones de importancia para la obtención de la información financiera, qu
e existen transformaciones importantes en la información y de que el auditor tiene q
ue confiar en una medida importante en el control interno existente sobre dichas apl
icaciones.

Tercera fase. Pruebas a los controles de TI.

De aplicación obligatoria cuando la importancia de los sistemas sujetos a procesos s
ea tal en cuanto a las transformaciones de información y al grado de confianza que
el auditor depositará en el control interno,
que él no efectuar pruebas de cumplimiento a los controles de TI,
limita el alcance de trabajo del auditor al no obtener la necesaria evidencia suficient
e y competente.

Habrá casos en que el auditor deba, necesariamente,

confiar en el control interno de TI y,
por lo tanto, tenga que evaluarlo y después probarlo en forma completa e integral a
través de pruebas de cumplimiento.

Sin embargo,
también habrá casos que por el resultado esperado de sus pruebas sustantivas, de im
portancia relativa y de riesgo probable,
el auditor obtendrá la necesaria evidencia suficiente y competente que le permita
solamente evaluar ciertos controles internos importantes y reducir sustancialmente sus
pruebas de cumplimiento, limitándolas
estas aprobar controles internos importantes de entrada, proceso y salida y,
por lo tanto, solamente cumplir con la primera fase y,
según las circunstancias, cubrir parcialmente la segunda y omitir la tercera.

Es importante señalar que desde la primera fase,

se requiere de experiencia en auditoría de TI por parte del auditor y conforme se
vaya pasando a las siguientes fases, se requerirá de mayor capacitación.

Evaluación de riesgos

Una vez documentado y probado el control interno de TI,

debemos evaluar los resultados de dicho proceso para determinar el alcance y oport
unidad de nuestros procedimientos de auditoría.
 Los riesgos identificados son evaluados en
relación con el impacto que podrían tener en los estados financieros,
durante las etapas de planeación, estrategia y ejecución del trabajo,
ya que cualquier riesgo de la compañía se transforma en un riesgo de auditoría.

Asimismo,
se debe identificar como la gerencia mitiga dichos riesgos y qué riesgo remanente d
ebemos evaluar.

Dependiendo de la evidencia que encontremos en el área de sistemas,

concluiremos si los controles del área de TI son efectivos o no.

Conclusión

Con base en los resultados obtenidos en la aplicación de nuestros procedimientos de

auditoría, se determinará que existen, suficientes controles en el área de
TI que aseguran que:

 Los desarrollos y mantenimientos de programas no autorizados,

probados y aprobados antes de ser traspasados a producción.
 Los accesos a programas y archivos de datos de producción son adecuadamente aut
orizados con base en las necesidades.

Por lo tanto, la evaluación de los controles de

TI identificados en las aplicaciones podrán ser evaluados como efectivos,
ya que se puede confiar en que estos funcionaron como fueron diseñados durante to
do el periodo auditado.

Cuando se lleva a cabo la evaluación de los controles generales del área de TI nun
ca se califica la información contenida en los sistemas,
sólo se determina el nivel de confianza que se puede depositar en éstos y,
por lo tanto, en los controles programados detectados en las aplicaciones.

Asimismo,
la tecnología nos permite llevar a cabo pruebas sustantivas por medios electrónicos,
los cuales nos permiten un grado alto de eficiencia,
y no es necesariamente sobre muestras, sino sobre universos completos y complejos.
Estas pruebas son las denominadas TAC (Técnicas de Auditoría a Través de la
Computadora).