Académique Documents
Professionnel Documents
Culture Documents
Página 1 de 7
frente a estructuras más pequeñas que impiden cumplir con este requisito, debe evaluar métodos alternativos de control
que disminuyan los riesgos inherentes a las incompatibilidades identificadas.
Esta tarea requiere de un estudio detallado sobre la práctica de trabajo del departamento de sistemas y sus diferentes
secciones. Con énfasis en los procedimientos utilizados y la supervisión de niveles de autorización incorporados a ellos
3 El auditor debe evaluar los métodos de trabajo y documentación utilizados por el grupo de desarrollo de sistemas y los
controles implantados para supervisar sus labores.
Naturalmente no existe una formula acerca de cómo se debe desarrollar e implantar una aplicación. En la práctica cada
centro de procesamiento tiene su propio estilo, y en su mayoría, aplican dosis excesivas de confianza en los grupos de
desarrollo. No le corresponde al auditor dar la formula- que no existe- ni sentar cátedra sobre los procedimientos de control.
Su papel con relación a este punto consiste en analizar los métodos y procedimientos utilizados junto con la distribución de
funciones establecidas y con los recursos computacionales utilizados. Ello cubre por supuesto un estudio cuidadoso de las
costumbres aceptadas y de las facilidades suministradas por el sistema operativo. Es muy común la informalidad que existe
en el desarrollo e implantación de aplicaciones por lo que también es común el desconocimiento o falta d métodos de
control apropiados. Por consiguiente, la labor del auditor en estos aspectos debe ser más cuidadosa y detallada; debe buscar
caminos proactivos y razonables tanto para formular sus recomendaciones como para lograr su aceptación por parte de la
alta gerencia.
Su función, en este caso, requiere del dominio claro sobre los temas de diseño y desarrollo y grandes dosis de persuasión y
comunicación, que le faciliten orientar sus recomendaciones sobre bases objetivas y prácticas. Su conocimiento obviamente
supone las características y facilidades que el sistema operacional ofrece en técnicas para ensamblar, pruebas, detección de
errores y compilación de programas y una identificación clara los riesgos que tales facilidades incorpora.
4 El auditor debe tener capacidad para evaluar las aplicaciones desde su utilización practica y objetiva por parte de los usuarios
hasta los detalles relativos a la composición de los programas y los procedimientos utilizados.
El buen funcionamiento de cualquier aplicación depende tanto de sus componentes técnicos (equipos y programas) como de
la participación de los funcionarios que intervienen desde el origen de la información hasta la utilización de sus resultados.
Una buena evaluación debe considerar su funcionamiento integral; la respuesta objetiva que dan los programas y equipos
disponibles y la utilización practica de estos resultados. Además, deben utilizar un enfoque objetivo hacia la organización; es
decir, tener en cuenta que cada aplicación es un componente que puede tener incidencia en sectores que no son sus
usuarios directos o que podría estar afectada por ellos.
5 El auditor debe evaluar la seguridad lógica prevista para la operación de las diferente aplicaciones y sistemas.
Las empresas que no utilizan recursos computarizados o los usan en baja escala, apoyan el control de sus operaciones en los
niveles de autoridad delegados a sus funcionarios. Por contraposición, el mayor avance en la sistematización desplaza esos
niveles de autoridad a los empleados de sistemas y a los usuarios directos de las aplicaciones, mediante la asignación de
claves de acceso. También el auditor informático es responsable de establecer los objetivos de control que reduzcan o
eliminen la exposición al riesgo de control interno.
Dado que la mayor cobertura de sistematización implica un aumento directo en la concentración de información de la
compañía, genera un aumento en los riesgos inherentes al uso de la información, que se facilita o impide con el uso de
claves.
6 El auditor debe estudiar el sistema de seguridad y evaluar los métodos de acceso permitidos para:
• Manejo del sistema de seguridad
• Utilización de programas que permiten modificaciones a archivos o facilitan su duplicación.
• Uso de compiladores
• Acceso a la utilización de programas e informaciones, incluidas aquellas organizadas en bases de datos
Su propósito especifico es el de determinar si todo tipo de acceso está debidamente controlado y deja registros que puedan
consultarse con posterioridad para efectos de seguimiento.
Por otra parte, es también de principal importancia el análisis de duplicaciones de informaciones, programas y sistema
operacional, en conjunto con los procedimientos establecidos para su custodia y planes de emergencia previstos para
atender fallas de equipo o pérdidas de información.
7 El auditor debe evaluar los sistemas de seguridad física del centro de procesamiento.
Aun cuando la seguridad física debe favorecer y ayudar a todos y cada uno de los sectores. Es el área de procesamiento de
datos la que por su naturaleza y su riesgo exige un mayor cuidado sobre este aspecto. Este incluye el medio ambiente de la
Página 2 de 7
construcción; la ubicación con relación a la edificación y otras áreas los mecanismos o ayudas con que se cuenta para
controlar la ocurrencia de riesgos, y la preparación de los empleados para utilizarlos adecuadamente.
Para el auditor una evaluación sobre la seguridad física incluye un estudio de ubicación, recursos y preparación del personal
junto con el análisis de riesgos probables y recursos del mercado, con el fin de que sus recomendaciones se ajusten a
alternativas satisfactorias y razonables con relación a la cuantificación de los riesgos.
8 El auditor de sistemas debe hacer usos adecuados de la información sistematizada, y otros archivos para satisfacer varios
propósitos:
• Verificar el cumplimiento de normas y procedimientos y evaluar las desviaciones encontradas.
• Proporcionar informaciones útiles a otros sectores de la auditoria (financiera)
• Verificar la exactitud de la información cuando los programas de trabajo así se lo exijan.
• Efectuar comprobaciones sobre los archivos de programas o de información con el fin de satisfacerse acerca de cambios
realizados.
• En general surgen múltiples probabilidades de utilización que en algunas oportunidades corresponden a pruebas de
comprobación del auditor de sistemas y, en otros casos - la mayoría- a trabajo de apoyo hacia otras áreas.
9 Corresponde entonces al auditor el desarrollo o adquisición y uso de paquetes específicos que están orientados al
cumplimiento de tales funciones.
Limitaciones
Es importante recalcar que independientemente de lo bien concebido que esté y lo bien que funcione, una auditoria informática
únicamente puede dar un grado de seguridad razonable, no absoluta, a la Dirección y/o al Consejo de Administración en cuanto a la
consecución de los objetivos de la empresa. Las posibilidades de éxito se ven afectadas por las limitaciones que son inherentes a todos
los controles, entre las que podemos destacar:
▪ El requisito de que un control establecido sea costo - beneficioso, atento a que el costo del control no puede ser superior al
valor de aquello que está siendo controlado, en este caso la salvaguarda de los activos.
▪ La dirección de la mayoría de los controles hacia el tipo de transacciones repetitivas en lugar de excepcionales.
▪ El error humano, el cual puede no ser advertido.
▪ La posibilidad de una colusión, es decir un acuerdo entre distintas personas involucradas en el mecanismo de control de
manera de evadir los controles que dependen de la segregación de funciones.
Página 3 de 7
• El auditor informático debe tener siempre el concepto de Calidad Total. Como parte de un colectivo empresarial, bien sea
permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus
conclusiones y trabajo sea reconocido como un elemento valioso dentro de la organización y que los resultados sean
aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más
reconocida de forma positiva por la organización
• Debe caracterizarlo su independencia mental y organizacional de modo que su trabajo no esté influenciado por
características de respetabilidad o intereses particulares provocados por su nivel de educación y de experiencia o por un
esquema organizativo defectuoso.
• Debe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabajo no se vea ilimitado por la carencia
de recursos suficientes.
Cualidades personales y principios de un Auditor en Informática
El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada, para ello se basará
en los siguientes principios:
1. Principio de calidad: El auditor deberá prestar servicios con los medios a su alcance.
2. Principio de cautela: El auditor debe evitar que el auditado se embarque en proyectos a futuro fundamentados en intuiciones
sobre la evolución de las nuevas tecnologías de la información
3. Principio de comportamiento profesional: Exige al auditor una seguridad en sus conocimientos técnicos y una clara percepción de
sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en
sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los misma. Debe guardar un escrupuloso
respeto por la política de la empresa qua audita.
4. Principio de concentración en el trabajo: El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de
concentración y precisión en cada una de las tareas. Nunca copiar conclusiones de otros informes de auditorías pasadas por la
acumulación de trabajo.
5. Principio de confianza: El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de
transparencia en su actividad profesional.
6. Principio de criterio propio: El auditor deberá actuar con criterio propio y no permitir que este subordinado al de otros
profesionales.
7. Principio de discreción: El auditor deberá mantener una cierta discreción en la divulgación de datos.
8. Principio de economía: El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios.
9. Principio de formación continuada: Impone al auditor la obligación de estar en continua formación.
10. Principio de fortalecimiento y respeto a la profesión: Los auditores han de cuidar del valor de trabajo realizado y de las
conclusiones obtenidas.
11. Principio de independencia: El auditor debe exigir una total autónoma e independencia en su trabajo.
12. Principio de información suficiente: Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la información.
13. Principio de integridad moral: Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las
normas morales, de justicia y probidad, y a evitar participar en actos de corrupción personal o a terceras personas.
14. Principio de legalidad: El auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la
contravención de la legalidad vigente.
15. Principio de libre competencia: Exige que el ejercicio de la profesión se realice en el marco de la libre competencia. El auditor
deberá evitar estar ligado a determinados intereses
16. Principio de no discriminación: El auditor en su actuación antes, durante y después de la auditoría, deberá evitar inducir,
participar o aceptar situaciones discriminatorias de ningún tipo.
17. Principio de no injerencia: El auditor deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir
hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar cierto desprestigio de su calificación
profesional.
18. Principio de precisión: Exige del auditor la no conclusión de su trabajo hasta estar convencido de la viabilidad de sus propuestas.
19. Principio de secreto profesional: La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el
auditado, e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su
actividad profesional.
20. Principio de veracidad: El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar
la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto.
21. Principio de servicio público: Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para
evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra
elementos de software dañinos (virus) que puedan propagarse a otros sistemas informáticos diferentes al auditado.
Página 4 de 7
Comportamiento del Auditor
En el desarrollo de la auditoría es necesario que tanto el líder como su equipo auditor adopten comportamientos para planear y
ejecutar actividades que hagan exitoso el proceso. Con tal objetivo se recomienda tener en cuenta lo siguiente:
• Evitar llegar sin previo aviso a realizar la auditoría.
• No emitir opiniones, basar sus apreciaciones solo los hechos y datos soportados, no tener en cuenta rumores, suposiciones o
situaciones que no se encuentren debidamente registradas.
• Ser claros en las explicaciones, el lenguaje debe ser simple, preciso y adaptado al interlocutor.
• Motivar a la mejora de las No Conformidades.
• Hacer preguntas consistentes con el alcance y que permitan analizar la situación.
• Permitir al entrevistado responder y demostrar cómo son manejados los asuntos.
• Dar tiempo al entrevistado para que revise los hallazgos y para identificar los elementos del sistema en los que se encuentran
deficiencias.
• Cumplir con el alcance de la auditoría y examinar en detalle la documentación soporte
• Demostrar paciencia y nunca calificar ni descalificar y adaptarse a la situación y al auditado.
• Tener en todo momento el control de la auditoría. Preguntar y escuchar, no prestarse para discusiones con el auditado.
• Finalmente, SIEMPRE escuchar activamente y mantener un tono de cooperación.
Página 5 de 7
interna, que debería ser el director general o consejero delegado o Controller. Cualquier otra dependencia puede afectar la
imagen del auditor informático y consecuentemente con la aceptación de su trabajo y de sus conclusiones.
La dependencia, en todo caso. debe ser del máximo responsable operativo de la organización, nunca del departamento de
organización o del de sistemas (abundan los casos en que esta dependencia existe), ni del departamento financiero y/o
administrativo.
La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o esté trabajando
en auditoria informática.
Los recursos humanos con los que debe contar el departamento deben contemplar una mezcla equilibrada entre personas con
formación en auditoría y organización y personas con perfil informático. No obstante, este perfil genérico debe ser tratado con un
amplio programa de formación en donde se especifiquen no sólo los objetivos de la función, sino también de la persona.
Auditoria externa
El objetivo fundamental es el de examinar y evaluar una determinada realidad por personal externo al ente auditado, para emitir una
opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que está operando en el área
Página 6 de 7
auditada, las empresas generalmente requieren de la evaluación de su sistema de información en forma independiente para otorgarle
validez ante los usuarios del producto.
La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados,
expedientes y documentos y toda aquella información producida por los sistemas de la organización.
Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del sistema de información examinado con
el fin de acompañar al mismo una opinión independiente que le dé autenticidad y permita a los usuarios de dicha información tomar
decisiones confiando en las declaraciones del Auditor.
Ventajas:
• Al no tener ninguna dependencia de la empresa el trabajo del auditor es totalmente independiente y libre de cualquier
injerencia por parte de las autoridades de la empresa auditada.
• En su realización estas auditorías pueden estar apoyadas por una mayor experiencia por parte de los auditores externos,
debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con características similares.
Desventajas:
• La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.
• Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados.
• Su evaluación, alcances y resultados pueden ser muy limitados.
• Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes
hostiles para los auditores que las realizan.
Diferencias entre auditoria interna y externa:
Existen diferencias substanciales entre la Auditoría Interna y la Auditoría Externa, algunas de las cuales se pueden detallar así:
● En la Auditoría Interna existe un vínculo laboral entre el auditor y la empresa, mientras que en la Auditoría Externa la relación
es de tipo civil.
● En la Auditoría Interna el diagnóstico del auditor está destinado para la empresa; en el caso de la Auditoría Externa este
dictamen se destina generalmente para terceras personas o sea ajena a la empresa.
● La Auditoría Interna está inhabilitada para dar Fe Pública, debido a su vinculación contractual laboral, mientras la Auditoría
Externa tiene la facultad legal de dar Fe Pública.
Página 7 de 7