 Auditoria informática

En el momento en el que las organizaciones adquieren conciencia sobre la

necesidad de aumentar el nivel de control sobre la gestión de sus sistemas de
información, surge la siguiente pregunta natural: ¿pero ¿qué es realmente la
auditoría informática y cómo puede ayudarme? Es natural esta duda desde la
perspectiva de que, tradicionalmente, los departamentos de control interno o
auditoría interna, están compuestos por perfiles muy cercanos al negocio,
principalmente financiero y, en algunos casos, operativo.

A continuación, intentaremos desgranar algunos de los ámbitos en los que la

función de la auditoría informática puede ayudar a la mejora de los sistemas de
control interno de las organizaciones, a través de la propia evolución que la labor
del auditor informático ha ido experimentando desde sus inicios. En sus inicios,
el auditor informático surge como un apoyo a los tradicionales equipos de
auditoría. Su labor de apoyo consistía básicamente en la obtención de
información financiera de los sistemas de información en los que residía y
tratarla, con herramientas específicas de tratamiento masivo de datos, para
facilitar la labor de los equipos de auditoría financiera.

Entre las grandes ventajas que el apoyo del auditor informático ofrecía era el da
la validación del total de la información disponible, en lugar de los habituales
procedimientos de muestreo. Dicha labor continúa siendo hoy día una de las
principales tareas del auditor informático. Así, es fácil encontrar auditores
informáticos tratando información para validar información contable compleja de
obtener como pueden ser, por ejemplo, en el ámbito financiero, la validación del
cálculo de la periodificación de intereses, o en ámbitos productivos el de la
amortización de inmovilizados o la valoración de existencias.

En paralelo, el hecho de que, cada vez más, la información contable de las

organizaciones fuese tratada automáticamente y casi por completo en sistemas
informáticos, condujo a una nueva preocupación. ¿Son íntegros los datos de que
dispone el equipo de auditoría? Con esa preocupación, poco a poco, en esa labor
de apoyo al auditor financiero, el auditor informático pasa, de meramente tratar
los datos contables, a cuestionarse la fiabilidad de los mismos. Comienza
entonces a plantearse nuevos objetivos de control, como son el control de
acceso sobre la información, la gestión de autorizaciones, y los mecanismos de
registro de actividad sobre dicha información.

En el momento en el que el auditor informático comienza a plantearse objetivos

de control sobre quién debe acceder a qué información, qué puede hacer con
ella, o a cuestionarse la integridad de la misma, comienza a necesitar y a obtener
un conocimiento profundo sobre los procesos de negocio de la compañía. Por
otra parte, la integración de dichos procesos en aplicaciones informáticas,
provoca que gran parte de los controles que se aplican sobre los mismos se
definan en dichas aplicaciones. A partir de este instante, la labor del auditor
informático comienza a confluir con la del auditor financiero, adquiriendo una
doble versión de especialista en la

 Auditoria interna

La auditoría es un sistema de control e inspección que se da dentro de una

empresa de cualquier sector de actividad, con el fin de mejorar los procesos, por
ejemplo, o con el fin de comprobar que realmente actúa dentro de los términos
legales en materia contable, por ejemplo. Hay muchos tipos de auditoría, siendo
la auditoría interna, la que ayuda a una empresa a cumplir sus objetivos,
evaluando y mejorando la eficacia de sus procesos de gestión de riesgos y
control. (Emprende PYNE, 2016)
La auditoría es un componente del sistema de control interno de las organizaciones, el cual tiene
como misión fundamental asesorar a la alta dirección en la definición, desarrollo, implantación
y mantenimiento de los sistemas de control: legal, financiero, informático y de gestión para
asegurar los resultados esperados de las operaciones conforme a los objetivos preestablecidos.
(PInilla & Dagoberto, 2015)

¿Qué es una auditoría interna?

La auditoría interna es un sistema de control interno de la empresa y consiste

en el conjunto de medidas, políticas y procedimientos establecidos en una
organización concreta para proteger su activo, minimizar riesgos, incrementar la
eficacia de los procesos operativos y optimizar y rentabilizar, en definitiva, el
negocio.
Conforme una empresa aumenta en volumen, se pone de manifiesto la auditoría
interna. ¿La razón? Cuanto más crece la empresa, más imposibilitada se ve la
dirección de controlar todos y cada uno de los procesos de los que se vale la
empresa.

Así, a través de la auditoría interna, es más sencillo por parte de dirección

comprobar que efectivamente se están llevando a término todas las funciones
en cada uno de los departamentos, analizándose de manera objetiva y tomando
medidas cuando así sea preciso.

Auditoría interna en una organización

La auditoría interna permite llevar a cabo un seguimiento actualizado de la

gestión de un negocio, así como un método de control de las gestiones
financieras.

Gracias a la realización de una auditoría interna, el porcentaje de probabilidad

de que una organización incremente el logro de sus objetivos es muy elevado.
Y, ¿por qué? Pues porque una auditoría interna sirve para detectar estafas,
fraudes, cualquier desvío de dinero o bienes, entre otras cosas.

La auditoría interna es precisa para detectar cualquier desviación de una

organización y poder subsanarla lo más rápida y eficazmente posible.

La auditoría interna será realizada por personas con conocimientos técnicos

suficientes, tales como los auditores o una persona de la propia empresa con
capacidad profesional suficiente para ello. Éstos deberán realizar su trabajo de
manera imparcial, independiente y objetiva y manteniéndose siempre bajo el
rigor profesional.

Asimismo, la organización deberá facilitar al auditor toda la información y

archivos necesarios para realizar una investigación lo más precisa posible,
permitiendo así evaluar de manera fiel y veraz lo que realmente sucede en el
ámbito contable y financiero de la empresa.

Objetivos de la auditoría interna

 La auditoría interna se hace necesaria conforme una empresa va creciendo.
De lo contrario, la revisión y control por parte de dirección sería muy complicada
y el análisis y estudio de la marcha de la empresa se haría, posiblemente, de
manera poco objetiva y alejada de la realidad.

Una auditoría interna se debe hacer en base a un plan previamente redactado

y diseñado, en función de las políticas y procedimientos de la empresa en
cuestión. Asimismo, la auditoría interna va encaminada hacia el cumplimiento de
los siguientes puntos:

o En qué medida se cumplen los planes y procedimientos derivados de dirección.

o Revisión y evaluación de la aplicación de los controles operativos, contables y
financieros.
o Realizar un control de inventarios para que todos los bienes que la empresa
posee estén registrados, protegidos y sujetos a la normativa pertinente.
o Verificar y evaluar la información contable, que ésta sea veraz y responda a
la realidad económica de la empresa.
o Realización de investigaciones especiales y extraordinarias que la dirección
exija.
o Preparación de informes de auditoría sobre las irregularidades que se pueden
encontrar a término de las investigaciones, determinando asimismo posibles
recomendaciones para solventar aquéllas.
o Vigilancia del cumplimiento de las recomendaciones determinadas en informes
y auditorías

Básicamente todos los cambios que se realizan en una organización someten a

una gran tensión a los controles internos existentes.

Cuando un auditor profesional se somete a auditar una empresa, lo primero que

se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma
para buscar la eficiencia total. Este trabajo no se hace de la noche a la mañana;
para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se
empieza a trabajar internamente.

La mayoría de las organizaciones han acometido varias iniciativas en tal sentido

tales como:
  La reestructuración de los procesos empresariales.
 La gestión de la calidad total.
 El redimencionamiento por reducción y/o por aumento de tamaño hasta el
nivel correcto.
 La contratación externa.
 La descentralización.

CONTROL INTERNO INFORMATICO

El control interno informático controla diariamente que todas las actividades de

sistemas de información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la organización y/o la dirección
informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que
se obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del

departamento de informática y está dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

 Controlar que todas las actividades se realicen cumpliendo los

procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
 Asesorar sobre el conocimiento de las normas.
 Colaborar y apoyar el trabajo de Auditoria informática, así como de las
auditorías externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de

los grasos adecuados del servicio informático, lo cual no debe considerarse
como que la implantación de los mecanismos de medida y responsabilidad del
logro de esos niveles se ubique exclusivamente en la función de control interno,
si no que cada responsable de objetivos y recursos es responsable de esos
niveles, así como de la implantación de los medios de medida adecuados.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias
para determinar si un sistema informatizado salvaguarda los activos, mantiene
la integridad de los datos, lleva a cabo los eficazmente los fines de la
organización y utiliza eficiente mente los recursos.

CONTROL INTERNO AUDITOR

INFORMATICO INFORMATICO

SIMILITUDES PERSONAL INTERNO

Conocimientos especializados en tecnologías de

información verificación del cumplimiento de controles
internos, normativa y procedimientos establecidos por la
dirección informática y la dirección general para los
sistemas de información.

DIFERENCIAS Análisis de los controles en el Análisis de un momento

día a día informático determinado

Informa a la dirección del Informa a la dirección

departamento de informática general de la
sólo personal interno el enlace organización
de sus funciones es
Personal interno y/o
únicamente sobre el
externo tiene cobertura
departamento de informática
sobre todos los
componentes de los
sistemas de información
de la organización

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como "cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus
objetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de

seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer

cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u
omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han

producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir
de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS

INFORMATICOS

Para llegar a conocer la configuración del sistema es necesario documentar los

detalles de la red, así como los distintos niveles de control y elementos
relacionados:

Entorno de red:esquema de la red, descripción de la configuración hardware de

comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los ordenadores de
entornos de base que soportan aplicaciones críticas y consideraciones relativas
a la seguridad de la red.
Configuración del ordenador base: Configuración del soporte físico, en torno del
sistema operativo, software con particiones, entornos( pruebas y real ),
bibliotecas de programas y conjunto de datos.

Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de

base de datos y entornos de procesos distribuidos.

Productos y herramientas: Software para desarrollo de programas, software de

gestión de bibliotecas y para operaciones automáticas.

Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso,

registro e información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que

definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que

sirvan de base para el diseño y la implantación de los sistemas de información y
de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos

y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el

software del sistema, integridad del sistema, confidencialidad (control de acceso)
y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del

software y controles de procedimientos para la migración de programas software
aprobados y probados.
 COBIT 5
En 2012, ISACA [1] publicó COBIT 5, el vástago más joven de una generación
de documentos normativos, que inició 15 años antes. Desde 2012, ISACA ha
publicado un gran número de productos muy diversos derivados de la
familia COBIT 5(aparte de sus traducciones a diversos idiomas) [2].
COBIT 5 supuso una importante revolución en la familia, en al menos dos
aspectos:
 explicita y consolida la distinción entre Gobierno (Governance) y Gestión
[Administración, en LATAM] (Management) de las TI; y
 abjura de su tradicional modelo de madurez de procesos ‘CMM’, basado, con
adaptaciones, en el CMM del SEI de CMU,para abrazar el de capacidad de
procesos de ISO/IEC 15504, SPICE.
La distinción entre Gobierno Corporativo y Gestión queda clara, en COBIT
5, desde su título y comienzo, y está en línea con la ISO 38500, de la que hace
una ‘transposición’, una adopción con variaciones.
COBIT 5 no es imperativo ni procedimental: recomienda, no prescribe; señala
resultados deseables y ofrece métodos y métricas pero no impone
procedimientos detallados. No es radical sino tolerante e incluso ‘promiscuo’:
recomienda otras normas o marcos (como ISO 20000, ISO 27000 o ITIL), con
los que propone una eficaz convivencia. De manera que una empresa u
organización procede a ad@ptar™ (“cortar y pegar” de COBIT 5 y otros marcos
y normas —a lo que COBIT 5 invita) [3] —, para así establecer su sistema propio
de gobierno corporativo de las TI.
COBIT 5 no es un marco ‘implantable’ ni certificable (como, por ejemplo lo es la
norma ISO 9001). COBIT 5 no se implanta: lo que se implanta —según ISACA—
es un ”gobierno corporativo de las TI, usando COBIT 5”.
Por ello, y porque —como consecuencia de la no certificabilidad [4]— no hay un
registro de empresas certificadas, COBIT 5 no tiene la visibilidad de otras
iniciativas de menos fuste (como ITIL). Sin embargo, cuenta con un amplio apoyo
de los reguladores y lo usan empresas y organismos en todos los sectores y
continentes.
 El marco COBIT 5, se ha desarrollado a partir de unas necesidades de los
interesados (stakeholders needs), abstraídas, como resultado de amplias
encuestas mundiales que gestiona la escuela de negocios de la Universidad de
Amberes.
Propone 7 categorías o ‘clases’ de elementos constituyentes o habilitadores
(drivers) [llamados “catalizadores” en la versión española] altamente
interrelacionados, para construir el sistema específico de gobierno y gestión:
1. procesos;
2. cultura, ética, comportamientos;
3. estructuras organizativas;
4. información;
5. principios y políticas;
6. habilidades y competencias; y
7. capacidades de servicio.
COBIT 5 se basa en cinco principios:
1. Es un marco integrador. Integra material previo de CobiT y de ISACA, y también
de terceros, y su estructura sencilla facilita la integración de cualquier otro marco
o norma razonable. No es prescriptivo, como he dicho, aunque propone un
modelo de referencia de procesos (ver más abajo).
2. Se rige por la persecución del valor para los interesados (stakeholders).
3. Está orientado al negocio (en sentido genérico, ya que engloba administraciones
públicas, ONGs, etc.)
4. Se basa en los 7 habilitadores enunciados más arriba.
5. Está estructurado en procesos de Gobierno Corporativo y de Gestión
[Administración] diferenciados, pero interrelacionados.
COBIT 5 consta de 37 procesos de alto nivel —el modelo de referencia de
procesos (ver Figura [5]). De ellos, 5 son de Gobierno Corporativo; los demás de
Gestión.
Algunos consideran que es demasiado engorroso; pero quizá no han reparado
en que —al permitir su adopción fraccionada y flexible— muchos de tales
procesos pueden no considerarse, en función de la circunstancias de la empresa
u organismo.
 Cada uno de los procesos es tratado en detalle en otro documento COBIT 5 –
Procesos Catalizadores (este de pago, para no miembros de ISACA) que
contiene unas ‘fichas’ normalizadas, que describen —con gran riqueza de
información— subprocesos y actividades, métricas, flujo de trabajo (I/O) y
tabla RACI [6].
En la próxima entrada, lo analizaremos con más detalle.
Notas y Referencias
ISACA es “una asociación global, sin ánimo de lucro e independiente que se dedica
al desarrollo, adopción y uso de conocimiento y prácticas de los sistemas de
información que sean globalmente aceptadas y líderes en el sector». Actualmente
cuenta con unos 140 000 asociados, agrupados en Capítulos en 180 países. En
España hay 3 Capítulos: Barcelona, Madrid y Valencia.
1) El documento básico, el “Marco” —Un Marco de Negocio para el Gobierno y la
Gestión de las TI de la Empresa— es muy recomendable y gratuito para
cualquier interesado, aunque exige registro, con una opción de opt-out (darse de
baja) en cualquier momento.
2) El palabro “ad@ptar” lo acuñamos a estos efectos y publicamos Ricardo Bría y
yo en: Palao, M. y Bría, R. (2008). “Implantación de Buen Gobierno de los SI y
 las TIC, ad@ptando COBIT, ITIL y VAL IT. Una caricatura respetuosa”. Novática,
ISSN 0211-2124, Nº. 191, 2008. pp. 39-41.
3) Si bien los organismos o sus procesos no son COBIT-certificables, ISACA
administra diversas certificaciones relacionadas con COBIT: unas de
conocimientos-habilidades profesionales; otras de capacidad de los procesos
implantados.
4) Fuente de la Figura: ISACA. (2012). COBIT 5 – Procesos Catalizadores. Rolling
Meadows, IL 60008 EE.UU. p 33.
5) La tabla RACI (Responsable-Alto_Responsable-Consultado-Informado) es una
matriz unidades_empresariales – actividades_responsabilidades (Ej.:
Director_Financiero – Aprobar_Presupuestos) que —en COBIT 5— incluye,
entre las unidades, el Consejo de Administración, el CEO y los Directivos de
Negocio, esto es, órganos de gobierno.

Manolo Palao Garcia-Suelto es colaborador docente de las asignaturas de

Planificación y Dirección Estratégica de Sistemas de Información de la
Universitat Oberta de Catalunya y miembro de ISACA y del ITTrends Institute.