Auditoria en sistemas computacionales

1. Primero en auditoras contables, despus en financieras, administrativas, gubernamentales e integrales, y recientemente en auditoras especializadas por reas de aplicacin, la disciplina de auditora se ha distinguido a travs del tiempo como la nica profesin capaz de evaluar y dictaminar funciones, operaciones y resultados de casi todas las reas de las instituciones pblicas y privadas. En gran medida, este reconocimiento obedece a la evolucin de sus mtodos, procedimientos y herramientas de evaluacin. Con el propsito de mantener ese reconocimiento como el nico profesional autorizado para evaluar y dictaminar los resultados de las empresas, el auditor siempre debe estar a la vanguardia de los mtodos, procedimientos y herramientas de evaluacin; sin embargo, debido a la constante y vertiginosa evolucin de los sistemas computacionales, tal parece que en este terreno la auditora an no ha evolucionado a la par que en las dems disciplinas. Por tal motivo, es menester que este profesional incursione ms activamente en la evaluacin de los sistemas computacionales. Precisamente, amigo lector, el libro que tiene en sus manos le presenta los principios, las aplicaciones y los instrumentos tcnicos especializados que le permitirn realizar, de manera eficaz y eficiente, la auditora profesional de la administracin, el funcionamiento, la utilizacin y el aprovechamiento de los modernos sistemas computacionales de las empresas, as como la evaluacin de la gestin, el manejo, la seguridad y el control correctos de los equipos computacionales, hardware, software, bases de datos, informacin, perifricos y todos los componentes relacionados con los recursos informticos de las instituciones. Asimismo, con dichos principios, aplicaciones e instrumentos podr auditar el desarrollo, la implementacin y la operacin de estos sistemas, as como el cumplimiento de las funciones y actividades de sus responsables. La finalidad de este libro es mostrarle, de manera sencilla, didctica y fcil de comprender, los cimientos tericos, especializados y prcticos que fundamentan el uso de los mtodos, procedimientos, tcnicas y herramientas que proponemos en esta obra, los cuales planteamos a travs de once arquetipos de auditoras especializadas, de aplicacin exclusiva para evaluar casi todos los ambientes de trabajo de los sistemas. Respetable lector, el libro que ponemos a su consideracin pretende exponerle los nuevos derroteros que se pueden seguir en la profesin de auditor, a fin de que cuente con los fundamentos para realizar una mejor y ms profesional evaluacin de los sistemas computacionales en las empresas de nuestro tiempo. Aspiramos a poder mostrarle los fundamentos tericos, prcticos y tcnicos que intervienen en la prctica de esta naciente actividad profesional de auditora de la gestin de los sistemas computacionales. OTROS LIBROS DE INTERS PUBLICADOS POR PEARSON: LAUDON: Sistemas de informacin gerencial, sexta edicin LEVINE: Computacin y programacin moderna McLEOD, Jr.: Sistemas de informacin administrativa, sptima edicin RAMREZ: Aprenda Visual Basic Practicando Carlos Muoz Razo Muoz AUDITORAENSISTEMAS COMPUTACIONALES AUDITORA EN SISTEMAS COMPUTACIONALES www.pearsonedlatino.com PORTADA-.B 11/12/07 2:38 PM Page 1

2. Auditora een ssistemas computacionales Carlos Muoz Razo Catedrtico-Investigador de la Universidad del Valle de Mxico Revisor tcnico Jorge Rivera Albarrn Universidad Iberoamericana 3. Editor: Guillermo Trujano Mendoza e-mail: [email protected] Supervisor de edicin: Antonio Nez Ramos Supervisor de produccin: Jos D. Hernndez Garduo PRIMERA EDICIN, 2002 D.R. 2002 por Pearson Educacin de Mxico, S. A. de C. V. Calle 4 N 25-2 piso, Fracc. Ind. Alce Blanco, Naucalpan de Jurez, Edo. de Mxico, C.P. 53370 Cmara Nacional de la Industria Editorial Mexicana. Reg. Nm. 1031 Prentice Hall es una marca registrada de Pearson Educacin de Mxico, S. A. de C. V. Reservados todos los derechos. Ni la totalidad ni parte de esta publicacin pueden reproducirse, registrar- se o transmitirse, por un sistema de recuperacin de informacin, en ninguna forma ni por ningn medio, sea electrnico, mecnico, fotoqumico, magntico o electroptico, por fotocopia, grabacin o cualquier otro, sin permiso previo por escrito del editor. El prstamo, alquiler o cualquier otra forma de cesin de uso de este ejemplar requerir tambin la autori- zacin del editor o de sus representantes. ISBN 970-17-0405-3 Impreso en Mxico/Printed in Mexico 1 2 3 4 5 6 7 8 9 0 05 04 03 02 4. A mi esposa Mercedes y mis hijas Lizeth Mercedes y Karla Liliana. Representan la razn de ser de mi existencia y son mi fuente permanente de inspiracin y deseo de superacin. A mis padres: Carlos (QEPD) y Rosa. Juntos formaron ilusiones en la vida y las vieron cristalizadas como familia. Gracias. A mis hermanos y hermanas, cuados y cuadas, sobrinos y sobrinas. Compartimos el camino de la vida, el presente y el porvenir, con alegras, entusiasmo y cario. 5. AGRADECIMIENTOS A mis amigos maestros y alumnos de la Universidad del Valle de Mxico. Adems de la amistad, compartimos la honorfica vocacin de la docencia. Gracias por el permanente intercambio de conocimientos. (No menciono los nombres de estos amigos, porque podra caer en el pecado de omisin.) En especial a las academias de sistemas, investigacin y administracin del Campus San Rafael, y al comit de rediseo de administracin 2001 de la UVM. A los seores Antonio Nez Ramos y Jos Hernndez Garduo, y a sus equipos de trabajo. Gracias por su valiosa aportacin de conocimientos, experiencia y voluntad para la revisin tcnica y editorial de este libro. Al Ing. Salvador Vzquez Amaya. Autor del prlogo de este libro, y con quien he compartido muchas experiencias en la docencia, sistemas e investigacin. A la Universidad del Valle de Mxico. Institucin de educacin superior que a travs de la docencia me ha permitido realizar mis anhelos y vocacin. 6. CONTENIDO Presentacin xi Prlogo xv Introduccin xvii 1 Conceptos generales 1 Estructura del captulo Introduccin del captulo Antecedentes de la auditora Conceptos bsicos sobre la auditora Clasificacin de los tipos de auditoras Objetivos generales de la auditora Marco esquemtico de la auditora de sistemas computacionales 2 Elementos fundamentales en el estudio de la auditora 33 Estructura del captulo Introduccin del captulo Definicin general de auditora Objetivos particulares de cada tipo de auditora Principales reas actividades y resultados que se auditan Normas generales de auditora Mtodos tcnicas herramientas y procedimientos de auditora Estructuras de organizacin de las empresas y reas dedicadas a la auditora 3 Normas tico-morales que regulan la actuacin del auditor 51 Estructura del captulo Introduccin del captulo v 7. vi Auditora en sistemas computacionales Marco conceptual de la tica Principios de axiologa y valores ticos Criterios y responsabilidades del auditor Normas profesionales del auditor 4 Control interno 95 Estructura del captulo Introduccin del captulo Conceptos y definiciones de control Conceptos y definiciones del control interno Elementos del control interno Estndares de control 5 Control interno informtico 133 Estructura del captulo Introduccin del captulo Controles internos para la organizacin del rea de informtica Controles internos para el anlisis desarrollo e implementacin de sistemas Controles internos para la operacin del sistema Controles internos para los procedimientos de entrada de datos procesamiento de informacin y emisin de resultados Controles internos para la seguridad del rea de sistemas 6 Metodologa para realizar auditoras de sistemas computacionales 179 Estructura del captulo Introduccin del captulo Marco conceptual de la metodologa para realizar auditoras de sistemas computacionales Metodologa para realizar auditoras de sistemas computacionales 8. etapa: Planeacin de la auditora de sistemas computacionales etapa Ejecucin de la auditora de sistemas computacionales etapa Dictamen de la auditora de sistemas computacionales 7 Papeles de trabajo para la auditora de sistemas computacionales 243 Estructura del captulo Introduccin del captulo Contenido del legajo de papeles de trabajo Claves del auditor para marcar papeles de trabajo Cuadros estadsticas y documentos concentradores de informacin Diagramas de sistemas 8 Informes de auditora de sistemas computacionales 271 Estructura del captulo Introduccin del captulo Procedimiento para elaborar el informe de auditora de sistemas computacionales Caractersticas del informe de auditora de sistemas computacionales Estructura del informe de auditora de sistemas computacionales Formatos para el informe de auditora de sistemas computacionales 9 Instrumentos de recopilacin de informacin aplicables en una auditora de sistemas computacionales 327 Estructura del captulo Introduccin del captulo Contenido vii 9. Entrevistas Cuestionarios Encuestas Observacin Inventarios Muestreo Experimentacin 10 Tcnicas de evaluacin aplicables en una auditora de sistemas computacionales 417 Estructura del captulo Introduccin del captulo El examen La inspeccin Confirmacin Comparacin Revisin documental Acta testimonial Matriz de evaluacin Matriz DOFA 11 Tcnicas especiales de auditora de sistemas computacionales 477 Estructura del captulo Introduccin del captulo Guas de evaluacin Ponderacin Modelos de simulacin Evaluacin Diagrama del crculo de evaluacin Lista de verificacin (o lista de chequeo) Anlisis de la diagramacin de sistemas Diagrama de seguimiento de una auditora de sistemas computacionales Programas para revisin por computadora viii Auditora en sistemas computacionales 10. 12 Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 557 Estructura del captulo Introduccin del captulo Auditora con la computadora Auditora sin la computadora Auditora a la gestin informtica del rea de sistemas Auditora al sistema computacional Auditora alrededor de la computadora Auditora de la seguridad de los sistemas computacionales Auditora a los sistemas de redes Auditora outsourcing en los sistemas computacionales Auditora ISO a los sistemas computacionales Auditora ergonmica de los centros de cmputo Auditora integral a los centros de cmputo Apndice A 687 Lista de verificacin para una auditora a la gestin informtica Apndice B 693 Lista de verificacin para una auditora a la seguridad informtica Apndice C 701 Listado de verificacin de auditora de redes Apndice D 723 Lista de verificacin para el hardware de la computadora Lista de verificacin para las caractersticas del software Lista de verificacin para el diseo lgico del sistema Lista de verificacin para el diseo fsico del sistema Lista de verificacin para la administracin de accesos Lista de verificacin para la administracin de los controles de seguridad del sistema computacional Contenido ix 11. x Auditora en sistemas computacionales Apndice E 735 Lista de verificacin de auditora alrededor de la computadora Apndice F 745 Lista de verificacin de auditora ergonmica Apndice G 753 Lista de verificacin de auditora ISO Apndice H 757 Lista de verificacin de auditora outsourcing Apndice I 771 Lista de chequeo de auditora integral ndice 785 12. PRESENTACIN Es fundamental la operacin de los sistemas, es deseable la profesionalizacin en stos, y es mejor la especializacin en su uso; pero es an superior la auditora en sistemas computacionales Estimado lector, la funcin de auditora lleva un largo recorrido en la evaluacin de las actividades de las empresas y, en estos tiempos, se ha consolidado como la nica profesin reconocida para auditar las funciones, operaciones y resultados de todas las reas de las mismas; sin embargo, la auditora de los sistemas computacionales toda- va es un campo novedoso, innovador y de aplicacin muy reciente, lo cual hace que, en los albores del siglo XXI, esta moderna disciplina sea un territorio parcialmente in- dito, del que poco se ha estudiado y del cual se exige una mayor incorporacin para revisar las acciones informticas de las empresas de nuestros das. Precisamente, para subsanar estos aspectos, el libro que tiene en sus manos le presenta los principales cimientos, aplicaciones e instrumentos que le permitirn auditar de manera profesional los sistemas computacionales. Durante la lectura de este texto encontrar los cimientos terico-prcticos que fundamentan la aplicacin de los mtodos, procedimientos, tcnicas y herramientas que le habilitarn para realizar, de manera eficaz y eficiente, la evaluacin profesional de la administracin, el funcionamiento, la utilizacin y el aprovechamiento de los modernos sistemas computacionales en las empresas; del mismo modo, aplicando las bases de evaluacin aqu presentadas, podr auditar el cumplimiento de las funciones, las actividades, la operacin, el desarrollo y la implementacin de estos sistemas y de sus responsables, as como la correcta administracin, el aprovechamiento, la seguridad y el control de equipos de cmputo, hardware, software, bases de datos, informacin, perifricos y de todos los componentes relacionados con los recursos informticos de las instituciones que cuenten con sistemas computacionales. En el devenir del tiempo, la profesin de auditor se ha fortalecido como la disciplina fundamental para evaluar todas las reas de las instituciones pblicas y privadas, incluyendo los sistemas computacionales. Es por ello que, pensando en la importancia que ha cobrado la evaluacin de estos sistemas, el nimo de este libro fue concebido con las siguientes intenciones: La primera es presentar al profesional de auditora, cualquiera que sea su especialidad en esta materia, los fundamentos tericos, tcnicos y prcticos de la auditora de los sistemas computacionales, con el propsito de que complemente xi 13. xii Auditora en sistemas computacionales su embalaje profesional y aproveche, en la evaluacin de los sistemas informticos, la experiencia, habilidades y conocimientos de su inicial profesin de auditor. Todo ello en aras de una mayor eficiencia y eficacia en la realizacin de este tipo de trabajos tan especializados, amn de incrementar su potencial profesional en la materia de auditora que practique actualmente. Una segunda finalidad es que se beneficie de los conocimientos informticos de los profesionales dedicados a los sistemas computacionales, no necesariamen- te auditores, a fin de proporcionar a quienes ya son especialistas en estos sistemas un acervo terico, tcnico y prctico sobre los aspectos fundamentales de esta especialidad de evaluacin, lo cual les permitir conocer y aplicar los principios y puntos bsicos sobre los cuales descansa la prctica de la auditora, en este caso de los sistemas computacionales. El siguiente propsito del libro es presentar este material a los maestros, estu- diantes, pasantes y profesionales de las carreras de sistemas, ingeniera, contabilidad, administracin y reas similares, a fin de que adquieran los conocimientos necesarios para capacitarlos en la prctica de esta cada vez ms solicitada actividad profesional en el mbito de los sistemas de cmputo, y con ello fomentar su plena incorporacin a esta innovadora disciplina profesional. La aspiracin fundamental del autor es, en todos los casos, mostrar a los lectores, de una manera sencilla, didctica y fcil de comprender, los cimientos sobre los cuales se apoya la prctica de la auditora de sistemas computacionales, a fin de que, con los conocimientos aqu vertidos, el profesional universitario que se dedique a esta actividad tenga los elementos necesarios para realizar su mejor prctica de esta especialidad en las empresas, y para que con su estudio pueda incrementar su acervo profesional en materia de sistemas computacionales. Para llevar a cabo la mejor de las auditoras de los sistemas computacionales en las empresas, en las pginas de este libro encontrar los fundamentos tcnicos, tericos y prcticos de esta especialidad, los cuales se proponen en once aplicaciones que comprende el captulo 12 de auditoras especializadas en sistemas informticos, mismas que pueden utilizarse para la evaluacin de casi todos estos ambientes de trabajo. Concretamente, se proponen estas especialidades de auditora: Auditora con la computadora Auditora sin la computadora Auditora a la gestin informtica del rea de sistemas Auditora al sistema computacional Auditora alrededor de la computadora Auditora de la seguridad de los sistemas computacionales Auditora a los sistemas de redes Auditora outsourcing en los sistemas computacionales Auditora ISO 9000 a los sistemas computacionales 14. Presentacin xiii Auditora ergonmica de los centros de cmputo Auditora integral a los centros de cmputo De conformidad con esta propuesta de divisin de las principales formas de evaluacin de los sistemas de cmputo, el auditor puede identificar, adoptar, cambiar o complementar el tipo de auditora especializada que sea de su preferencia, para ajus- tarla al tipo de auditora que requiera practicar a los sistemas. Asimismo, puede elegir entre seguir los puntos e instrumentos de evaluacin que se sugieren en cada catego- ra de las auditoras sealadas, o modificarlos de acuerdo con sus necesidades especficas de evaluacin. Amable lector, el libro que tiene en sus manos es un documento innovador para la prctica de esta especialidad de auditora. En su contenido encontrar los elementos que le ayudarn a reforzar, adquirir o especializar sus conocimientos en materia de auditora de sistemas computacionales, capacidades que pueden ser empleadas con mucho xito en disciplinas profesionales como contabilidad, ingeniera, administracin y reas similares de responsabilidad, a fin de que pueda hacer una acertada evaluacin de sistemas computacionales en las empresas de nuestro tiempo. El equipo responsable de esta publicacin desea que la lectura de este libro sea el vehculo profesional que le permita traspasar las fronteras del xito en esta novedosa especialidad que hoy demandan las empresas. Cualquier comentario acerca del contenido de este libro, el autor pone a su dis- posicin las siguientes direcciones electrnicas: [email protected], [email protected]. Carlos Muoz Razo 15. PRLOGO La apertura cada vez mayor que Mxico est dando a las empresas nacionales e inter- nacionales, el uso creciente de las tecnologas de informacin como herramienta para lograr ventaja competitiva, y tratar de controlar, a travs de sistemas computacionales, el creciente volumen de transacciones generadas por las actividades comerciales y financieras de las instituciones mexicanas, han hecho que se requiera una vigilancia y evaluacin constantes de estos sistemas. Al respecto, el autor nos presenta, en forma sencilla e interesante, los mtodos y las tcnicas que todo auditor, o toda persona interesada en la auditora de sistemas computacionales, podra necesitar para diagnosticar el desempeo y desarrollo de dichos trabajos. Adems, el autor nos narra, en forma clara y amena, los orgenes de la actividad de auditor, profesionista independiente capaz de dictaminar sobre la veracidad y confiabilidad de los registros de las operaciones comerciales y financieras de las instituciones. Asimismo, nos menciona que la primera auditora naci desde el momento en que surgi la necesidad de rendir cuentas de algn negocio y revisar que stas fueran correctas. Dicha funcin fue evolucionando conforme creca la actividad de registro de operaciones mercantiles. Es de llamar la atencin la forma en que el autor narra los antecedentes de la auditora financiera, administrativa, operacional y de sistemas a travs de investigaciones profesionales hechas en diversas instituciones de educacin superior en Mxico. Al tratar la auditora de sistemas computacionales, el autor incluye, de manera acertada, la evaluacin del hardware, software, de la gestin informtica, de la informacin, del diseo de sistemas, de las bases de datos, de la seguridad, de las redes de cmpu- to y otros conceptos o recursos especializados de los sistemas computacionales. Cabe mencionar, en palabras del autor, que Las principales tcnicas, mtodos y procedimientos de auditora se ubican en tres grandes apartados: instrumentos de recopilacin de datos, tcnicas de evaluacin y tcnicas especiales de auditora de sistemas computacionales. Especial atencin merece la manera en que esta obra hace nfasis en las normas tico-morales que regulan la actuacin del auditor, con el propsito, como menciona el autor, de que el lector identifique los criterios y obligaciones que debe satisfacer la actuacin profesional del auditor en los campos tico, moral y profesional. El autor hace una recopilacin muy profesional de las bases fundamentales de los valores, los cuales, en estos tiempos, han sido abandonados o quizs olvidados, por lo que son motivo de reflexin en este libro. El autor logra esta reflexin dentro de su amena lectura, en el captulo correspondiente. xv 16. xvi Auditora en sistemas computacionales En combinacin con las normas de comportamiento tico-morales, el autor nos menciona que hay normas de carcter social y normas de carcter profesional permanente, que son las normas mnimas de actuacin que todo profesional de esta rea debe observar. Para concluir este apartado, deseo agradecer al autor por haberme dado la oportunidad de conocer en forma precisa y clara, a travs de este libro, las normas, mtodos, herramientas y procedimientos que deben conocer todos los profesionales que se dediquen a tan loable labor. M. en C. Ing. Salvador Vzquez Amaya. Presidente de la Academia de Informacin y Sistemas. Universidad del Valle de Mxico. Campus San Rafael. 17. INTRODUCCIN El proyecto de esta obra se realiz a lo largo de doce captulos, en los cuales usted encontrar los fundamentos tericos, prcticos y especializados que deben aplicarse para realizar con xito una auditora de sistemas computacionales. En detalle, este libro se configur como se describe enseguida: En el captulo 1, Conceptos generales, se presentan los antecedentes, conceptos y definiciones que se agrupan en torno a la auditora; el propsito es que usted identifique la esencia y razn de ser de esta disciplina, as como su importancia como actividad profesional en la evaluacin de los sistemas computacionales. El captulo 2 nos muestra los elementos fundamentales para el estudio de esta disciplina; sealndose las diferentes propuestas de clasificacin de la auditora, las propuestas de estructuras de organizacin del rea de auditora de sistemas, as como una presentacin preliminar de las reas, actividades y elementos que se pueden auditar en los sistemas informticos. En el captulo 3 encontrar un amplio y generoso tratamiento de las normas tico- morales que regulan la actuacin del auditor en las empresas, en su profesin y en su conducta personal. Adems, se incluye el marco conceptual de la tica y los principios axiolgicos de los valores aplicables a la actividad de auditora. El propsito es desta- car la importancia que tiene la conducta del auditor ante las empresas. Una parte sustantiva de esta obra se presenta en el captulo 4, en donde se exponen los principios y fundamentos del control interno para su aplicacin en las empresas, as como el estudio de sus conceptos, definiciones y componentes, tanto del concepto control como del control interno. Complementando el anterior apartado, en el captulo 5 se presenta una propuesta de estudio del control interno informtico; en dicha propuesta se analiza la aplicacin del control interno en los principales aspectos de la actividad de sistemas. El propsito es que usted identifique la importancia del contenido del control interno informtico, con lo cual se entiende y justifica la esencia de la auditora de los sistemas computacionales. De igual importancia es la presentacin de una metodologa exclusiva para este tipo de auditora, en donde se destaca y detalla cada uno de los pasos y componentes de la planeacin, aplicacin y presentacin de los resultados obtenidos de una evaluacin de los sistemas informticos de las empresas. Metodologa que ha sido amplia- mente avalada por la prctica profesional en la evaluacin de estos sistemas, la cual se analiza punto por punto en el captulo 6, junto con los componentes y fundamentos para su uso correcto. xvii 18. xviii Auditora en sistemas computacionales As como es importante seguir la metodologa propuesta para la auditora de los sistemas computacionales, no menos trascendental es el correcto y confiable soporte documental de la evaluacin practicada, razn por la cual, en el captulo 7 se muestran los principales aspectos relacionados con la elaboracin y el contenido de los llama- dos papeles de trabajo. En ese captulo se presenta la manera de elaborar, concentrar y conservar los respaldos documentales de pruebas, evaluaciones, documentos y dems instrumentos que servirn para fundamentar las desviaciones encontradas durante la auditora de los sistemas evaluados. El producto final de la auditora de sistemas computacionales es la exposicin profesional de los resultados obtenidos durante la evaluacin. Debido a la importancia que tiene esta funcin del auditor, en el captulo 8 se puntualizan todos los aspectos que permiten elaborar, de la mejor manera, el dictamen de la auditora de los sistemas computacionales. Para elaborar este importante documento, en este apartado encontrar un profundo anlisis de los principales componentes del informe y dictamen que emite el auditor como resultado de su trabajo, en el que se sealan las caractersticas del informe, sus formas de presentacin y las sugerencias para elaborarlo correctamente. En los tres captulos siguientes, relacionados con los procedimientos, mtodos, tcnicas y herramientas de aplicacin exclusiva en la auditora de sistemas computacionales, encontrar un soporte para los conocimientos en esta especialidad de sistemas. En el captulo 9 se presentan los instrumentos de recopilacin aplicables en la auditora de sistemas; se explican el diseo, la elaboracin y la aplicacin de herramientas como el cuestionario, la entrevista, la observacin, los inventarios, el muestreo y la experimentacin. En el captulo 10 se presentan las tcnicas de evaluacin aplicables en la auditora de sistemas computacionales. En dicho captulo se muestran instrumentos de evaluacin como el examen, la inspeccin, la confirmacin, la revisin documental, el acta testimonial, la matriz de evaluacin y la matriz DOFA. Todos ellos instrumentos indis- pensables para la evaluacin de los sistemas computacionales. En el captulo 11 se detallan las tcnicas especiales de la auditora de sistemas computacionales. En dicho captulo se presentan las herramientas especializadas para evaluar los sistemas informticos, como la gua de evaluacin, la ponderacin, los modelos de simulacin, la lista de chequeo, la evaluacin, el diagrama de crculo de evaluacin, el anlisis de la diagramacin de sistemas, el diagrama de seguimiento de una auditora y los programas de revisin por computadora. En estos tres captulos se hace un estudio profundo y detallado de los instrumentos que se presentan, con el propsito de que usted conozca los fundamentos para su diseo, instrumentacin y aplicacin a sus necesidades especficas de evaluacin de sistemas computacionales. Con estas herramientas el auditor puede recopilar, analizar y evaluar la informacin sustantiva de esos sistemas, para fundamentar su informe de resultados de la auditora practicada. 19. Introduccin xix En el captulo 12 encontrar una propuesta de los principales puntos a evaluar de los sistemas computacionales, en donde se definen, por cada tipo de auditora pro- puesto, los aspectos bsicos que deben auditarse. Tambin se sugieren las herramientas, mtodos y procedimientos que le sern de suma utilidad al practicar su auditora. Adems, se presentan apndices sobre los principales puntos a evaluar para cada uno de los tipos de auditora propuestos a lo largo de esta obra. En dichos apndices encontrar sugerencias sobre los aspectos que pueden serle de utilidad para realizar su auditora de sistemas computacionales, respetando su libertad de adoptar, modifi- car o proponer puntos e instrumentos de evaluacin que complementen los ah sea- lados, a fin de adecuar los mismos a sus necesidades concretas de revisin. Apreciable lector, el libro que ponemos a su consideracin pretende exponerle los nuevos derroteros que se pueden seguir para realizar una evaluacin mejor y ms profesional de los sistemas computacionales en las empresas de nuestro tiempo. Aspira- mos a poder mostrarle los fundamentos tericos, prcticos y tcnicos que intervienen en la prctica de esta naciente actividad profesional de auditora de la gestin de los sistemas computacionales. La mejor recompensa para nosotros ser saber que su lectura le ser til para el aprendizaje, la aplicacin y el desarrollo de auditoras en el campo de la computacin. Sinceramente, el autor. 20. Estructura del captulo: 1.1 Antecedentes de la auditora 1.2 Conceptos bsicos sobre la auditora 1.3 Clasificacin de los tipos de auditoras 1.4 Objetivos generales de la auditora 1.5 Marco esquemtico de la auditora de sistemas computacionales Conceptos generales 1 1 21. Objetivos del captulo Que el lector conozca los antecedentes y conceptos fundamentales de la materia de auditora, as como la clasificacin y definiciones de los tipos de auditoras. El propsito es mostrarle los elementos que cimentan la existencia de la disciplina de auditora en general para que entien- da los aspectos bsicos de la auditora de sistemas computacionales que encontrar a lo largo de este libro. Tambin se presenta un cuadro concentrado donde se sealan los objetivos generales de esta materia. Introduccin del captulo El desarrollo normal de las actividades comerciales y financieras de las empresas requiere una constante vigilancia y evaluacin; asimismo, las empresas nece- sitan una opinin, preferiblemente independiente, que les ayude a medir la eficiencia y eficacia en el cumplimiento de sus objetivos. Por lo general, la evaluacin consiste en una revisin metdica, peridica e intelectual de los registros, tareas y resultados de la empresa, con lo cual se busca medir y diagnosticar el comportamiento global en el desarrollo de sus actividades y operaciones. Eso es auditora. Los inicios de la auditora se remontan a la revisin y el diagnstico que se practicaban a los registros de las operaciones contables de las empresas; despus se pas al anlisis, verificacin y evaluacin de sus aspectos financieros; posteriormente se ampli al examen de algunos rubros de la administracin, siguiendo con el anlisis de aquellos aspectos que intervenan en todas sus actividades y, por ltimo, su alcance se increment conforme se avanz en la llamada revisin integral. Actualmente se ha llegado a las revisiones especializadas de algunas reas y actividades especficas que se desempean en las instituciones. Entre algunas de estas ltimas encontramos: auditora de sistemas computacionales, auditora del desarrollo de proyectos de mercadotec- nia, auditora de proyectos econmicos, y en s a muchas ramas de la actividad empresarial. Con el propsito de dar a conocer cul ha sido el desempeo y desarrollo de este tipo de trabajos, a continuacin veremos los aspectos ms destacados que intervienen en una auditora, empezando por sus antecedentes, conceptos bsicos y los diferentes tipos o mtodos de auditoras, as como sus definiciones. Estos aspectos son slo una introduccin, ya que en captulos posteriores nos enfocaremos exclusivamente a la auditora de sistemas computacionales. 2 Auditora en sistemas computacionales 22. Antecedentes de la auditora Conforme se expanda el comercio, despus de pasar por el trueque primero en pue- blos, ciudades, estados y finalmente en continentes, y motivados por su constante crecimiento, tanto en volumen como en el monto de operaciones comerciales, los incipientes comerciantes tuvieron la necesidad de establecer mecanismos rudimenta- rios de registro que les permitieran dominar las actividades mercantiles que realizaban. Despus, conforme los comerciantes crecieron y se agruparon en gremios y mercados locales, surgi la necesidad de contar con un mejor registro de sus actividades, tanto individuales como conjuntas. Posteriormente, con el crecimiento de estas agrupacio- nes, que se convirtieron en incipientes empresas, fue necesario establecer un mayor control para conocer de sus actividades financieras. Gracias a ese crecimiento se inici el registro de operaciones mercantiles a travs de escribas, quienes al principio asentaban dichas operaciones en forma rudimentaria; posteriormente, con el nacimiento de la partida doble y el registro de operaciones financieras, surgi la llamada tenedura de libros. Conforme esta tcnica evolucion, se lleg a impulsar la contabilidad y el registro de operaciones en libros y plizas. En la actualidad, la contabilidad se lleva a cabo en sistemas de cmputo. A la par que esto evolucionaba, fue necesario que alguien evaluara que estos registros y resultados fueran correctos y veraces. Entonces se requiri tambin de alguien que verificara la veracidad y confiabilidad de esas operaciones. En ese momento naci el acto de auditar. Las primeras revisiones fueron rudimentarias y poco meticulosas, enfocadas exclusivamente a comprobar la veracidad y confiabilidad de los registros contables y su correcta expresin en los resultados que se entregaban; su principal objetivo consis- ta en saber si las transacciones eran registradas de manera correcta y si las cantida- des en ellas asentadas eran exactas. Con ello se buscaba que los encargados de la administracin de los negocios llevaran y reportaran con precisin sus anotaciones, para comprobar que no existieran desfalcos ni sustracciones de los bienes que se les encomendaban. Conforme creci la actividad empresarial y los bancos tuvieron ms injerencia en las empresas, a travs de la custodia de sus depsitos y el otorgamiento de prsta- mos a las mismas, se requiri la elaboracin de estados financieros, en los cuales las empresas anotaban los resultados obtenidos durante los ejercicios anteriores; estos estados financieros tambin les servan para demostrar su solvencia cuando solicitaban algn prstamo. En sus inicios, los bancos aceptaban los resultados que emitan las empresas sin objetar sus estados financieros y sin necesidad de dictamen alguno, siempre y cuando estos resultados fueran hechos por un profesional de la contabilidad. Sin embargo, como consecuencia del propio crecimiento de las actividades empresariales, se hizo ne- Conceptos generales 3 23. cesario que el reporte de los resultados de una empresa tambin fuera avalado por un profesional independiente, a quien se le encargaba que comprobara y dictaminara sobre la veracidad y confiabilidad de los resultados presentados por los financieros de la empresa. As naci formalmente la actividad del auditor. Antecedentes histricos de la auditora En tiempos histricos, auditor era aquella persona a quien le lean los ingresos y gastos producidos por un establecimiento (de ah su raz latina del verbo audire, or, es- cuchar), prctica muy utilizada por civilizaciones muy antiguas [...] 1 Podemos intuir que la primera auditora naci desde el momento en que fue necesario rendir cuentas de algn negocio y revisar que stas fueran correctas; es evidente que dicha funcin fue evolucionando a la par que el crecimiento de la actividad de registros de operaciones mercantiles. Sin embargo, de acuerdo con los primeros antecedentes de auditora, sta naci antes que la tenedura de libros a finales del siglo XV, pero se profesionaliz con la contabilidad financiera a finales del siglo pasado. Los primeros antecedentes formales se encuentran en 1284, al subir al trono San- cho VI El Bravo, quien orden a algunos de sus hombres de confianza que controla- ran el destino de los caudales pblicos. Como resultado de esta medida y como producto de su reinado, se origin el tribunal de cuentas en Espaa.2 Se estima que el verdadero nacimiento de la auditora fue a finales del siglo XV, cuando nobles, ricos y familias pudientes de Espaa, Inglaterra, Holanda, Francia y los dems pases poderosos de ese entonces, recurran a los servicios de revisores de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban. El descubrimiento de Amrica (1492) contribuy tambin al crecimiento de la actividad de la auditora, pues la Corona envi visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban que el registro y manejo de las cuentas fueran correctos y emitan una opinin sobre la actuacin de los encargados. En Mxico, los virreyes representaban a la Corona y los visitadores venan a revisar el manejo de los tesoros, las recaudaciones, los gastos y la forma en que sus encargados gobernaban en la Nueva Espaa. Igual ocurri en sus otras colonias de Amrica. El origen de los auditores (ESPASA-CALPE, 1988) es la Curia Romana, tiene su origen en la Edad Media [...] El auditor Papae, que en un principio daba consejos en materia de teologa [...]; luego ejerca el poder civil y eclesistico y desde 1831 se entendi en ciertos asuntos disciplinarios.3 Aqu se presentan otros de los antecedentes que se pueden citar: a mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, que impuso la obligacin de ejecutar auditoras a los resultados financieros, el balance general, los registros con- 4 Auditora en sistemas computacionales 24. tables y las actividades financieras de las empresas pblicas. Dicha costumbre, aunque no fue de carcter impositivo en Estados Unidos, tambin se adopt en las empresas de ese pas, y se hizo extensiva a los contadores norteamericanos, quienes tuvieron que admitir una prctica similar, principalmente por los requisitos y disposiciones emi- tidos por la Comisin de Valores y Bolsa, los cuales solicitaban a los auditores independientes que dictaminaran sobre los estados de resultados de las empresas que cotizaban en la Bolsa de Valores de ese entonces. Otro posible origen lo representaron los auditores eclesisticos de la Rota Roma- na, a travs de tribunales pluripersonales, compuestos por 12 eclesisticos: ocho ita- lianos, dos espaoles, un alemn y un francs. Tambin se conocieron los auditores de la Marina y Guerra en 1894, a quienes se les considera como los responsables del cumplimiento de las leyes y principios de esta disciplina. A manera de concentrado de los antecedentes no contables de la auditora, se pueden sealar los siguientes: Auditores cannigos Auditores de la nunciatura Auditores de la Rota Romana Auditores de la Marina y Guerra Auditores de camareta Oidores de la colonia en la Nueva Espaa Algunos antecedentes ms recientes aparecen con la Revolucin Industrial, a par- tir de la sptima dcada de 1800; en ese entonces, algunas empresas haban alcanza- do gran auge en las actividades fabriles y mercantiles, lo cual trajo consigo un notable crecimiento en sus operaciones; obviamente, aument tambin la necesidad de registrar las operaciones contables, y con ello se hizo casi indispensable la existencia de la profesin de contador para satisfacer esa creciente necesidad. A la par creci la demanda de ejercer una mayor vigilancia del registro de operaciones financieras y la emisin de resultados financieros que realizaban esos nuevos profesionales, llegando a darse el caso de que el dictamen emitido por un contador independiente, que ejercie- ra la funcin de auditor, se consideraba totalmente confiable. As adquiri popularidad la funcin de la auditora y se destac como una actividad preponderante en la administracin de las empresas de ese entonces. En un principio, la auditora se consider como una rama complementaria de la contadura pblica, y slo se dedicaba a examinar los registros contables y la correcta presentacin de los estados financieros de las empresas. Posteriormente, dicha aplicacin se extendi a otros campos profesionales para ampliar su revisin; primero a los de carcter administrativo, despus a los asociados a otras actividades de la empresa, luego se extendi a las ramas de ingeniera, medicina, sistemas y as sucesivamente, hasta que su prctica alcanz a casi todas las disciplinas del quehacer humano. A pe- Conceptos generales 5 25. sar de la amplia gama de reas en donde se pueden aplicar auditoras, en cualquiera de ellas se tienen que considerar los mismos principios y fundamentos tericos y prcticos que le dan vigencia a esta profesin. Aunque la revisin de registros y cuentas se pueden considerar como el inicio de la auditora, su reconocimiento como profesin se inici en los albores del presente siglo. No obstante, tambin hay evidencias de que, a mediados del siglo pasado, los bri- tnicos, espaoles, estadounidenses, e incluso los mexicanos, iniciaron la actividad formal de la auditora. Debido a la abundancia de literatura sobre la auditora financiera, y a la profundidad con que numerosos autores han realizado el anlisis a la auditora de los estados financieros, en este captulo slo nos enfocaremos en conocer los antecedentes generales de la auditora de carcter administrativo y operacional, ya que de la conjugacin de esos tipos de auditora nacieron otros ms especializados, entre ellos la auditora de sistemas computacionales. Antecedentes de la auditora (siglo XX) Para hacer las referencias a estas auditoras, vamos a tomar como vlidos los antecedentes presentados en la tesis profesional de recientes titulados de la UVM,4 quienes culminaron su carrera de Licenciatura en Sistemas de Computacin Administrativa, producto de un profundo estudio e investigacin de carcter documental, complemen- tados con otras investigaciones; al respecto encontramos los siguientes datos, enfoca- dos exclusivamente a los antecedentes de la auditora de carcter administrativo y operacional, pero que pueden ser vlidos como antecedentes para este libro. En 1912, en el Instituto de Contadores Pblicos de Espaa, surge en forma colegiada la actividad del auditor, la cual tuvo una duracin muy efmera. En 1917, el Colegio de Censores de Bilbao. En 1932, T. G. Rose, consultor ingls en el Instituto de Administracin Industrial, expuso la tesis [...] Independientemente de la utilidad de la auditora financiera, tambin es til la auditora administrativa... En 1932, James McKinsey llega a la conclusin de que la empresa tena que hacer peridicamente una autoauditora, la cual consistira en una evaluacin de la empresa en todos los aspectos. En 1936, el Colegio de Contadores Jurados de Madrid. En 1945, el Instituto de Auditores Internos, en Estados Unidos, proporcion los primeros escritos sobre lo que sera la auditora de operaciones, tratando en una discusin de expertos lo referente al alcance de la auditora interna de operaciones tcnicas. En 1946, el Instituto de Censores Jurados de Cuentas de Espaa. 6 Auditora en sistemas computacionales 26. En 1948, Artur H. Kent, funcionario de la empresa Standard Oil of California, hizo importantes aportaciones sobre la auditora de operaciones. En 1950, Jackson Martindell, fundador del American Institute of Management, desarroll uno de los primeros programas de auditora administrativa, con un procedimiento de control directo y un sistema de evaluacin, el cual se public en su libro Apreciacin de la gerencia para ejecutores e inversionistas. En 1955, Larke A. G. plante la necesidad de llevar a cabo autoauditoras para las pequeas empresas, con el fin de evaluar su forma de actuar. En 1962, Willian P. Leornard realiz un estudio completo de la auditora administrativa. En ste trata los mtodos para iniciar, organizar, interpretar y presentar una revisin de carcter administrativo. En 1964, Cadmus y Bradford, quienes eran trabajadores del Instituto de Auditores Internos (en N. Y.), plantean en su publicacin Operational Auditing Handbook, N.Y., la necesidad de una auditora denominada auditora operativa, en la cual se seleccio- na una actividad para un cuidadoso y profundo estudio, apreciacin y evaluacin. En 1968, Rigg F. J., autor britnico, desarroll en su pas un moderno enfoque de la auditora administrativa, cuya aplicacin se extendi a travs de su obra The Ma- nagement Audit, the Internal Auditor. En 1968, John C. Burton, en su trabajo The Journal of Accountancy, N. Y., plante la importancia de estudiar de qu ndole sera la auditora administrativa y el grado de calificacin del auditor, as como de construir un marco total para la auditora administrativa. En 1969, Langenderfer H. Q. y Robertson J. C. exploraron brevemente el proble- ma de la definicin y cuestin de una exposicin detallada de la auditora administrativa. Propusieron tambin una estructura terica para extender la funcin de la auditora a todos los mbitos de la empresa, buscando con ello abarcar las auditoras independientes de gerencias. En 1970, Keith D. y Bloomstrom R. exponen que las auditoras administrativas se han desarrollado a travs de los aos como una forma de evaluar la eficiencia y la eficacia de varios sistemas de una organizacin, los cuales van desde la responsabilidad administrativa hasta su preocupacin social. Esta auditora se utiliza principalmente para los propsitos de planeacin, entre los cuales estn los siguientes: Investigar empresas para posibles fusiones o adquisiciones Determinar la solidez de un proveedor principal Averiguar los puntos dbiles y fuertes de una empresa competidora para ex- plorar mejor las ventajas competitivas de la propia empresa En 1977, Clark C. Arb presenta una perspectiva sobre el conocimiento de la me- dicin de la conducta social de las empresas. En sus conceptos de auditora social Conceptos generales 7 27. destaca la responsabilidad social, mediciones del comportamiento, auditoras sociales en decisiones administrativas y la implantacin de las auditoras. En 1980, Whitmore G. M. expone que la auditora administrativa se utiliza para apoyar a los funcionarios pblicos y gerentes de empresas privadas. Los aspectos que seala principalmente sobre el uso de esta tcnica en el mbito gubernamental, son las estrategias y los pasos necesarios para la conduccin de una auditora administrativa, haciendo nfasis en sus ventajas. En 1983, Spencer Hayden expuso la necesidad de evaluar los procedimientos administrativos y de aplicar las correcciones necesarias para lograr una mxima eficiencia en las actividades futuras. Tambin abund sobre un procedimiento propio de la auditora, el tratamiento con detalle del tema de la consultora administrativa, y enfoc a esta auditora dentro del camino al cambio organizacional. En 1984, Robert J. Thierauf habl sobre la auditora administrativa como una tcnica utilizada para evaluar las reas operacionales de una organizacin, enfocando su trabajo desde el punto de vista administrativo. Podramos seguir profundizando en los antecedentes de la auditora en los Estados Unidos y otros pases, pero no es el objetivo de este libro detallar sobre todos los antecedentes de la auditora administrativa, ni operacional, ni integral ni de cualquier otro tipo, sino que, al presentar estos antecedentes, se busca reconocer que la auditora de sistemas es el resultado de varias evoluciones de otros tipos de auditoras y que se apoya en ellas para su revisin, incluyendo varias de sus tcnicas y metodologas de evaluacin. Antecedentes de la auditora en Mxico (siglo XX) En Mxico existe tambin una gran cantidad de informacin sobre la auditora financiera, o por lo menos ms que en otros tipos de auditoras. Por esta razn considera- remos nicamente los antecedentes de la auditora operacional, administrativa e integral. Apoyados en las referencias de la tesis ya citada, a continuacin se muestran, en orden cronolgico, los escritores mexicanos ms relevantes en este campo:5 En 1960, A. Meja Fernndez destac la importancia de la auditora en su tesis recepcional, Auditora de las funciones de la gerencia de las empresas, presentada en la FCA de la UNAM en ese ao. En 1962, R. Macas Pineda present el trabajo recepcional, La auditora administrativa para el curso Teora de la Administracin, para el Doctorado de Ciencias Administrativas de la Escuela Superior de Comercio y Administracin (ESCA) del Instituto Politcnico Nacional. En 1964, M. DAzaola S. present, en la FCA de la UNAM, la tesis La revisin del proceso administrativo. 8 Auditora en sistemas computacionales 28. En 1966, J. A. Fernndez Arenas propuso la realizacin de la auditora administrativa, combinando los anlisis de objetivos, de recursos y del proceso administrativo. En 1969, Santilln Gonzlez propuso la realizacin de la auditora interna integral mediante una revisin total, tanto de los aspectos financieros como de los aspectos administrativos de las empresas. En 1970, R. Jimnez Reyes estudi el alcance, desarrollo y planeacin de la auditora administrativa. En 1978, el Colegio Nacional de Licenciados en Administracin (CONLA) publi- c, como resultado del 7 Congreso Nacional de Administracin, el trabajo donde se regulan las bases de las normas, alcances del auditor y del informe de auditora. En 1978, S. Cervantes Abreu present un trabajo en ese mismo foro, en el cual analiz la dinmica de la auditora administrativa, destacando los cuatro pasos b- sicos para su desarrollo: la recoleccin, la verificacin de datos, el estudio de las funciones, la revisin y evaluacin del control interno y del informe de la auditora. En 1981, V. M. Rubio y J. Hernndez F. presentaron una gua prctica de auditora administrativa, como parte de un mtodo para el diagnstico de la capacidad administrativa de las instituciones pblicas y privadas, con el fin de determinar sus puntos vulnerables y sugerir las medidas correctivas. As como en el punto anterior, podemos seguir profundizando sobre los antecedentes de la auditora administrativa, operacional y de otros tipos, pero el enfoque de este captulo no es hablar nicamente sobre esas auditoras, sino sobre la auditora de sistemas. Por esa razn, presentamos exclusivamente lo antes anotado. Antecedentes de la auditora de sistemas Al igual que en los puntos anteriores, en la auditora de sistemas computacionales tambin existen antecedentes en el mbito internacional. Sin embargo, el propsito de este libro no es profundizar en los orgenes de este tipo de auditora, debido a que sera ocioso y sin ningn beneficio prctico al carecer de evidencias comprobables sobre tales inicios. Sin embargo, para complementar este libro, citaremos a los principales autores sobre este tema en nuestro pas: En 1988, Echenique public su libro Auditora de sistemas, en el cual establece las principales bases para el desarrollo de una auditora de sistemas computacionales, dando un enfoque terico-prctico sobre el tema. En 1992, Lee present un libro en el cual enuncia los principales aspectos a evaluar en una auditora de sistemas, mediante una especie de gua que le indica al auditor los aspectos que debe evaluar en este campo. En 1993, Rosalva Escobedo Valenzuela presenta en la UVM una tesis de auditora a los centros de cmputo, como apoyo a la gerencia, destacando sus aspectos ms importantes. Conceptos generales 9 29. En 1994, G. Haffes, F. Holgun y A. Galn, en su libro sobre auditora de los estados financieros, presentan una parte relacionada con la auditora de sistemas, que profundiza en los aspectos bsicos de control de sistemas y se complementa con una serie de preguntas que permiten evaluar aspectos relacionados con este campo. En 1995, Ma. Guadalupe Buenda Aguilar y Edith Antonieta Campos de la O. presentan un tratado de auditora informtica (apoyndose en lo sealado por el maestro Echenique), en el cual presentan metodologas y cuestionarios tiles para realizar esta especialidad. En 1995, Yann Darrien presenta un enfoque particular sobre la auditora de sistemas. En 1996, Alvin A. Arens y James K. Loebbecke, en su libro Auditora. Un enfoque integral, de Prentice Hall Hispanoamericana, S. A., nos presentan una parte de esta obra como Auditora de Sistemas Complejos de PED. En 1996, Hernndez Hernndez propone la auditora en informtica, en la cual da ciertos aspectos relacionados con esta disciplina. En 1997, Francisco vila obtiene mencin honorfica en su examen profesional, en la UVM, Campus San Rafael, con una tesis en la cual propone un caso prctico de auditora de sistemas realizado en una empresa paraestatal. En 1998, Yann Darrien presenta Tcnicas de auditora, donde hace una propuesta de diversas herramientas de esta disciplina. En 1998, Mario G. Piattini y Emilio del Peso presentan Auditora informtica, un enfoque prctico, donde mencionan diversos enfoques y aplicaciones de esta disciplina. Conceptos bsicos sobre la auditora Como ya hemos mencionado, los campos de aplicacin de la auditora han evolucionado mucho, desde su uso en los aspectos netamente contables, hasta su uso en reas y disciplinas de carcter especial, como la ingeniera, la medicina y los sistemas computacionales. Evidentemente, junto con ese progreso, tambin se ha registrado el desarrollo de las tcnicas, mtodos, procedimientos y herramientas de cada uno de estos tipos de auditoras, as como un enfoque cada vez ms caracterstico y especializado hacia el uso de tcnicas ms apegadas al rea que se va a evaluar. Debido a esos constantes cambios, a continuacin citaremos el concepto ms amplio de la auditora, para de ah analizarlo de acuerdo con lo aportado por la Real Aca- demia Espaola y despus, con esa conceptualizacin, trasladarlo a una propuesta de clasificacin de los tipos de auditora. En forma general, la definicin que se propone para la auditora es la siguiente: 10 Auditora en sistemas computacionales 30. Es la revisin independiente de alguna o algunas actividades, funciones especficas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la auditora, con el propsito de evaluar su correcta realizacin y, con base en ese anlisis, poder emitir una opinin autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones. Como antecedentes acadmicos, se encontraron las siguientes expresiones: Auditor Del latn. Auditor, oris s. m 1. Persona capacitada para realizar auditoras en empresas u otras instituciones. Pertenece a un colegio oficial [...] 3. Auditor de guerra. Fun- cionario miembro del cuerpo jurdico del ejrcito que informa en los tribunales militares sobre la interpretacin o aplicacin de las leyes. 4. [...] auditor de la Rota. Ca- da uno de los doce miembros del tribunal romano de la Rota.6 F. Auditeur; It. uditore; In., C. P. uditor; A.; Zahurer[.] Del latn uditor; el que oye, del verbo audire. Or. Anteriormente, oyente.7 Auditora: [...] Supervisin de las cuentas de una empresa, hecha por decisin de un tribunal o a instancias de particular.8 [...] Revisin a la economa de una empresa [...]9 [...] Revisin de cuentas [...]10 1. Profesin de auditor. 2. Despacho o tribunal del auditor. 3. Revisin de cuentas, examen y evaluacin de la situacin financiera y administrativa de una institucin o empresa, realizados por especialistas ajenos a la misma.11 [...] Empleo, cargo de auditor. Tribunal o despacho de auditor.12 Audit: [...] Revisin o intervencin de cuentas [...] Verificar o revisar la contabilidad.13 Es un examen profesional y revisin de los registros, los procedimientos y las transacciones financieras de una organizacin hechas por especialistas [...] involucrados en la preparacin de esos informes. Con base en este examen, en su informe los auditores dan una opinin independiente de la organizacin de su posicin financiera, si los procedimientos y los controles apropiados se han seguido, y si los otros criterios han es- tado satisfechos en el desembolso de fondos. [...] Una revisin interna, conducida por empleados de la compaa, donde se prueba la suficiencia de los procedimientos y sistemas de contabilidad. [...] para determinar si la corporacin encuentra sus responsabilidades a empleados y sociedad.14 Constituye adaptacin popular del verbo ingls to Audit, el cual significa examinar, revisar cuentas.15 Conceptos generales 11 31. Clasificacin de los tipos de auditoras Para iniciar nuestro estudio, aqu proponemos que el anlisis de los conceptos anteriores se realice al amparo de la siguiente clasificacin de los tipos de auditoras, con el fin de identificar los criterios, caractersticas y especificaciones de esta disciplina profesional. Posteriormente nos concentraremos exclusivamente en los conceptos y definiciones de la auditora de sistemas computacionales. La clasificacin que se propone est integrada por el siguiente cuadro: Auditoras por su lugar de aplicacin Auditora externa Auditora interna Auditoras por su rea de aplicacin Auditora financiera Auditora administrativa Auditora operacional Auditora integral Auditora gubernamental Auditora de sistemas Auditoras especializadas en reas especficas Auditora al rea mdica (evaluacin mdico-sanitaria) Auditora al desarrollo de obras y construcciones (evaluacin de ingeniera) Auditora fiscal Auditora laboral Auditora de proyectos de inversin Auditora a la caja chica o caja mayor (arqueos) Auditora al manejo de mercancas (inventarios) Auditora ambiental Auditora de sistemas Auditora de sistemas computacionales Auditora informtica Auditora con la computadora Auditora sin la computadora Auditora a la gestin informtica Auditora al sistema de cmputo Auditora alrededor de la computadora Auditora de la seguridad de sistemas computacionales Auditora a los sistemas de redes Auditora integral a los centros de cmputo 12 Auditora en sistemas computacionales 32. Auditora ISO-9000 a los sistemas computacionales Auditora outsourcing Auditora ergonmica de sistemas computacionales Clasificacin de la auditora por su lugar de origen La primera clasificacin se refiere a la forma en que se realiza este tipo de trabajos, y tambin a cmo se establece la relacin laboral en las empresas donde se llevar a cabo la auditora; esto nos da un origen externo si el auditor no tiene relacin directa con la empresa, o un origen interno si existe alguna relacin de dicho auditor con la propia empresa. Auditora externa La principal caracterstica de este tipo de auditora es que la realizan auditores totalmente ajenos a la empresa, por lo menos en el mbito profesional y laboral; esto permite que el auditor externo utilice su libre albedro en la aplicacin de los mtodos, tcnicas y herramientas de auditora con las cuales har la evaluacin de las actividades y operaciones de la empresa que audita y, por lo tanto, la emisin de resultados ser absolutamente independiente. Su definicin es la siguiente: Es la revisin independiente* que realiza un profesional de la auditora, con total libertad de criterio y sin ninguna influencia, con el propsito de evaluar el desempeo de las actividades, operaciones y funciones que se realizan en la empresa que lo contrata, as como de la razonabilidad en la emisin de sus resultados financieros. La relacin de trabajo del auditor es ajena a la institucin donde se aplicar la auditora y esto le permite emitir un dictamen libre e independiente. Generalmente, estas auditoras externas son realizadas por grandes empresas y despachos independientes de auditores, los cuales, casi siempre gozan de gran popularidad y prestigio dentro del ambiente profesional. El mercado en el cual tienen mayor demanda y aplicacin estas auditoras es el mbito contable, fiscal y financiero de las instituciones, as como en aquellas actividades especficas que demandan una auditora externa a la empresa cuando existen condiciones especiales que se pretenden evaluar. Ventajas Al no tener ninguna dependencia de la empresa, el trabajo de estos auditores es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada. Conceptos generales 13 * Para el mejor entendimiento y distincin entre cada uno de los tipos de auditora que se proponen, en cada definicin se ponen en cursivas sus aspectos ms sobresalientes; el propsito es que usted, amigo lector, pueda distinguir la esencia de cada descripcin. 33. En su realizacin, estas auditoras pueden estar apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan tcnicas y herramientas que ya fueron probadas en otras empresas con caractersticas similares. Estas auditoras tienen gran aceptacin en las empresas para certificar registros contables, impuestos y resultados financieros. Adems, sus dictmenes pueden ser v- lidos para las autoridades impositivas, y con ello pueden satisfacer requisitos de carcter legal, siempre que sean realizadas por auditores de prestigio que tengan el reconocimiento pblico. Desventajas La principal desventaja es que, como el auditor conoce poco la empresa, su evaluacin puede estar limitada a la informacin que pueda recopilar. Dependen en absoluto de la cooperacin que el auditor pueda obtener de parte de los auditados. Su evaluacin, alcances y resultados pueden ser muy limitados. Muchas auditoras de este tipo se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan. En algunos casos son sumamente costosas para la empresa, no slo en el aspecto numerario, sino por el tiempo y trabajo adicional que representan. Auditora interna En la realizacin de estos tipos de evaluacin, el auditor que lleva a cabo la auditora labora en la empresa donde se realiza la misma y, por lo tanto, de alguna manera est involucrado en su operacin normal; debido a esto, el auditor puede tener algn tipo de dependencia con las autoridades de la institucin, lo cual puede llegar a influir en el juicio que emita sobre la evaluacin de las reas de la empresa. La definicin que se sugiere es: Es la revisin que realiza un profesional de la auditora, cuya relacin de trabajo es directa y subordinada a la institucin donde se aplicar la misma, con el propsito de evaluar en forma interna el desempeo y cumplimiento de las actividades, operaciones y funciones que se desarrollan en la empresa y sus reas administrativas, as como evaluar la razonabilidad en la emisin de sus resultados financieros. El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuacin administrativa, operacional y funcional de empleados y funcionarios de las reas que se auditan. Ventajas Debido a que el auditor pertenece a la empresa, casi siempre conoce integralmente sus actividades, operaciones y reas; por lo tanto, su revisin puede ser ms profunda 14 Auditora en sistemas computacionales 34. y con un mayor conocimiento de las actividades, funciones y problemas de la institucin. Por esta razn, el contenido de su informe es mucho ms valioso. El informe que rinde el auditor, independientemente del resultado, es slo de carcter interno y por lo tanto no sale de la empresa, ya que nicamente le sirve a las autoridades de la institucin. Esta auditora consume slo recursos internos, por lo tanto no representa ninguna erogacin adicional para la empresa en la cual se realiza. Es de gran utilidad para la buena marcha de la empresa, ya que permite detectar problemas y desviaciones a tiempo. Puede llevarse un programa concreto de evaluacin en apoyo a las autoridades de la empresa, lo cual ayudar a sus dirigentes en la evaluacin y la toma de decisiones. Desventajas Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede haber cierta injerencia por parte de las autoridades de la institucin sobre la forma de evaluar y emitir el informe. En ocasiones la opinin del auditor tal vez no sea absoluta, debido a que, al labo- rar en la misma empresa donde realiza la auditora, se pueden presentar presiones, compromisos y ciertos intereses al realizar la evaluacin. Se pueden presentar vicios de trabajo del auditor con relativa frecuencia, ya sea en las formas de utilizar las tcnicas y herramientas para aplicar la auditora, como en la forma de evaluar y emitir su informe sobre la misma. Clasificacin de auditoras por su rea de aplicacin La clasificacin aqu propuesta se refiere al mbito especfico donde se llevan a cabo las actividades y operaciones que sern auditadas, ubicando a cada tipo de auditora de acuerdo con el rea de trabajo e influencia de la rama o especialidad que ser evaluada. En atencin a dicho criterio, y debido a que podemos encontrar un sinnmero de clasificaciones de estos tipos de auditoras, todas vlidas, para nuestro anlisis de los conceptos generales slo nos concentraremos en presentar su clasificacin y una breve definicin de cada uno de los tipos, tomando en cuenta solamente su rea de aplicacin sin ir ms all, es decir, no se analizarn sus ventajas ni desventajas. Auditora financiera (contable) Inicialmente llamada auditora contable, en realidad fue el primer tipo de auditora que existi en el mbito comercial; en este tipo de auditora la principal actividad del auditor consiste en revisar la correcta y oportuna aplicacin de los registros contables y operaciones financieras de las empresas, con el propsito de comprobar que la emisin de los resultados financieros de un ejercicio fiscal cumpla con los principios contables que regulan las actividades del contador pblico y as poder emitir un dictamen sobre sus resultados financieros. La definicin que analizaremos es la siguiente: Conceptos generales 15 35. Es la revisin sistemtica, explorativa y crtica que realiza un profesional de la contabilidad a los libros y documentos contables, a los controles y registros de las operaciones financieras y a la emisin de los estados financieros de una empresa, con el fin de evaluar y opinar sobre la razonabilidad, veracidad, confiabilidad y oportunidad en la emisin de los resultados financieros obtenidos durante un periodo especfico o un ejercicio fiscal. El propsito final es emitir un dictamen contable sobre la correcta presentacin de los resultados financieros a los accionistas, clientes, autoridades fiscales y terceros interesados, en relacin con las utilidades, pago de impuestos y situacin financiera y econ- mica de la institucin. Actualmente este tipo de auditora se complementa con un anlisis financiero de los resultados obtenidos durante dicho ejercicio, para lo cual se utilizan diversas tcnicas de la ingeniera financiera y del anlisis contable. Auditora administrativa Despus de lo anterior, el siguiente paso de la auditora, muy importante por cierto, fue ampliar su mbito de evaluacin a las actividades administrativas de las empresas. Los auditores ya no se contentaban solamente con auditar los resultados financieros de las empresas, sino que les haca falta completar su trabajo; por eso procedieron a evaluar el adecuado cumplimiento de las funciones, actividades y operaciones de la empresa, principalmente en el aspecto administrativo. Por esta razn se le llam auditora administrativa. Su definicin es la siguiente: Es la revisin sistemtica y exhaustiva que se realiza a la actividad administrativa de una empresa, en cuanto a su organizacin, las relaciones entre sus in- tegrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones. Su propsito es evaluar tanto el desempeo administrativo de las reas de la empresa, como la planeacin y control de los procedimientos de operacin, y los mtodos y tcnicas de trabajo establecidos en la institucin, incluyendo la observancia de las normas, polticas y reglamentos que regulan el uso de todos sus recursos. Inicialmente esta auditora fue aplicada por contadores, pero debido a su propio campo de accin, as como a la importancia de esta materia, se extendi con rapidez a la profesin de licenciado en administracin y carreras similares, siendo ste uno de los principales espacios de accin de estos profesionales. Entre los primeros representantes del tema se encuentran Leonard, de Estados Unidos, y Fernndez Arena, de Mxico. Auditora operacional En un principio form parte de la evaluacin a las operaciones contables y administrativas de las empresas, pero su peso e importancia fueron tales que fue necesario ha- 16 Auditora en sistemas computacionales 36. cer auditoras a las operaciones de toda la institucin, dndose as una nueva especialidad, no slo en el campo de los administradores, sino en otras reas especializadas como la ingeniera, relaciones laborales y otras ramas que la utilizaban para evaluar las operaciones de cualquier rea de una institucin. Incluso en algunos casos fue de gran utilidad para el campo de organizacin, m- todos y procedimientos, las actividades fabriles y en s de la ingeniera aplicada. La definicin propuesta es la siguiente: Es la revisin exhaustiva, sistemtica y especfica que se realiza a las actividades de una empresa, con el fin de evaluar su existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo de sus operaciones, cualesquiera que stas sean, tanto en el establecimiento y cumplimiento de los mtodos, tcnicas y procedimientos de trabajo necesarios para el desarrollo de sus operaciones, en coordinacin con los recursos disponibles, como en las normas, polticas, lineamientos y capacitacin que regulan el buen funcionamiento de la empresa. Auditora integral Debido al constante crecimiento de las ramas en las que se poda utilizar la auditora, y a que cada vez exista una mayor interrelacin entre todas las operaciones y actividades de una empresa, casi siempre vinculadas entre s pero distintas con relacin a su contribucin a la actividad fundamental de la empresa, surgi la necesidad de avanzar en la rama de auditora, con el fin de buscar una forma de evaluacin global de todas las reas que participan en la vida productiva de las corporaciones. Por tal razn hubo la exigencia de encontrar mecanismos especiales con los cuales se pudieran evaluar conjuntamente todas esas actividades. Tras varias experimentaciones se logr lo anterior mediante la participacin de un grupo interdisciplinario de profesionales de diversas especialidades, quienes se agruparon en torno a la disciplina de la auditora con el fin de poder evaluar conjuntamente todas las reas, actividades, funciones y operaciones de las instituciones. La definicin de esta auditora es la siguiente: Es la revisin exhaustiva, sistemtica y global que realiza un equipo multidisci- plinario de profesionales a todas las actividades y operaciones de una empresa, con el propsito de evaluar, de manera integral, el correcto desarrollo de las funciones en todas sus reas administrativas, cualesquiera que stas sean, as como de evaluar sus resultados conjuntos y relaciones de trabajo, comunica- ciones y procedimientos interrelacionados que regulan la realizacin de las actividades compartidas para alcanzar el objetivo institucional; dicha revisin se lleva a cabo tambin a las normas, polticas y lineamientos sobre el uso de todos los recursos de la empresa. Conceptos generales 17 37. El propsito fundamental de este nuevo tipo de auditora tan especializado, es poder auditar de manera conjunta todas las actividades, funciones y operaciones de todas las reas de una empresa, con la posibilidad de evaluar al total de las ramas que conforman una empresa. En esta auditora se conjuga la participacin colegiada de muchos profesionales de distintas especialidades, quienes aparentemente no tienen relacin entre s por lo diferente de sus reas de actuacin, pero que al conjuntar sus trabajos contribuyen en gran medida a elevar los alcances, la profundidad y eficacia de la evaluacin de todas las reas de una misma empresa. Auditora gubernamental Esta auditora se realiza debido a que los gobiernos federal, estatal y/o municipal son los responsables de captar los ingresos aportados por los contribuyentes, y son tambin los encargados de manejar los egresos de carcter pblico para proporcionar el bienes- tar de la sociedad. Se realiza tambin debido a lo especializado que resulta el manejo apropiado de las actividades y operaciones gubernamentales requeridas para satisfacer las necesidades de la poblacin, y debido al cmulo de funciones especializadas de gobierno, las cuales regulan la actuacin de una entidad gubernamental a otra, aparentemente distintas entre s. Todo esto en conjunto hace que su evaluacin sea tambin muy especializada y con caractersticas muy particulares, ya que existe la necesidad de una vigilancia ms detallada de las funciones gubernamentales. Esta vigilancia debe ser muy estrecha en cuanto al adecuado manejo y cumplimiento de los programas, ingresos, egresos, acciones y funciones por parte de quienes tienen esta responsabilidad ante la sociedad, y adems se debe vigilar que todas esas acciones gubernamentales se cumplan conforme a lo regulado en las leyes federales, estatales y/o municipales. Debido al alto grado de especialidad que se requiere para auditar estas actividades y resultados gubernamentales, la auditora tradicional fue incapaz de evaluar esta necesidad. Por esta razn naci la llamada auditora gubernamental, la cual se puede definir de la siguiente manera: Es la revisin exhaustiva, sistemtica y concreta que se realiza a todas las actividades y operaciones de una entidad gubernamental, cualquiera que sea la naturaleza de las dependencias y entidades de la Administracin Pblica Fe- deral. Esta revisin se ejecuta con el fin de evaluar el correcto desarrollo de las funciones de todas las reas y unidades administrativas de dichas entidades, as como los mtodos y procedimientos que regulan las actividades necesarias para cumplir con los objetivos gubernamentales, estatales o municipales; tambin se lleva a cabo en la aplicacin y cumplimiento de presupuestos pblicos, programas, normas, polticas y lineamientos que regulan la participacin de los recursos de la entidad en la prestacin de servicios a la sociedad. 18 Auditora en sistemas computacionales 38. Esta definicin nos indica claramente cmo se satisfizo la necesidad de evolucionar hacia una auditora ms especializada con la cual se pudiera evaluar la correcta aplicacin de los presupuestos y gastos del gobierno, y con la que se tuviera la sufi- ciente capacidad para dictaminar acerca del adecuado cumplimiento de las actividades que son encomendadas a las diferentes dependencias gubernamentales e instituciones paraestatales de la federacin, los estados y municipios, mediante las tcnicas y procedimientos de la auditora. Auditora informtica Motivada por lo especializado de las actividades de cmputo, as como por el espec- tacular avance que han tenido estos sistemas en los ltimos aos, ha surgido una nueva necesidad de evaluacin para los auditores, quienes requieren una especializacin cada vez ms profunda en sistemas computacionales para dedicarse a este tipo de auditoras. Por ello naci la necesidad de evaluar no slo los sistemas, sino tambin la informacin, sus componentes y todo lo que est relacionado con dichos sistemas. La definicin propuesta es la siguiente: Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales, compartidos y/o de redes, as como a sus instalaciones, telecomu- nicaciones, mobiliario, equipos perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo. El propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la informacin y la emisin oportuna de sus resultados en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. Las definiciones anteriores son las ms comunes y conocidas en el ambiente de la auditora; sin embargo, existen otros tipos de auditoras ms especializados, por lo que es de suma importancia conocer las definiciones de esos modelos, mismas que se presentan a continuacin. Con esto se pretende establecer los diferentes criterios y reas especializadas de evaluacin que existen en esta materia para que el lector conozca dichos tipos de auditoras y pueda llegar a dominar su aplicacin. Definiciones de auditoras especializadas en reas especficas El avance de la auditora no se detiene y requiere una mayor especializacin en la evaluacin de las reas y ramas del desarrollo tecnolgico de nuestros das; por esta ra- Conceptos generales 19 39. zn, las auditoras son cada vez ms singulares y tienen aplicaciones muy peculiares, las cuales estn enfocadas a satisfacer las necesidades concretas de revisin y dictamen, segn la especialidad de que se trate. Es evidente que estos tipos de auditoras requieren algo ms que el uso de mtodos, tcnicas, herramientas y procedimientos tradicionales de la auditora, ya que deben evolucionar y adaptarse a las necesidades especficas de cada una de las reas en donde se llevar a cabo la evaluacin. Por ello cada da se tecnifican ms las auditoras. Existen muchos tipos de auditoras especializadas, pero de entre todas ellas citaremos slo las siguientes: Auditora al rea mdica (evaluacin mdico-sanitaria) Auditora al desarrollo de obras y construcciones (evaluacin de ingeniera) Auditora fiscal Auditora laboral Auditora de proyectos de inversin Auditora a la caja chica o caja mayor (arqueos) Auditora al manejo de mercancas (inventarios) Auditora ambiental A continuacin se proponen las definiciones formales para cada uno de los tipos de auditora aqu expuestos, con el propsito de dar a conocer sus antecedentes y conceptos generales. En estas definiciones no se presenta ningn comentario adicional. Auditora al rea mdica (evaluacin mdico sanitaria) Es la evaluacin sistemtica, exhaustiva y especializada que se realiza a las ciencias mdicas y de la salud, aplicada slo por especialistas de disciplinas mdicas o similares, con el fin de emitir un dictamen especializado sobre el correcto desempeo de las funciones y actividades del personal mdico, param- dico, tcnicos en salud y similares, as como sobre la atencin que las dependencias y el personal de esta especialidad prestan a pacientes, familia- res y proveedores. Auditora al desarrollo de obras y construcciones (evaluacin de ingeniera) Es la revisin tcnica especializada que se realiza a la edificacin de construcciones, cimientos, obra negra, acabados y servicios urbansticos complemen- tarios de casas, edificios, puentes, caminos, presas y cualquier otro tipo de construccin, ya sea de tipo civil y/o arquitectnico; dicha revisin se realiza tambin a los planos, presupuestos, adquisiciones, clculos y programas de obra, as como al cumplimiento y desarrollo de las mismas. Su propsito es 20 Auditora en sistemas computacionales 40. emitir un dictamen especializado sobre la correcta aplicacin de las tcnicas, clculos, mtodos y procedimientos de la ingeniera civil y la arquitectura. Auditora fiscal Es la revisin exhaustiva, pormenorizada y completa que se realiza a los registros y operaciones contables de una empresa, as como la evaluacin de la correcta elaboracin de los resultados financieros de un ejercicio fiscal, con el propsito de dictaminar sobre el correcto ejercicio financiero y la razonabilidad en la presentacin de los estados de resultados y, como consecuencia de ello, comprobar el correcto pago de los impuestos y dems contribuciones tributa- rias, tanto de la empresa como de sus empleados, acreedores y compradores. Auditora laboral Es la revisin y evaluacin especializadas que se realizan a las actividades, funciones y operaciones relacionadas con el factor humano de una empresa; su propsito es dictaminar sobre el adecuado cumplimiento en la seleccin, capacitacin y desarrollo del personal, la correcta aplicacin de las prestaciones sociales y econmicas, el establecimiento de las medidas de seguridad e higie- ne en la empresa, la elaboracin de los contratos colectivos e individuales de trabajo, los reglamentos internos de trabajo, normas de conducta y dems actividades que intervienen en la gestin de personal de una empresa. Auditora de proyectos de inversin Es la revisin y evaluacin que se realizan a los planes, programas y ejecucin de las inversiones de los recursos econmicos de una institucin pblica o pri- vada, con el propsito de dictaminar sobre el uso y control correctos de esos recursos, evaluando que su aplicacin sea exclusivamente para cumplir el objetivo del proyecto. Dicha revisin se realiza tambin a la ejecucin y control de los presupuestos, a la adquisicin y uso de recursos conforme a las normas y al cumplimiento correcto de las dems actividades especializadas del ejercicio presupuestal. Auditora a la caja chica o caja mayor (arqueos) Es la revisin peridica del manejo del efectivo que se asigna a una persona o rea de una empresa, y de los comprobantes de ingresos y egresos generados por sus operaciones cotidianas; dicha revisin se lleva a cabo con el fin de verificar el adecuado manejo, control y custodia del efectivo disponible para gastos menores, as como de evaluar el uso, custodia y manejo correctos de los Conceptos generales 21 41. fondos de la empresa. Por lo general, estas revisiones se realizan en forma peridica y de manera exhaustiva, dependiendo del monto asignado. Auditora al manejo de mercancas (inventarios) Es la revisin fsica que se realiza a travs del conteo (inventarios) de los bienes, productos y materias primas, intermedias o de consumo final de una empresa, los cuales se encuentran almacenados para su consumo final o para su distribucin a clientes y terceros; su propsito es verificar que las existencias fsicas concuerden con los registros contables, con los justificantes de las salidas y entradas y con las incidencias de stas, as como verificar el correcto manejo y control de las entradas, salidas, registros y ajustes necesarios que se hacen conforme a las caractersticas y polticas de la institucin. Auditora ambiental Es la evaluacin que se hace de la calidad del aire, la atmsfera, el ambiente, las aguas, ros, lagos y ocanos, as como de la conservacin de la flora y la fau- na silvestres, con el fin de dictaminar sobre las medidas preventivas y, en su caso, correctivas que disminuyan y eviten la contaminacin provocada por los individuos, las empresas, los automotores y las maquinarias, y as preservar la naturaleza y mejorar la calidad de vida de la sociedad. Es indudable que existen ms definiciones y tipos de auditoras especializadas; sin embargo, no citaremos ms conceptos, esto obedece a que la intencin de este libro no es presentar ni hacer un tratamiento de las diferentes formas de auditar, sino presentar algunas definiciones de auditora con el nico propsito de que a usted, amigo lector, le sirvan de referencia para entender los antecedentes e importancia de la auditora de sistemas computacionales, la cual trataremos ms adelante. Auditora de sistemas computacionales (Auditora informtica) Motivados por la importancia de continuar con la exposicin de las definiciones de cada uno de los tipos de auditoras, y debido a que la esencia de este libro es enfatizar la tras- cendencia, utilidad y especialidad de la auditora de sistemas computacionales (ASC), a continuacin presentamos cada una de las definiciones de auditoras especializadas de los sistemas computacionales, las cuales se aplican para las diferentes reas y disciplinas de este ambiente informtico. Estas definiciones contendrn nicamente la exposicin de los principales conceptos de esta auditora y, si es el caso, un breve comentario, ya que en los siguientes captulos profundizaremos en su estudio y aplicaciones. Las definiciones propuestas para la auditora de sistemas computacionales son las siguientes: 22 Auditora en sistemas computacionales 42. Auditora informtica Auditora con la computadora Auditora sin la computadora Auditora a la gestin informtica Auditora al sistema de cmputo Auditora en el entorno de la computadora Auditora sobre la seguridad de sistemas computacionales Auditora a los sistemas de redes Auditora integral a los centros de cmputo Auditora ISO-9000 a los sistemas computacionales Auditora outsorcing Auditora ergonmica de sistemas computacionales A continuacin, nicamente se hace la presentacin de las definiciones de cada uno de los tipos de auditora que se proponen en este estudio. Posteriormente se tra- tarn las aplicaciones especficas de cada clasificacin.* Auditora informtica Esta primera definicin se cita slo de manera general, debido a que alrededor de esta conceptualizacin se engloban todas las dems definiciones de auditora de sistemas, la cual se conoce tambin como auditora en sistemas, auditora en informtica o con otros nombres similares. Esta auditora se presenta en esta parte con el fin de completar las definiciones de auditora, ya que a lo largo de este libro no se utilizar ms este concepto de auditora global, sino que se particularizar de acuerdo con cada especialidad. La definicin de auditora de sistemas es la siguiente: Es la revisin tcnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e informacin utilizados en una empresa, sean individuales, compartidos y/o de redes, as como a sus instalaciones, telecomu- nicaciones, mobiliario, equipos perifricos y dems componentes. Dicha revisin se realiza de igual manera a la gestin informtica, el aprovechamien- to de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cmputo.** El propsito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la informacin y la emisin oportuna de sus Conceptos generales 23 * Aunque a primera vista pareciera que estas definiciones son repetitivas, tanto en sus conceptos, alcances y con- tenidos, me tom la libertad literaria para presentar en esta parte cada una de las definiciones tal y como es, con el nico propsito de que sirvan de referencia e identificacin para un mejor entendimiento de cada una de las des- cripciones de auditora. Espero que usted, amigo lector, me otorgue la dispensa necesaria para tolerar la aparente repeticin de conceptos. ** La letra cursiva de los prrafos nos indica los aspectos ms relevantes de la clasificacin. 43. resultados en la institucin, incluyendo la evaluacin en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. Auditora con la computadora En este tipo de auditora se puede distinguir como factor fundamental que su evaluacin se realiza con el apoyo de los sistemas computacionales, aunque pudiera darse el caso de que la auditora no se refiera a la evaluacin de estos sistemas, sino a cualquier otra disciplina ajena a ellos. Lo relevante es que dichos sistemas se utilizan para ayudar en tal evaluacin. Su definicin es la siguiente: Es la auditora que se realiza con el apoyo de los equipos de cmputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no nece- sariamente computarizadas, pero s susceptibles de ser automatizadas; dicha auditora se realiza tambin a las actividades del propio centro de sistemas y a sus componentes. La principal caracterstica de este tipo de auditora es que, sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para la evaluacin de las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditora. Auditora sin la computadora En este tipo de auditora se busca evaluar a los sistemas desde una ptica tradicional, contando con el apoyo de las tcnicas y procedimientos de evaluacin acostumbrados y sin el uso de los sistemas computacionales, aunque stos sean los que se evalen. Por lo general, esta auditora se enfoca en los aspectos operativos, financieros, administrativos y del personal de los centros de sistemas computacionales. Su definicin es la siguiente: Es la auditora cuyos mtodos, tcnicas y procedimientos estn orientados nicamente a la evaluacin tradicional del comportamiento y validez de las transacciones econmicas, administrativas y operacionales de un rea de cmputo, y en s de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informticos, pero dicha evaluacin se realiza sin el uso de los sistemas computacionales. Es tambin la evaluacin tanto a la estructura de organizacin, funciones y actividades de funcionarios y personal de un centro de cmputo, as como a los perfiles de sus puestos, como de los reportes, informes y bitcoras de los sistemas, de la existencia y aplicacin de planes, programas y presupuestos en dicho centro, as como del uso y aprovechamien- 24 Auditora en sistemas computacionales 44. to de los recursos informticos para la realizacin de actividades, operaciones y tareas. Asimismo, es la evaluacin de los sistemas de seguridad y prevencin de contingencias, de la adquisicin y uso del hardware, software y personal informtico, y en s de todo lo relacionado con el centro de cmputo, pero sin el uso directo de los sistemas computacionales. Auditora a la gestin informtica Esta auditora es, por lo general, de carcter administrativo y operacional; con su realizacin se busca evaluar la actividad

Documents

Auditoria en sistemas computacionales