SlideShare une entreprise Scribd logo

Control interno y auditoría de sistemas

Doris Suquilanda
Doris Suquilanda

control interno

Formation
1  sur  4
Télécharger pour lire hors ligne
NUEVAS TECNOLOGÍAS Fernando Pons Ortega Auditor Informático y Socio de Deloitte Auditoría Informática, una aproximación a la mejora del Control Interno INTRODUCCIÓN Los escándalos contables de principios de la década han provocado un aumen-to en la sensibilización, tanto de los reguladores como de las organizaciones (públicas y privadas) por el control interno. La existencias de nueva normativa al respecto (como por ejemplo la Sarbannes-Oaxley), las buenas prácticas de gobiernos corporativo, las necesidades de transparencia en la gestión como un activo más de las organizaciones, o la búsqueda de la eficiencia en los procesos internos han actuado durante los últimos años como catalizadores para la mejo-ra de los mecanismos de control interno en las organizaciones. Entramos así, en una fase de madurez de las organizaciones, en las que la mejora de la eficiencia y el control de sus actividades comienzan a ser una de las necesidades básicas. Dentro de las diferentes actividades que componen la estrategia de control interno de las organizaciones, el control sobre la gestión de los sistemas de información día a día adquiere una mayor relevancia. Para ello podemos encon-trar, de manera inmediata, algunas razones: • La creciente dependencia de las organizaciones y sus procesos (tanto internos como externos) respecto a sus sistemas de información. • Derivado de lo anterior, el aumento de la complejidad de los mismos, con entornos heterogéneos y abiertos, a la vez que integrados. • El éxito de las estrategias de externalización de la gestión de los sistemas de información, con los que la dependencia de los sistemas de información se refuerza con la dependencia de uno o varios proveedores de servicio. Prueba de la mayor importancia que el control sobre la gestión de los sis-temas de información gana día a día, son el hecho de que, por ejemplo, la nor-mativa europea de autorización de organismos pagadores, define, como uno de sus cuatro grandes criterios de autorización, el del fomento del uso de los sis-temas de información como soporte a todos sus procesos y el del estableci-miento de un Sistema Integrado de Gestión de la Seguridad (SGSI), que no es más que el reflejo del aumento del nivel de control sobre los Sistemas de Información. En este escenario, el papel de la auditoría informática se muestra como una nueva herramienta para la mejora del control interno en las organizaciones. Auditoría Pública nº 41 (2007) p.p. 97-100 97
NUEVAS TECNOLOGÍAS AUDITORÍA INFORMÁTICA COMO ELEMENTO DE CONTROL INTERNO En el momento en el que las organizaciones adquieren conciencia sobre la necesidad de aumen-tar el nivel de control sobre la gestión de sus siste-mas de información, surge la siguiente pregunta natural: ¿pero qué es realmente la auditoría infor-mática y cómo puede ayudarme? Es natural esta duda desde la perspectiva de que, tradicionalmente, los departamentos de control interno o auditoría interna, están compuestos por perfiles muy cercanos al negocio, principalmente financiero y, en algunos casos, operativo. A continuación intentaremos desgranar algunos de los ámbitos en los que la función de la auditoría informática puede ayudar a la mejora de los siste-mas de control interno de las organizaciones, a tra-vés de la propia evolución que la labor del auditor informático ha ido experimentando desde sus ini-cios. En sus inicios, el auditor informático surge como un apoyo a los tradicionales equipos de auditoría. Su labor de apoyo consistía básicamente en la obtención de información financiera de los sistemas de información en los que residía y tratarla, con herramientas específicas de tratamiento masivo de datos, para facilitar la labor de los equipos de audi-toría financiera. Entre las grandes ventajas que el apoyo del auditor informático ofrecía era el da la validación del total de la información disponible, en lugar de los habituales procedimientos de mues-treo. Dicha labor continúa siendo hoy día una de las principales tareas del auditor informático. Así, es fácil encontrar auditores informáticos tratando información para validar información contable compleja de obtener como pueden ser, por ejemplo, en el ámbito financiero, la validación del cálculo de la periodificación de intereses, o en ámbitos pro-ductivos el de la amortización de inmovilizados o la valoración de existencias. En paralelo, el hecho de que, cada vez más, la información contable de las organizaciones fuese tratada automáticamente y casi por completo en sis-temas informáticos, condujo a una nueva preocupa-ción. ¿Son íntegros los datos de que dispone el equi-po de auditoría? Con esa preocupación, poco a poco, en esa labor de apoyo al auditor financiero, el audi-tor informático pasa, de meramente tratar los datos contables, a cuestionarse la fiabilidad de los mis-mos. Comienza entonces a plantearse nuevos objeti-vos de control, como son el control de acceso sobre la información, la gestión de autorizaciones, y los mecanismos de registro de actividad sobre dicha información. En el momento en el que el auditor informático comienza a plantearse objetivos de control sobre quién debe acceder a qué información, qué puede hacer con ella, o a cuestionarse la integridad de la misma, comienza a necesitar y a obtener un conoci-miento profundo sobre los procesos de negocio de la compañía. Por otra parte, la integración de dichos procesos en aplicaciones informáticas, provoca que gran parte de los controles que se aplican sobre los mismos se definan en dichas aplicaciones. A partir de este instante, la labor del auditor informático comienza a confluir con la del auditor financiero, adquiriendo una doble versión de especialista en la 98 Abril nº 41 - 2007
definición de procesos de control interno en los pro-cesos de negocio y en su aplicación o análisis sobre los sistemas de información que los soportan. Finalmente, en paralelo a la función de apoyo de la auditoría financiera, comenzaron a plantearse nuevas funciones relacionadas con la auditoría informática. Entre los principales impulsores de esas nuevas funciones, podemos encontrar: • Los reguladores, que empezaron a generar nor-mativa específica aplicable sobre los sistemas de información de las organizaciones y sus procesos de gestión. Los ejemplos más conocidos son la Ley Orgánica de Protección de Datos (LOPD en adelante en este documento), desarrollada por el Reglamento de Medidas de Seguridad recogido en el Real Decreto 994/1999, o la Ley de Servi-cios de la Sociedad de la Información. • Los sistemas de comercio electrónico, tanto entre organizaciones (B2B), como orientada a clientes finales (B2C), que han impulsado la mejora de los procesos de comercialización de productos pero a la vez han abierto la puerta a nuevos riesgos deri-vados de la necesidad de “abrir” los sistemas de información de las organizaciones a terceros. • El aumento de la complejidad de los sistemas de información y la dependencia de las organizacio-nes respecto a los mismos, que en ocasiones se muestran opacos para la dirección de las organi-zaciones y para sus usuarios. Con ellos, se generó una sensibilización hacia la seguridad de los sistemas de información, enten-diendo la misma desde los tres puntos de vista tra-dicionales: • Confidencialidad. • Disponibilidad. • Integridad. Y con ella, los auditores informáticos comenza-ron a analizar los riesgos asociados al uso de los sis-temas de información y los controles destinados a garantizar sus tres pilares básicos. Así, se platean nuevas funciones como la de análisis de vulnerabili-dades de los sistemas y aplicaciones, evaluación de Auditoría Informática, una aproximación a la mejora del Control Interno planes de continuidad de negocio, y, en general, el análisis de los procesos de gestión de los sistemas de información. En definitiva, el papel actual del auditor infor-mático dentro de las organizaciones lo podemos resumir en dos grandes tareas principales: • Apoyo del auditor interno, en la definición y aplicación de controles sobre los procesos de negocio de las organizaciones, en tanto que gran parte de los mismos se aplican desde sus sistemas de información. • Auditoría de la gestión de los sistemas de infor-mación, que se plantea básicamente dos objeti-vos: - Que los sistemas de información soportan ade-cuada y eficientemente los procesos de negocio de las organizaciones. - Que la información tratada por los sistemas de información dispone de un nivel de seguridad adecuado a su valor y a los riesgos asociados a su uso. OPCIONES DE IMPLANTACIÓN Una vez que las organizaciones adquieren con-ciencia de la necesidad de disponer de una función de auditoría informática y de qué objetivos persigue con ella, surge la siguiente cuestión; ¿cómo lo llevo a la práctica de mi organización? No nos debe gene-rar gran preocupación el encontrarnos con esta cues-tión sin tener muy clara la respuesta. A día de hoy, no es atrevido decir que el 80% de las organizacio-nes en España se encuentran todavía en este punto, y que sólo un 20% (principalmente entidades financieras y aseguradoras), lo tienen resuelto. A la hora de formalizar la función de auditoría informática dentro de una organización, existen varias alternativas y, a su vez, diferentes puntos a considerar: • La complejidad de los sistemas de información de nuestra organización y la dependencia de nues-tros procesos internos respecto a los mismos (no sólo en términos de disponibilidad, sino también de confidencialidad e integridad). Auditoría Pública nº 41 (2007) p.p. 97-100 99
NUEVAS TECNOLOGÍAS • El nivel de especialización necesario para llevar a cabo dicha función. La complejidad de nuestros sistemas de infor-mación nos puede dar una medida del volumen de trabajo potencial que podría realizar la función de auditoría informática en nuestra org a n i z a c i ó n . Para muchas organizaciones, la complejidad de sus entornos todavía puede no ser tal como para requerir una dedicación “full-time” de personal para el desarrollo de la función de auditoría infor-mática. Por otra parte, de acuerdo a las funciones típicas del auditor informático, descritas en el punto ante-rior, el perfil del auditor informático es un perfil muy específico. Si desgranamos un poco los princi-pales “skills” del auditor informático, nos encontra-mos: • Buen conocimiento de los procesos de negocio. • Buenos conocimientos contables. • Conocimientos informáticos desde varios puntos de vista: - Programación. - Administrador de sistemas. - Administrador de Bases de datos. - Herramientas de auditoría informática. - Soluciones de seguridad. • Nociones de manejo normativo. En ocasiones, las tendencias naturales a la hora de cubrir las necesidades de auditoría informática son básicamente dos: • Reaprovechar a algún auditor interno con cono-cimientos avanzados de informática. • Incluir un informático dentro del equipo de auditoría interna. En ambos casos, desde nuestra experiencia pode-mos contar algunas excepciones dentro de un nutri-do número de decepciones, tanto para la organiza-ción como para el empleado que se ve responsable de una función a la que no sabe muy bien cómo dotar de contenido. Desde los dos puntos de vista antes mencionados, una opción razonable, al menos en el arranque de la función de auditoria informática, es la de contar con el soporte de expertos en la materia. Así, como decíamos anteriormente, podemos encontrar diferentes aproximaciones a la hora de formalizar la función de auditoría informática den-tro de las organizaciones: • Externalizar totalmente la función, mediante acuerdo marcos, en los que, de manera mixta, la organización y expertos en la materia definen los objetivos de control y son los expertos los que desarrollan los trabajos de auditoría. • Arrancar de manera inicial la función de audito-ría informática, dotando a la organización de per-sonal dedicado a ello, con el apoyo de expertos que asesoren a la hora de dotar de contenido a la función y formar al personal interno en el des-arrollo de las habilidades necesarias. • Dotar a la organización de recursos específicos dedicados en exclusiva a la función de auditoría informática. Cualquiera de las anteriores será válida en fun-ción del análisis que cada organización haga de sus necesidades en este sentido. Así, podemos encontrar entidades financieras que han optado con éxito por externalizar totalmente su función de auditoría informática, contando siempre con expertos en cada materia concreta, mediante acuerdos marcos, mien-tras que otras han optado por dotar de personal interno dicha función y acometerlo totalmente de manera interna. CONCLUSIÓN A medida que las organizaciones adquieren mayor tamaño, y una mayor sensibilidad por el con-trol interno, en la búsqueda de la eficiencia en sus procesos, la necesidad de formalizar la función de auditoría informática se hace más patente. A la hora de formalizar dicha función, las organi-zaciones deben tener muy presentes los objetivos que se plantean con ella, sus necesidades en cuanto a recursos y las diferentes estrategias que se pueden adoptar para ello, sin olvidar la posibilidad de externalizar total o parcialmente la función. 100 Abril nº 41 - 2007

Recommandé

Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasWidmanCardona
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TArmando
 
Auditoria de sistemas, Licenciamiento del Software y El Inventario del Software
Auditoria de sistemas, Licenciamiento del Software y El Inventario del SoftwareAuditoria de sistemas, Licenciamiento del Software y El Inventario del Software
Auditoria de sistemas, Licenciamiento del Software y El Inventario del SoftwareJoseMariaMenjivarMen
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasCarlosLopez1581
 
Lectura 5
Lectura 5Lectura 5
Lectura 5Juan Carlos Figueroa Lozano
 
Cap2 laudon
Cap2 laudonCap2 laudon
Cap2 laudonkaluroso_
 
Tema 1
Tema 1Tema 1
Tema 1Carmelo Branimir España Villegas
 

Recommandé

Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasWidmanCardona
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TArmando
 
Auditoria de sistemas, Licenciamiento del Software y El Inventario del Software
Auditoria de sistemas, Licenciamiento del Software y El Inventario del SoftwareAuditoria de sistemas, Licenciamiento del Software y El Inventario del Software
Auditoria de sistemas, Licenciamiento del Software y El Inventario del SoftwareJoseMariaMenjivarMen
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticaJuan Prieto
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasCarlosLopez1581
 
Lectura 5
Lectura 5Lectura 5
Lectura 5Juan Carlos Figueroa Lozano
 
Cap2 laudon
Cap2 laudonCap2 laudon
Cap2 laudonkaluroso_
 
Tema 1
Tema 1Tema 1
Tema 1Carmelo Branimir España Villegas
 
Ensayo
EnsayoEnsayo
EnsayoCarol Ruiz Paredes
 
La función informática
La función informáticaLa función informática
La función informáticaFerca Contreras Ramirez
 
Sistema de Información
Sistema de InformaciónSistema de Información
Sistema de InformaciónAriannaMarquez1
 
Procesamiento de datos unidad iii(2)
Procesamiento de datos unidad iii(2)Procesamiento de datos unidad iii(2)
Procesamiento de datos unidad iii(2)AdrianaCeciliaBA
 
Ensayo de sistemas de información en ciencias empresariales
Ensayo de sistemas de información en ciencias empresarialesEnsayo de sistemas de información en ciencias empresariales
Ensayo de sistemas de información en ciencias empresarialesFelipe Schmidt
 
Cap3 laudon
Cap3 laudonCap3 laudon
Cap3 laudonkaluroso_
 
Cap 1 los sistemas de información en los negocios globales
Cap 1 los sistemas de información en los negocios globalesCap 1 los sistemas de información en los negocios globales
Cap 1 los sistemas de información en los negocios globalesalejandro831
 
Cap1 laudon
Cap1 laudonCap1 laudon
Cap1 laudonkaluroso_
 
Sistemas de información laudon
Sistemas de información laudonSistemas de información laudon
Sistemas de información laudonPontificia Universidad Javeriana
 
Caso PráCtico De Sig
Caso PráCtico De SigCaso PráCtico De Sig
Caso PráCtico De Sigguestf95f6ea
 
Informe de analisis del caso estadistico
Informe de analisis del caso estadisticoInforme de analisis del caso estadistico
Informe de analisis del caso estadisticoSARITA ANA PAREDES RUIZ
 
Importancia de los sistemas de informacion
Importancia de los sistemas de informacionImportancia de los sistemas de informacion
Importancia de los sistemas de informacionC-Reinoso45
 
Paper c1
Paper c1Paper c1
Paper c1milton.guaman
 
Presentacion Sistemas de Informacion Capitulo I
Presentacion Sistemas de Informacion Capitulo IPresentacion Sistemas de Informacion Capitulo I
Presentacion Sistemas de Informacion Capitulo IDiana Isamar Amador Rodriguez
 
Ensayo sistemas de informacion
Ensayo sistemas de informacionEnsayo sistemas de informacion
Ensayo sistemas de informacionDaniela Borjas
 
Sistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaSistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaRicardo Mansilla
 
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...IsaacEnrique3
 
PREGUNTAS DE PROGRAMACION
PREGUNTAS DE PROGRAMACIONPREGUNTAS DE PROGRAMACION
PREGUNTAS DE PROGRAMACIONSANTACRUZ12
 
Importancia de la tecnologia en la educacion
Importancia de la tecnologia en la educacionImportancia de la tecnologia en la educacion
Importancia de la tecnologia en la educacionfelipedelgado940816
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informaticoesyei07
 
La evolución de los automóviles
La evolución de los automóvilesLa evolución de los automóviles
La evolución de los automóvilesjoseptower
 
Arte
ArteArte
ArteGaby Felandro
 

Contenu connexe

Tendances

Procesamiento de datos unidad iii(2)
Procesamiento de datos unidad iii(2)Procesamiento de datos unidad iii(2)
Procesamiento de datos unidad iii(2)AdrianaCeciliaBA
 
Ensayo de sistemas de información en ciencias empresariales
Ensayo de sistemas de información en ciencias empresarialesEnsayo de sistemas de información en ciencias empresariales
Ensayo de sistemas de información en ciencias empresarialesFelipe Schmidt
 
Cap 1 los sistemas de información en los negocios globales
Cap 1 los sistemas de información en los negocios globalesCap 1 los sistemas de información en los negocios globales
Cap 1 los sistemas de información en los negocios globalesalejandro831
 
Caso PráCtico De Sig
Caso PráCtico De SigCaso PráCtico De Sig
Caso PráCtico De Sigguestf95f6ea
 
Informe de analisis del caso estadistico
Informe de analisis del caso estadisticoInforme de analisis del caso estadistico
Informe de analisis del caso estadisticoSARITA ANA PAREDES RUIZ
 
Importancia de los sistemas de informacion
Importancia de los sistemas de informacionImportancia de los sistemas de informacion
Importancia de los sistemas de informacionC-Reinoso45
 
Ensayo sistemas de informacion
Ensayo sistemas de informacionEnsayo sistemas de informacion
Ensayo sistemas de informacionDaniela Borjas
 
Sistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaSistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaRicardo Mansilla
 

Tendances (16)

Ensayo
EnsayoEnsayo
Ensayo
 
La función informática
La función informáticaLa función informática
La función informática
 
Sistema de Información
Sistema de InformaciónSistema de Información
Sistema de Información
 
Procesamiento de datos unidad iii(2)
Procesamiento de datos unidad iii(2)Procesamiento de datos unidad iii(2)
Procesamiento de datos unidad iii(2)
 
Ensayo de sistemas de información en ciencias empresariales
Ensayo de sistemas de información en ciencias empresarialesEnsayo de sistemas de información en ciencias empresariales
Ensayo de sistemas de información en ciencias empresariales
 
Cap3 laudon
Cap3 laudonCap3 laudon
Cap3 laudon
 
Cap 1 los sistemas de información en los negocios globales
Cap 1 los sistemas de información en los negocios globalesCap 1 los sistemas de información en los negocios globales
Cap 1 los sistemas de información en los negocios globales
 
Cap1 laudon
Cap1 laudonCap1 laudon
Cap1 laudon
 
Sistemas de información laudon
Sistemas de información laudonSistemas de información laudon
Sistemas de información laudon
 
Caso PráCtico De Sig
Caso PráCtico De SigCaso PráCtico De Sig
Caso PráCtico De Sig
 
Informe de analisis del caso estadistico
Informe de analisis del caso estadisticoInforme de analisis del caso estadistico
Informe de analisis del caso estadistico
 
Importancia de los sistemas de informacion
Importancia de los sistemas de informacionImportancia de los sistemas de informacion
Importancia de los sistemas de informacion
 
Paper c1
Paper c1Paper c1
Paper c1
 
Presentacion Sistemas de Informacion Capitulo I
Presentacion Sistemas de Informacion Capitulo IPresentacion Sistemas de Informacion Capitulo I
Presentacion Sistemas de Informacion Capitulo I
 
Ensayo sistemas de informacion
Ensayo sistemas de informacionEnsayo sistemas de informacion
Ensayo sistemas de informacion
 
Sistemas De Informacion En La Empresa
Sistemas De Informacion En La EmpresaSistemas De Informacion En La Empresa
Sistemas De Informacion En La Empresa
 

En vedette

Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...IsaacEnrique3
 
PREGUNTAS DE PROGRAMACION
PREGUNTAS DE PROGRAMACIONPREGUNTAS DE PROGRAMACION
PREGUNTAS DE PROGRAMACIONSANTACRUZ12
 
Importancia de la tecnologia en la educacion
Importancia de la tecnologia en la educacionImportancia de la tecnologia en la educacion
Importancia de la tecnologia en la educacionfelipedelgado940816
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informaticoesyei07
 
La evolución de los automóviles
La evolución de los automóvilesLa evolución de los automóviles
La evolución de los automóvilesjoseptower
 
Trabajo final blog 1
Trabajo final blog 1Trabajo final blog 1
Trabajo final blog 1Mirta14
 
Historia de las matemáticas. Gisela. 4tA
Historia de las matemáticas. Gisela. 4tAHistoria de las matemáticas. Gisela. 4tA
Historia de las matemáticas. Gisela. 4tAmgalmes
 
Encuesta mirian y dorali
Encuesta mirian y doraliEncuesta mirian y dorali
Encuesta mirian y doralisantarosalfaro
 
KENNEDY CULTURAL Y ARTISTICO
KENNEDY CULTURAL Y ARTISTICOKENNEDY CULTURAL Y ARTISTICO
KENNEDY CULTURAL Y ARTISTICOLeidy Castrillon
 
La neurociencia en los primeros años de vida
La neurociencia en los primeros años de vidaLa neurociencia en los primeros años de vida
La neurociencia en los primeros años de vidavaleleandrea
 
Prueba para tabla de especificación
Prueba para tabla de especificaciónPrueba para tabla de especificación
Prueba para tabla de especificacións_mansilla
 
Sistema de control iso 9000 luisvia
Sistema de control iso 9000 luisviaSistema de control iso 9000 luisvia
Sistema de control iso 9000 luisvialusvia3
 

En vedette (20)

Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
Laetnografiajuridicaunmetodoparaeldesarrollodeinvestigacionesempiricasenelcam...
 
PREGUNTAS DE PROGRAMACION
PREGUNTAS DE PROGRAMACIONPREGUNTAS DE PROGRAMACION
PREGUNTAS DE PROGRAMACION
 
Importancia de la tecnologia en la educacion
Importancia de la tecnologia en la educacionImportancia de la tecnologia en la educacion
Importancia de la tecnologia en la educacion
 
Diccionario informatico
Diccionario informaticoDiccionario informatico
Diccionario informatico
 
La evolución de los automóviles
La evolución de los automóvilesLa evolución de los automóviles
La evolución de los automóviles
 
Arte
ArteArte
Arte
 
Trabajo final blog 1
Trabajo final blog 1Trabajo final blog 1
Trabajo final blog 1
 
Historia de las matemáticas. Gisela. 4tA
Historia de las matemáticas. Gisela. 4tAHistoria de las matemáticas. Gisela. 4tA
Historia de las matemáticas. Gisela. 4tA
 
Familia triggrr ( papa)
Familia triggrr ( papa)Familia triggrr ( papa)
Familia triggrr ( papa)
 
Encuesta mirian y dorali
Encuesta mirian y doraliEncuesta mirian y dorali
Encuesta mirian y dorali
 
KENNEDY CULTURAL Y ARTISTICO
KENNEDY CULTURAL Y ARTISTICOKENNEDY CULTURAL Y ARTISTICO
KENNEDY CULTURAL Y ARTISTICO
 
Gpap a10 lactanciam
Gpap a10 lactanciamGpap a10 lactanciam
Gpap a10 lactanciam
 
Tribus urbanas
Tribus urbanasTribus urbanas
Tribus urbanas
 
La neurociencia en los primeros años de vida
La neurociencia en los primeros años de vidaLa neurociencia en los primeros años de vida
La neurociencia en los primeros años de vida
 
Noticia serna
Noticia sernaNoticia serna
Noticia serna
 
Trata de personas3
Trata de personas3Trata de personas3
Trata de personas3
 
Prueba para tabla de especificación
Prueba para tabla de especificaciónPrueba para tabla de especificación
Prueba para tabla de especificación
 
La comunicación
La comunicaciónLa comunicación
La comunicación
 
Sistema de control iso 9000 luisvia
Sistema de control iso 9000 luisviaSistema de control iso 9000 luisvia
Sistema de control iso 9000 luisvia
 
271 628-1-pb
271 628-1-pb271 628-1-pb
271 628-1-pb
 

Similaire à Control interno y auditoría de sistemas

Importancia de las tics en la auditoria
Importancia de las tics en la auditoriaImportancia de las tics en la auditoria
Importancia de las tics en la auditoriaroumi2010
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Jose Olivera
 
Presentacion br ricardo araguache
Presentacion br ricardo araguachePresentacion br ricardo araguache
Presentacion br ricardo araguacheRicardoAraguache1
 
Auditoria de sistemas 2
Auditoria de sistemas 2Auditoria de sistemas 2
Auditoria de sistemas 2Kelly-A
 
La auditoría informática
La auditoría informáticaLa auditoría informática
La auditoría informáticaLeogenis Leon
 
Generalidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasGeneralidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasWillians Manganiello Cadenas
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasLuisCaldern48
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TArmando
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TArmando
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TArmando
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TArmando
 
COMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOCOMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOBelkys Peña
 
La contabilidad como sistema de información(1)
La contabilidad como sistema de información(1)La contabilidad como sistema de información(1)
La contabilidad como sistema de información(1)AndreaFreitez
 

Similaire à Control interno y auditoría de sistemas (20)

Importancia de las tics en la auditoria
Importancia de las tics en la auditoriaImportancia de las tics en la auditoria
Importancia de las tics en la auditoria
 
Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011Ensayo sia auditoría informatica 29.05.2011
Ensayo sia auditoría informatica 29.05.2011
 
Presentacion br ricardo araguache
Presentacion br ricardo araguachePresentacion br ricardo araguache
Presentacion br ricardo araguache
 
Auditoria de sistemas 2
Auditoria de sistemas 2Auditoria de sistemas 2
Auditoria de sistemas 2
 
La auditoría informática
La auditoría informáticaLa auditoría informática
La auditoría informática
 
Auditoria de sistemas ok
Auditoria de sistemas okAuditoria de sistemas ok
Auditoria de sistemas ok
 
Generalidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemasGeneralidades y fundamentos de la auditoria de sistemas
Generalidades y fundamentos de la auditoria de sistemas
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I T
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I T
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I T
 
M A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I TM A R C O D E R E F E R E N C I A C O B I T
M A R C O D E R E F E R E N C I A C O B I T
 
COMPONENTES DEL MERCADO
COMPONENTES DEL MERCADOCOMPONENTES DEL MERCADO
COMPONENTES DEL MERCADO
 
Tema 1
Tema 1Tema 1
Tema 1
 
La contabilidad como sistema de información(1)
La contabilidad como sistema de información(1)La contabilidad como sistema de información(1)
La contabilidad como sistema de información(1)
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria%20de%20sistemas%20ok
Auditoria%20de%20sistemas%20okAuditoria%20de%20sistemas%20ok
Auditoria%20de%20sistemas%20ok
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria informatica
Auditoria informatica Auditoria informatica
Auditoria informatica
 

Plus de Doris Suquilanda

Universidad de guayaquil clase 5
Universidad de guayaquil clase 5Universidad de guayaquil clase 5
Universidad de guayaquil clase 5Doris Suquilanda
 
Proceso de la auditoría de sistemas basada en
Proceso de la auditoría de sistemas basada enProceso de la auditoría de sistemas basada en
Proceso de la auditoría de sistemas basada enDoris Suquilanda
 
Generación de las computadoras
Generación de las computadorasGeneración de las computadoras
Generación de las computadorasDoris Suquilanda
 
Sociedad de la información
Sociedad de la informaciónSociedad de la información
Sociedad de la informaciónDoris Suquilanda
 
Tecnologia Educativa Multimedia
Tecnologia Educativa MultimediaTecnologia Educativa Multimedia
Tecnologia Educativa MultimediaDoris Suquilanda
 

Plus de Doris Suquilanda (20)

Universidad de guayaquil clase 5
Universidad de guayaquil clase 5Universidad de guayaquil clase 5
Universidad de guayaquil clase 5
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
Comunicación
ComunicaciónComunicación
Comunicación
 
Caso de estudio
Caso de estudioCaso de estudio
Caso de estudio
 
Proceso de la auditoría de sistemas basada en
Proceso de la auditoría de sistemas basada enProceso de la auditoría de sistemas basada en
Proceso de la auditoría de sistemas basada en
 
Manual wordbasico2010
Manual wordbasico2010Manual wordbasico2010
Manual wordbasico2010
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemas
 
Control Interno
Control InternoControl Interno
Control Interno
 
Auditoría de sistemas
Auditoría de sistemasAuditoría de sistemas
Auditoría de sistemas
 
Trabajo Areas Gobierno TI
Trabajo Areas Gobierno TITrabajo Areas Gobierno TI
Trabajo Areas Gobierno TI
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
Práctica
PrácticaPráctica
Práctica
 
Modulo básico de windows
Modulo básico de windowsModulo básico de windows
Modulo básico de windows
 
Hardware y software
Hardware y softwareHardware y software
Hardware y software
 
Historia del computador
Historia del computadorHistoria del computador
Historia del computador
 
Generación de las computadoras
Generación de las computadorasGeneración de las computadoras
Generación de las computadoras
 
Sociedad de la información
Sociedad de la informaciónSociedad de la información
Sociedad de la información
 
Tic
TicTic
Tic
 
Tecnologia Educativa Multimedia
Tecnologia Educativa MultimediaTecnologia Educativa Multimedia
Tecnologia Educativa Multimedia
 
Prueba
PruebaPrueba
Prueba
 

Dernier

Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxFernando Solis
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIIsauraImbrondone
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dstEphaniiie
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONALMiNeyi1
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docRodneyFrankCUADROSMI
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxlclcarmen
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfUPTAIDELTACHIRA
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docxEliaHernndez7
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptAlberto Rubio
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdfMiNeyi1
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024IES Vicent Andres Estelles
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxiemerc2024
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfAlfaresbilingual
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 

Dernier (20)

Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
5.- Doerr-Mide-lo-que-importa-DESARROLLO PERSONAL
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Infografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdfInfografía EE con pie del 2023 (3)-1.pdf
Infografía EE con pie del 2023 (3)-1.pdf
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 

Control interno y auditoría de sistemas

  • 1. NUEVAS TECNOLOGÍAS Fernando Pons Ortega Auditor Informático y Socio de Deloitte Auditoría Informática, una aproximación a la mejora del Control Interno INTRODUCCIÓN Los escándalos contables de principios de la década han provocado un aumen-to en la sensibilización, tanto de los reguladores como de las organizaciones (públicas y privadas) por el control interno. La existencias de nueva normativa al respecto (como por ejemplo la Sarbannes-Oaxley), las buenas prácticas de gobiernos corporativo, las necesidades de transparencia en la gestión como un activo más de las organizaciones, o la búsqueda de la eficiencia en los procesos internos han actuado durante los últimos años como catalizadores para la mejo-ra de los mecanismos de control interno en las organizaciones. Entramos así, en una fase de madurez de las organizaciones, en las que la mejora de la eficiencia y el control de sus actividades comienzan a ser una de las necesidades básicas. Dentro de las diferentes actividades que componen la estrategia de control interno de las organizaciones, el control sobre la gestión de los sistemas de información día a día adquiere una mayor relevancia. Para ello podemos encon-trar, de manera inmediata, algunas razones: • La creciente dependencia de las organizaciones y sus procesos (tanto internos como externos) respecto a sus sistemas de información. • Derivado de lo anterior, el aumento de la complejidad de los mismos, con entornos heterogéneos y abiertos, a la vez que integrados. • El éxito de las estrategias de externalización de la gestión de los sistemas de información, con los que la dependencia de los sistemas de información se refuerza con la dependencia de uno o varios proveedores de servicio. Prueba de la mayor importancia que el control sobre la gestión de los sis-temas de información gana día a día, son el hecho de que, por ejemplo, la nor-mativa europea de autorización de organismos pagadores, define, como uno de sus cuatro grandes criterios de autorización, el del fomento del uso de los sis-temas de información como soporte a todos sus procesos y el del estableci-miento de un Sistema Integrado de Gestión de la Seguridad (SGSI), que no es más que el reflejo del aumento del nivel de control sobre los Sistemas de Información. En este escenario, el papel de la auditoría informática se muestra como una nueva herramienta para la mejora del control interno en las organizaciones. Auditoría Pública nº 41 (2007) p.p. 97-100 97
  • 2. NUEVAS TECNOLOGÍAS AUDITORÍA INFORMÁTICA COMO ELEMENTO DE CONTROL INTERNO En el momento en el que las organizaciones adquieren conciencia sobre la necesidad de aumen-tar el nivel de control sobre la gestión de sus siste-mas de información, surge la siguiente pregunta natural: ¿pero qué es realmente la auditoría infor-mática y cómo puede ayudarme? Es natural esta duda desde la perspectiva de que, tradicionalmente, los departamentos de control interno o auditoría interna, están compuestos por perfiles muy cercanos al negocio, principalmente financiero y, en algunos casos, operativo. A continuación intentaremos desgranar algunos de los ámbitos en los que la función de la auditoría informática puede ayudar a la mejora de los siste-mas de control interno de las organizaciones, a tra-vés de la propia evolución que la labor del auditor informático ha ido experimentando desde sus ini-cios. En sus inicios, el auditor informático surge como un apoyo a los tradicionales equipos de auditoría. Su labor de apoyo consistía básicamente en la obtención de información financiera de los sistemas de información en los que residía y tratarla, con herramientas específicas de tratamiento masivo de datos, para facilitar la labor de los equipos de audi-toría financiera. Entre las grandes ventajas que el apoyo del auditor informático ofrecía era el da la validación del total de la información disponible, en lugar de los habituales procedimientos de mues-treo. Dicha labor continúa siendo hoy día una de las principales tareas del auditor informático. Así, es fácil encontrar auditores informáticos tratando información para validar información contable compleja de obtener como pueden ser, por ejemplo, en el ámbito financiero, la validación del cálculo de la periodificación de intereses, o en ámbitos pro-ductivos el de la amortización de inmovilizados o la valoración de existencias. En paralelo, el hecho de que, cada vez más, la información contable de las organizaciones fuese tratada automáticamente y casi por completo en sis-temas informáticos, condujo a una nueva preocupa-ción. ¿Son íntegros los datos de que dispone el equi-po de auditoría? Con esa preocupación, poco a poco, en esa labor de apoyo al auditor financiero, el audi-tor informático pasa, de meramente tratar los datos contables, a cuestionarse la fiabilidad de los mis-mos. Comienza entonces a plantearse nuevos objeti-vos de control, como son el control de acceso sobre la información, la gestión de autorizaciones, y los mecanismos de registro de actividad sobre dicha información. En el momento en el que el auditor informático comienza a plantearse objetivos de control sobre quién debe acceder a qué información, qué puede hacer con ella, o a cuestionarse la integridad de la misma, comienza a necesitar y a obtener un conoci-miento profundo sobre los procesos de negocio de la compañía. Por otra parte, la integración de dichos procesos en aplicaciones informáticas, provoca que gran parte de los controles que se aplican sobre los mismos se definan en dichas aplicaciones. A partir de este instante, la labor del auditor informático comienza a confluir con la del auditor financiero, adquiriendo una doble versión de especialista en la 98 Abril nº 41 - 2007
  • 3. definición de procesos de control interno en los pro-cesos de negocio y en su aplicación o análisis sobre los sistemas de información que los soportan. Finalmente, en paralelo a la función de apoyo de la auditoría financiera, comenzaron a plantearse nuevas funciones relacionadas con la auditoría informática. Entre los principales impulsores de esas nuevas funciones, podemos encontrar: • Los reguladores, que empezaron a generar nor-mativa específica aplicable sobre los sistemas de información de las organizaciones y sus procesos de gestión. Los ejemplos más conocidos son la Ley Orgánica de Protección de Datos (LOPD en adelante en este documento), desarrollada por el Reglamento de Medidas de Seguridad recogido en el Real Decreto 994/1999, o la Ley de Servi-cios de la Sociedad de la Información. • Los sistemas de comercio electrónico, tanto entre organizaciones (B2B), como orientada a clientes finales (B2C), que han impulsado la mejora de los procesos de comercialización de productos pero a la vez han abierto la puerta a nuevos riesgos deri-vados de la necesidad de “abrir” los sistemas de información de las organizaciones a terceros. • El aumento de la complejidad de los sistemas de información y la dependencia de las organizacio-nes respecto a los mismos, que en ocasiones se muestran opacos para la dirección de las organi-zaciones y para sus usuarios. Con ellos, se generó una sensibilización hacia la seguridad de los sistemas de información, enten-diendo la misma desde los tres puntos de vista tra-dicionales: • Confidencialidad. • Disponibilidad. • Integridad. Y con ella, los auditores informáticos comenza-ron a analizar los riesgos asociados al uso de los sis-temas de información y los controles destinados a garantizar sus tres pilares básicos. Así, se platean nuevas funciones como la de análisis de vulnerabili-dades de los sistemas y aplicaciones, evaluación de Auditoría Informática, una aproximación a la mejora del Control Interno planes de continuidad de negocio, y, en general, el análisis de los procesos de gestión de los sistemas de información. En definitiva, el papel actual del auditor infor-mático dentro de las organizaciones lo podemos resumir en dos grandes tareas principales: • Apoyo del auditor interno, en la definición y aplicación de controles sobre los procesos de negocio de las organizaciones, en tanto que gran parte de los mismos se aplican desde sus sistemas de información. • Auditoría de la gestión de los sistemas de infor-mación, que se plantea básicamente dos objeti-vos: - Que los sistemas de información soportan ade-cuada y eficientemente los procesos de negocio de las organizaciones. - Que la información tratada por los sistemas de información dispone de un nivel de seguridad adecuado a su valor y a los riesgos asociados a su uso. OPCIONES DE IMPLANTACIÓN Una vez que las organizaciones adquieren con-ciencia de la necesidad de disponer de una función de auditoría informática y de qué objetivos persigue con ella, surge la siguiente cuestión; ¿cómo lo llevo a la práctica de mi organización? No nos debe gene-rar gran preocupación el encontrarnos con esta cues-tión sin tener muy clara la respuesta. A día de hoy, no es atrevido decir que el 80% de las organizacio-nes en España se encuentran todavía en este punto, y que sólo un 20% (principalmente entidades financieras y aseguradoras), lo tienen resuelto. A la hora de formalizar la función de auditoría informática dentro de una organización, existen varias alternativas y, a su vez, diferentes puntos a considerar: • La complejidad de los sistemas de información de nuestra organización y la dependencia de nues-tros procesos internos respecto a los mismos (no sólo en términos de disponibilidad, sino también de confidencialidad e integridad). Auditoría Pública nº 41 (2007) p.p. 97-100 99
  • 4. NUEVAS TECNOLOGÍAS • El nivel de especialización necesario para llevar a cabo dicha función. La complejidad de nuestros sistemas de infor-mación nos puede dar una medida del volumen de trabajo potencial que podría realizar la función de auditoría informática en nuestra org a n i z a c i ó n . Para muchas organizaciones, la complejidad de sus entornos todavía puede no ser tal como para requerir una dedicación “full-time” de personal para el desarrollo de la función de auditoría infor-mática. Por otra parte, de acuerdo a las funciones típicas del auditor informático, descritas en el punto ante-rior, el perfil del auditor informático es un perfil muy específico. Si desgranamos un poco los princi-pales “skills” del auditor informático, nos encontra-mos: • Buen conocimiento de los procesos de negocio. • Buenos conocimientos contables. • Conocimientos informáticos desde varios puntos de vista: - Programación. - Administrador de sistemas. - Administrador de Bases de datos. - Herramientas de auditoría informática. - Soluciones de seguridad. • Nociones de manejo normativo. En ocasiones, las tendencias naturales a la hora de cubrir las necesidades de auditoría informática son básicamente dos: • Reaprovechar a algún auditor interno con cono-cimientos avanzados de informática. • Incluir un informático dentro del equipo de auditoría interna. En ambos casos, desde nuestra experiencia pode-mos contar algunas excepciones dentro de un nutri-do número de decepciones, tanto para la organiza-ción como para el empleado que se ve responsable de una función a la que no sabe muy bien cómo dotar de contenido. Desde los dos puntos de vista antes mencionados, una opción razonable, al menos en el arranque de la función de auditoria informática, es la de contar con el soporte de expertos en la materia. Así, como decíamos anteriormente, podemos encontrar diferentes aproximaciones a la hora de formalizar la función de auditoría informática den-tro de las organizaciones: • Externalizar totalmente la función, mediante acuerdo marcos, en los que, de manera mixta, la organización y expertos en la materia definen los objetivos de control y son los expertos los que desarrollan los trabajos de auditoría. • Arrancar de manera inicial la función de audito-ría informática, dotando a la organización de per-sonal dedicado a ello, con el apoyo de expertos que asesoren a la hora de dotar de contenido a la función y formar al personal interno en el des-arrollo de las habilidades necesarias. • Dotar a la organización de recursos específicos dedicados en exclusiva a la función de auditoría informática. Cualquiera de las anteriores será válida en fun-ción del análisis que cada organización haga de sus necesidades en este sentido. Así, podemos encontrar entidades financieras que han optado con éxito por externalizar totalmente su función de auditoría informática, contando siempre con expertos en cada materia concreta, mediante acuerdos marcos, mien-tras que otras han optado por dotar de personal interno dicha función y acometerlo totalmente de manera interna. CONCLUSIÓN A medida que las organizaciones adquieren mayor tamaño, y una mayor sensibilidad por el con-trol interno, en la búsqueda de la eficiencia en sus procesos, la necesidad de formalizar la función de auditoría informática se hace más patente. A la hora de formalizar dicha función, las organi-zaciones deben tener muy presentes los objetivos que se plantean con ella, sus necesidades en cuanto a recursos y las diferentes estrategias que se pueden adoptar para ello, sin olvidar la posibilidad de externalizar total o parcialmente la función. 100 Abril nº 41 - 2007