LA IMPORTANCIA DE LAS T.I.C.

s EN LA AUDITORA
La Tecnologa de la Informacin y de la Comunicacin en la Auditora, se ha convertido en un
recurso imprescindible en el trabajo diario del controlador financiero y el Auditor y del complejo
proceso de este procedimiento que requiere herramientas informticas adecuadas para el
desempeo de nuestra funcin como futuros Auditores.
Para introducirnos en el tema principal debemos saber Qu son las Tic?

TECNOLOGAS: Aplicacin de los conocimientos cientficos para facilitar la realizacin de

las actividades humanas. Supone la creacin de productos, instrumentos, lenguajes y
mtodos al servicio de las personas.

INFORMACIN: Datos que tienen significado para determinados colectivos. La

informacin resulta fundamental para las personas, ya que a partir del proceso cognitivo
de la informacin que obtenemos continuamente con nuestros sentidos vamos tomando
las decisiones que dan lugar a todas nuestras acciones.

COMUNICACIN: Transmisin de mensajes entre personas. Como seres sociales, las

personas adems de recibir informacin de los dems, necesitamos comunicarnos para
saber ms de ellos, expresar nuestros pensamientos, sentimientos y deseos, coordinar
los comportamientos de los grupos en convivencia, etc.

TECNOLOGAS DE LA INFORMACIN Y LA COMUNICACIN (TIC): Cuando unimos estas

tres palabras hacemos referencia al conjunto de avances tecnolgicos que nos
proporcionan la informtica, las telecomunicaciones y las tecnologas audiovisuales, que
comprenden los desarrollos relacionados con los computadores, Internet, la telefona,
las aplicaciones multimedia y la realidad virtual. Estas tecnologas bsicamente nos
proporcionan informacin, herramientas para su proceso y canales de comunicacin.

La aparicin de la informtica ha supuesto una revolucin en la contabilidad. La creacin de

programas contables especficos en un entorno Windows, acerc las aplicaciones informticas al
usuario, haciendo que fueran ms fciles de utilizar y ms verstiles. El siguiente paso fue la
revolucin de las comunicaciones, especialmente de Internet, as como la ampliacin del
abanico de posibilidades de la contabilidad a actividades tales como la banca electrnica y el
envo de declaraciones fiscales por Internet que facilitaron el intercambio de datos con mayor
facilidad, fiabilidad y rapidez. Hay que sealar adems, que el nacimiento y posterior regulacin
de la Firma electrnica reconocida como medio de autentificar los mensajes enviados haciendo
muy difcil su falsificacin, incrementa en gran medida el inters de las nuevas tecnologas de la
informacin y la comunicacin (TIC).

CLG

Los profesionales TIC, Auditores informticos, pasan por ser los recursos cualificados para
contribuir a la construccin de la confianza en la Administracin Electrnica, configurndose
como los garantes de la prestacin de servicios de calidad, y en la consecucin de las polticas
pblicas relacionadas.
La funcin de la Auditora Informtica en las organizaciones, comienza con la implantacin de
un proceso para supervisar el control de las tecnologas y de los procesos asociados, y la
evolucin hacia un enfoque proactivo participando en otras fases del ciclo del control.
Las distintas reas operativas de las organizaciones se sostienen y apoyan cada vez ms en los
servicios de las tecnologas de la informacin y las comunicaciones (TIC), que han acompaado
la automatizacin y el crecimiento de todos los procesos productivos, y la prestacin de nuevos
servicios. Como consecuencia, son muchas las organizaciones en las que la informacin y la
tecnologa que la soporta representan los activos ms valiosos, y a su vez, reconocen los
beneficios potenciales que las nuevas tecnologas les pueden proporcionar. La productividad de
cualquier organizacin depende del funcionamiento ininterrumpido de los sistemas TIC,
transformando a todo el entorno como un proceso crtico adicional.
Por tanto, se requiere contar con una efectiva administracin de los riesgos asociados con las
TIC, y que viene dada por:
-

La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente

dependencia de la informacin y de los sistemas que la proporcionan.

El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a

las que estn expuestos.

La importancia y magnitud de los costos y las inversiones TIC.

La desconfianza que los procedimientos automatizados o los servicios electrnicos

pudieran provocar en el colectivo usuario y en los ciudadanos en general.

El potencial de las nuevas tecnologas de la informacin es tal que pueden llegar a

introducir importantes cambios en la organizacin, y en las prcticas de su actividad,
para crear nuevas oportunidades y reducir costos.

CLG

Resulta de ello el rol bsico que debe desempear la funcin de Auditora Informtica o
Auditora de los Sistemas de Informacin, en una organizacin: supervisin de los controles
efectivamente implementados y determinacin de la eficiencia de los mismos.

Dada la especializacin de los controles a supervisar, es indudable que en la Administracin

Pblica el perfil de los profesionales TIC es el idneo para asumir y realizar directamente esas
funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en
especial los enmarcados dentro de la Administracin Electrnica.

Los Auditores informticos pueden recomendar cambios en los procesos de negocios para
lograr los objetivos econmicos o sociales de la organizacin. Tambin es posible que las
investigaciones revelen fraudes, desperdicios o abusos. Los Auditores informticos modernos
proceden de manera sistemtica en sus estudios, planificando sus acciones y enfocndose en las
reas de mayor riesgo.

Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa

para su buen gobierno, el Auditor informtico tambin trabaja como consejero empresarial,
asesorando en cuanto al establecimiento de polticas y estndares que aseguren la informacin
y el control de las TIC.

Es as que los profesionales TIC de la Administracin tienen ante s un reto en su carrera

profesional: realizar tareas propias de la funcin de Auditora, para contribuir a la mejora de la
calidad de los servicios prestados a los ciudadanos.

CLG

SERVICIOS DE AUDITORA DE TECNOLOGAS DE LA INFORMACIN

La Auditora de las Tecnologas de la Informacin y las Comunicaciones est adquiriendo cada
vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y
disponibilidad de las infraestructuras informticas sobre las que se sustentan los procesos de
negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se
realicen de forma eficiente.

Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar
el cumplimiento de sus normas mediante Auditoras de Sistemas de Informacin y como parte
inherente de la Auditora Financiera, se est requiriendo cada vez ms que los Sistemas de
Informacin sean, a su vez, auditados.

DIRECCIN ESTRATGICA DE LAS TICS: AUDITANDO LOS SISTEMAS DE

INFORMACIN
Un servicio muy til a la hora de gestionar los Sistemas de Informacin (SI) de una empresa o
sus Tecnologas de la Informacin y Comunicaciones (TIC) son las Auditoras. Una Auditora es
una radiografa de una parte de una empresa u organizacin. Las Auditoras pueden ser externas
(Hechas por un consultor externo a la organizacin) o Internas (Hechas por gente de la misma
organizacin).
El objetivo de una Auditora es descubrir las causas de problemas en el funcionamiento, la
verificacin de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos
son:
Auditora tcnica de sistemas para conocer el estado actual del hardware de la empresa
(Estado, Antigedad, Si es el adecuado, etc.),
Auditora de la explotacin para conocer el estado actual de los elementos de una
explotacin (Licencias, Recursos de explotacin, ),
Auditora de las redes de la empresa y evaluar su adecuacin, seguridad, etc.
La informacin obtenida de la Auditora debe servir a la direccin de la empresa para la toma de
decisiones, como por ejemplo: Implementar un software u otro segn sus necesidades, Conocer
los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la
empresa, Implementar medidas para reducir costos, etc.

CLG

El tipo de Auditora puede variar (puede ser interna o externa, Auditora de objetivos, etc.). No
obstante, como comn denominador, el ciclo de vida bsico de una Auditora es el siguiente:
1. Inicio de la Auditora: Contrato y definicin del alcance. La definicin del alcance de la
Auditora es un punto crtico, hay que acotar exactamente el trabajo a hacer para
obtener los resultados deseados.
2. Revisin de la documentacin y preparacin de las actividades: Aqu se define el plan
de Auditora, se organiza la inspeccin y se preparan los documentos de trabajo
(Formularios, Listas de verificacin, etc.).
3. Desarrollo del plan de Auditora
4. Preparacin del informe de la Auditora y presentacin de resultados: Una vez
finalizadas las acciones del plan de Auditora se debe preparar el informe de Auditora
donde debe aparecer toda la documentacin de la Auditora y sus conclusiones. Tambin
debe realizarse la presentacin de los resultados a la persona auditada y asegurarse que
son comprendidos.

En resumen, la Auditora es una herramienta poco conocida y muy valiosa a la hora de tomar
decisiones en lo que a TIC/SI se refiere. Una Auditora (externa o interna) nos brinda la
informacin necesaria para tomar decisiones sobre una base slida y con garantas de xito.

CLG

PROBLEMAS EN LAS TICS

LOS USUARIOS ACCEDEN A SERVICIOS EXTERNOS
El rpido crecimiento de las tecnologas Web ha puesto herramientas potentes, gratuitas y
fciles de usar al alcance de todos, incluyendo los empleados que utilizan estos servicios para
facilitar y simplificar las tareas corporativas.
Como ejemplo, hay empleados que colaboran en la creacin de un informe utilizando Google, se
comunican con proveedores a travs del Messenger o, incluso, utilizan herramientas de gestin
SAAS (software por pago) en proyectos crticos. En la mayora de los casos, estas herramientas
se utilizan sin la supervisin del personal de TI.
Sin embargo, este tipo de situacin puede causar problemas para todos. Los empleados que
descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el
personal de TI no dispone de la preparacin adecuada para proporcionarles ayuda. Por otra
parte, el personal de TI se enfrenta ahora a la posibilidad de una infeccin de malware que
entre por estos puntos.
As, los responsables de Tecnologa deben asegurar que los servicios externos forman parte de
cualquier discusin sobre las aplicaciones necesitadas por los departamentos. Las encuestas
pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados as como las
herramientas que proporcionan informacin sobre las estadsticas de uso.

LOS DATOS SENSIBLES DESENCRIPTADOS ESTN SIENDO TRANSMITIDOS

Su negocio dispone de lo que usted considera una configuracin de red estndar y segura. Un
cortafuego protege todo el trfico interno. Servidores Web y otros sistemas que requieren un
acceso directo a Internet disponen de tneles encriptados a las fuentes de datos dentro de los
cortafuegos.
Ms all de esta configuracin tradicional, muchas empresas podran beneficiarse con otras
opciones de encriptacin.
Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que
sta est protegida. Incluso aquellos empleados con un poco de destreza tecnolgica tienen a
su alcance herramientas que permiten escanear las redes para rastrear informacin sensible,
desde datos empresariales a las nminas del personal.

CLG

Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de
rastreo que estos para identificar todos los datos, movindose por la red. Si pueden ver esta
informacin, cualquier otro usuario tambin la puede ver. Una vez identificados estos datos
descubiertos, las conexiones se pueden robustecer con seguridad.

LAS APLICACIONES WEB ESTN REPLETAS DE FALLOS DE SEGURIDAD

Aunque son ya muchas las compaas que se han puesto serias en cuando a la
implementacin de parches y actualizaciones de las aplicaciones, esta prctica no cubre el perfil
entero de la seguridad de aplicaciones.
La razn radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las
polticas de actualizaciones y, frecuentemente, stas contienen informacin sensible.

LOS PROBLEMAS EN LAS EMPRESAS

La topologa actual de aplicaciones empresariales es mixta y est compuesta tanto por
programas internos como externos. Muchos de estos programas no son ms que pequeos
scripts. Y estos son precisamente los que ms riesgo conllevan porque son sencillos y fciles de
descifrar.
Las compaas deben tener a mano un listado de todas las aplicaciones Web y scripts que
residen en la red. Asegrese de que dispone de las ltimas versiones de las aplicaciones y
componentes que hay detrs de los wikis y blogs, por ejemplo. En el caso de aplicaciones
customizadas, mantenga un fichero de los scripts que stas puedan incorporar.
Esto significa la monitorizacin peridica de servicios de seguridad como CERT y las pginas
Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que
son un punto de entrada a la red corporativa es una inversin sin precio.

CLG

DATOS NO AUDITABLES
Una buena Auditora de los datos almacenados en su organizacin es un deber comn en las
industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas.
Las industrias reguladas, como son Banca, Seguros y Sanidad, estn acostumbradas al proceso
de Auditoras peridicas y disponen de un banco de conocimientos sobre la ubicacin de los
datos. Sin embargo, las industrias emergentes no son tan detallistas.
Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el
cumplimiento de las normas como la seguridad de la informacin.
La seguridad afecta tanto a la proteccin de la informacin como a la aplicacin de parches para
asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas
de cumplimiento de normas es la implementacin estricta de polticas que monitorizan cada
modificacin de los servidores y los dispositivos de red.

ESCASOS RECURSOS DE ALMACENAMIENTO

Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la
utilizacin actual, sugieren que su organizacin dispone de mucha capacidad. Sin embargo, un
sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial.
Los administradores deben evaluar los requerimientos de capacidad y rendimiento de las
aplicaciones junto con los recursos disponibles de almacenamiento. Las organizaciones pueden
maximizar la utilizacin de capacidad y mantener un nivel de rendimiento aceptable.

SU IP PODRA SER DEFICIENTE

Ms que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En
muchas compaas, puntos de acceso inalmbricos, telfonos VOIP y cmaras de seguridad
ofrecen nuevas opciones de disminuir el nmero de lneas fsicas y cables de suministro de
energa.

UNA FALTA DE BUSINESS INTELLIGENCE

La BI no es una tecnologa nueva. Las grandes empresas, especialmente las del sector financiero
y de sanidad, han utilizado herramientas de BI durante muchos aos.
Las medianas y pequeas empresas que no implementan estas tecnologas se enfrentan a
CLG

problemas de competitividad. Lejos de ser tecnologas slo aptas para empresas grandes, las
herramientas de anlisis han evolucionado de tal manera que son asequibles incluso para
organizaciones ms modestas.
No cabe duda que estas herramientas pueden marcar una diferencia importante en los servicios
y productos de una compaa que llegan al mercado, incrementando la rentabilidad de
transacciones comerciales.
Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la tecnologa
y los procesos de negocio en una organizacin. Esto significa una infraestructura ptimamente
configurada con herramientas que recogen la informacin pertinente de una transaccin.

LOS CONSULTORES HAN DE VIGILARSE

Las promesas de costos reducidos y plazos cortos pueden abrir las puertas a una serie de
errores que no benefician a nadie.
Los consultores suelen tomar atajos poco correctos para cumplir los plazos de cumplimiento.
Quizs envan datos sensibles inalmbricamente sin las protecciones adecuadas. Quizs utilizan
software no licenciado para monitorizar o gestionar algn componente del despliegue. O quizs
abren un agujero en sus cortafuegos para obtener un acceso directo y despus se olvidan en
cerrarlo.
Las compaas deben especificar claramente las normas de conducta y establecer un sistema de
evaluacin medible.
En el contrato, las compaas deben decretar el comportamiento mnimo aceptable con
respecto a las licencias, la seguridad, documentacin y gestin de cambios. Finalmente, ha de
haber una evaluacin a posteriori para comprobar el cumplimiento de objetivos y asegurar que
la infraestructura no haya sufrido ningn dao colateral.

CLG

El incremento masivo en el uso de medios informticos, ya sea de computadores en los puestos

de trabajo como en las aplicaciones de tecnologa cada vez ms sofisticada, y en la prestacin de
servicios a los ciudadanos mediante la Administracin Electrnica, han llevado a la necesidad de
adaptar las tcnicas de Auditora tradicionales para poder hacer frente a esos cambios.
Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar
con un marco metodolgico para organizar las actividades de Auditora, y as definir las pautas y
los controles a considerar en las futuras actuaciones de Auditora. Esto se sustenta en el hecho
que el uso de una metodologa contrastada contribuye a:
-

Salvar las brechas existentes entre riesgos del proceso de gestin, necesidades de
control y aspectos tcnicos. Esto es debido a que los riesgos de un proceso de gestin no
son los mismos que los riesgos a que se expone el sistema de informacin que le da
apoyo. La Auditora Informtica debe intentar asegurar que ambos estn controlados, o
sea, ajustados a las necesidades de control, o a lo que se asuma controlar, y a los medios
y recursos tcnicos disponibles.

Determinar el alcance de la tarea de Auditora e identificar los controles mnimos, que

debe estar dirigida no slo a Auditores informticos, sino tambin a los gestores y a los
usuarios.

Observar e incorporar los estndares y regulaciones nacionales o internacionales.

Al contar con una metodologa se podrn tener predefinidos los procedimientos de actuacin,
que aunque slo lleguen a definir el qu y el cmo hacer las actuaciones, permitirn generar
resultados homogneos por los distintos miembros del equipo Auditor. Asimismo, el marco
metodolgico adoptado tendr que definir las pautas y los controles a realizar con relacin a los
sistemas de informacin, tecnologas de hardware, seguridad, planificacin, desarrollo de
sistemas, etc.

CLG

10