Auditoría Informática

1. Conceptos Generales de la Auditoría de Sistemas

Con frecuencia la palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; para eso se ha llegado a acuñar la frase "tiene auditoría" como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está hacienda la auditoría. El concepto de auditoría es más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo.

La palabra auditoría viene del latín auditorius, y de esta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

Si consultamos de nuevo el diccionario encontramos que eficacia es "virtud, actividad, fuerza, para poder obrar"; mientras que eficiencia es "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos.

La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos.

Así como existen normas y procedimientos específicos para la realización de auditorias contables, debe haber también normas y procedimientos para la realización de auditorías en informática como parte de una profesión. Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre guiándose por el concepto de que la auditoría debe ser más amplia que la simple detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico.

1.1 Auditoría. Concepto

Es la investigación, consulta, revisión, verificación, comprobación y evidencia aplicada a una organización o una o varias de sus partes. Es el examen crítico realizado por el personal cualificado e independiente de acuerdo con Normas establecidas; con el fin de esperar una opinión que muestre lo acontecido en y el estado de, una organización; un requisito fundamental para la Auditoría es la independencia.

La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico-financiera, y los casos inmediatos se encuentran en las peritaciones judiciales y las contrataciones de contables expertos por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas, estas sugerencias plasmadas en el Informe Final reciben el nombre de Recomendaciones.

Las funciones de análisis y revisión que el auditor realiza pueden chocar con la psicología del auditado, ya que es un trabajador en funciones y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.

Además del chequeo de los sistemas, el auditor somete al auditado a una serie de cuestionarios. Dichos cuestionarios, llamados Check Lists, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check Lists tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. Las Check Lists pueden llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

1.2. Definición del Entorno

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría. Se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Contrato de la Auditoría y el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas para evitar anbieguedades. La indefinición de los alcances de la auditoría compromete el éxito de la misma.

1.3 Clases (Tipos) de Auditoría

Internacionalmente las auditorías se clasifican atendiendo a:

• La afiliación del auditor: Estatal e Independiente o Privada
• La relación del trabajo: Externas e Internas
• El objeto que se revisa: Estatal general, Estatal fiscal e Independiente
• Los objetivos fundamentales que se persiguen: Gestión, Financiera, Especial y Fiscal

El carácter interno de los Órganos de Auditoría de las organizaciones hace que las clasificaciones que más se utilicen sean las Internas, que constituyen el control que se desarrolla como instrumento de la propia administración y consiste en una valoración independiente de sus actividades: examen de los sistemas de Control Interno, de las operaciones contables-financieras y aplicación de las disposiciones administrativas y legales que corresponden, con la finalidad de mejorar el control y grado de economía, eficiencia y eficacia en la utilización de los recursos, prevenir el uso indebido de éstos y coadyuvar al fortalecimiento de la disciplina en general. Dentro de ellas se clasifican de la siguiente forma:

Contables

De Gestión u Operacional (Administrativa/Operativa): Consiste en el examen y evaluación, que se realiza a una entidad para establecer el grado de Economía, Eficiencia y Eficacia en la planificación, control y uso de los recursos y comprobar la observancia de las disposiciones pertinentes, con el objetivo de verificar la utilización más racional de los recursos y mejorar las actividades o materias examinadas, de acuerdo con los objetivos y metas previstos, incluye el examen de la organización, estructura, control interno contable, y administrativo, la consecuente aplicación de los Principios de Contabilidad Generalmente Aceptados, la razonabilidad de los Estados Financieros, así como el grado de cumplimiento de los objetivos a alcanzar en la organización o entidad auditada.

Integrales: Son aquellas auditorías que se encuentran en el punto medio entre una auditoría de gestión y una financiera, ya que es contable-financiera y tiene elementos de gestión en una gran medida, teniendo en cuenta la actividad fundamental de la unidad auditada. En ésta debe definirse en las conclusiones si los Estados Financieros reflejan razonablemente la situación financiera y los resultados de sus operaciones y si los recursos que maneja la entidad y que fueron revisados, se utilizan con Economía, Eficiencia y Eficacia.

Financiera: Consiste en el examen y evaluación de los documentos, operaciones, registros y Estados Financieros de la entidad, para determinar si éstos reflejan, razonablemente, su situación financiera y los resultados de sus operaciones, así como el cumplimiento de las disposiciones económico-financieras, con el objetivo de mejorar los procedimientos relativos a las mismas y el control interno.

Temáticas: Se refiere a aquellas que se ejecutan con el propósito de examinar puntualmente entre uno y cuatro temas específicos, abarcando con toda profundidad los aspectos vinculados a estos temas que permitan evaluar en toda su dimensión si la unidad cumple con las regulaciones establecidas.

Especiales: Consisten en la verificación de asuntos y temas específicos, de una parte de las operaciones financieras o administrativas, de determinados hechos o situaciones especiales y responde a una necesidad específica.

Recurrente: Son aquellas donde se examinan los Planes de Medidas elaborados en auditorías anteriores donde se obtuvo calificación de Deficiente o Malo, tratándose de Auditorías de Gestión, Integrales, Financieras, Temáticas o Especiales.

Informáticas

Regular Informática: Se refiere a las que se realizan a la calidad de la información existente en las bases de datos de los sistemas informáticos que se utilizan para controlar los recursos, su entorno y los riesgos asociados a esta actividad.

Especial Informática: Consiste en el análisis de los aspectos específicos relativos a las bases de datos de los sistemas informáticos en que se haya detectado algún tipo de alteración o incorrecta operatoria de los mismos.

Recurrente Informática: Son aquellas donde se examinan los Planes de Medidas elaborados en auditorías informáticas anteriores donde se obtuvo la calificación de Deficiente o Malo, ya sea en una Regular o Especial.

1.4 Consultoría. Concepto

Servicio prestado por una persona o personas independientes y calificadas en la identificación e investigación de problemas relacionados con políticas, organización, procedimientos y métodos; recomendación de medidas apropiadas y prestación de asistencia en la aplicación de dichas recomendaciones.

Esto indica que la consultoría de organizaciones es un servicio al cual los directores de organizaciones pueden recurrir si sienten necesidad de ayuda en la solución de problemas. El trabajo del consultor empieza al surgir alguna situación juzgada insatisfactoria y susceptible de mejora, y termina, idealmente, en una situación que se ha producido un cambio que constituye una mejora.

Rasgos Particulares de la Consultoría

a. La consultoría es un servicio independiente.

Se caracteriza por la imparcialidad del consultor, que es un rasgo fundamental de su papel. Esta independencia significa al mismo tiempo una relación muy compleja con las organizaciones clientes y con las personas que trabajan en ellas. El consultor no tiene autoridad directa para tomar decisiones y ejecutarlas. Pero esto no debe considerarse una debilidad si el consultor sabe actuar como promotor de cambio y dedicarse a su función, sin por ello dejar de ser independiente. Por consiguiente, debe asegurar la máxima participación del cliente en todo lo que hace de modo que el éxito final se logre en virtud del esfuerzo de ambos.

b. La consultoría es esencialmente un servicio consultivo.

No se contrata a los consultores para dirigir organizaciones o para tomar decisiones en nombre de directores en problemas. Su papel es actuar como asesores, con responsabilidad por la calidad e integridad de su consejo; los clientes asumen las responsabilidades que resulten de la aceptación de dicho consejo. No solo se trata de dar el consejo adecuado, sino de darlo de manera adecuada y en el momento apropiado. Esta es la cualidad fundamental del consultor. El cliente, por su parte, debe ser capaz de aceptar y utilizar esa ayuda del consultor.

c. La consultoría es un servicio que proporciona conocimientos y capacidades profesionales para resolver problemas prácticos.

Una persona llega a ser consultor de organizaciones en el pleno sentido del término después de haber acumulado una masa considerable de conocimientos sobre los diversos problemas y situaciones que afectan a las organizaciones y adquirido la capacidad necesaria para identificarlos, hallar la información pertinente, analizar y sintetizar, elegir entre posibles soluciones, comunicarse con personas, etc. Cierto es que los dirigentes de las organizaciones también tienen que poseer estas capacidades. Lo que distingue a los consultores es que pasan por muchas organizaciones y que la experiencia adquirida en las tareas pasadas puede tener aplicación en las organizaciones en las que se realizan nuevas tareas. Además, los consultores profesionales se mantienen al tanto de los progresos en los métodos y técnicas, señalan estos progresos a sus clientes y contribuyen a su aplicación.

d. La consultoría no proporciona soluciones milagrosas.

Sería un error suponer que, una vez contratado el consultor, las dificultades desaparecen. La consultoría es un trabajo difícil basado en el análisis de hechos concretos y en la búsqueda de soluciones originales pero factibles. El empeño decidido de la dirección de la empresa en resolver los problemas de ésta y la cooperación entre cliente y consultor son por lo menos tan importantes para el resultado final como la calidad del consejo del consultor.