ANLISIS Y APROVECHAMIENTO DE LOS SISTEMAS DE INFORMACIN

PARA UNA EFICIENTE AUDITORIA Y CONTROL DE GESTIN

Autores: Jimmy Brito Domnguez 1, Galo Sols 2
1
2

Auditor en Control de Gestin 2004

Director de Tesis, Master en Administracin de Empresas. Profesor de la ESPOL desde 2002

RESUMEN
El grado de utilizacin que tienen los sistemas de informacin en el desarrollo de las actividades
operativas y administrativas de las organizaciones de hoy, ha provocado una revolucin en la manera de
llevar a cabo los negocios, la forma en que se compite, los tipos de servicios que se brindan a los clientes,
las estrategias de crecimiento y mercadotecnia, y la forma en que se realizan las alianzas estratgicas; en
donde el manejo adecuado de la informacin es el principal factor para lograr el xito o el fracaso en la
denominada Sociedad de la Informacin.
Por ello, una de las mayores preocupaciones de los gerentes de hoy es cmo salvaguardar a este recurso
tan preciado, la informacin, contra amenazas tales como la prdida, la libre divulgacin, el error y la
manipulacin. Es ah donde aparecen dos factores clave para su proteccin: un adecuado Sistema de
Control Interno Informtico y la Auditora de Sistemas, como elementos imprescindibles para la
prevencin y deteccin de desviaciones significativas en la bsqueda de informacin ntegra, consistente
y confiable.
Aspectos como estos, han transformado el enfoque de la Auditora tradicional y la han llevado a
incorporar el uso de los sistemas de informacin dentro de cada una de sus fases, mejorndose
enormemente la precisin, confiabilidad, eficiencia y administracin del proceso de auditora. Para ello, el
auditor dispone de diversas tcnicas y herramientas que le permiten maximizar el uso de los sistemas de
informacin de forma efectiva y segura.
El auditor del nuevo milenio debe estar preparado para hacer frente a los cambios tecnolgicos y debe
desarrollar profundas habilidades para evaluar, con el uso eficiente de los sistemas de informacin, el
entorno informtico en las organizaciones de hoy, que permita realizar un examen integral de la gestin
administrativa y tomar oportunamente las decisiones correctivas, encaminadas hacia el logro de los
objetivos establecidos y la transparencia en las actividades desempeadas.

INTRODUCCIN
Los Sistemas de Informacin han tenido un profundo desarrollo desde los aos 50 hasta la actualidad,
convirtindose poco a poco a travs de los aos, en una valiosa herramienta dentro de las organizaciones,
mejorando la eficiencia y aumentando la productividad; tanto as, que hoy en da casi no existe empresa
pblica o privada que no realice alguna de sus actividades mediante el uso del computador. Sin embargo,
toda esta revolucin tecnolgica ha hecho surgir la necesidad de asegurar que dichos Sistemas de
Informacin sean precisos y confiables, principalmente en el procesamiento de la informacin financiera,
cayendo directamente esa responsabilidad sobre el auditor de Estados Financieros.
Es ah donde nace uno de los principales desafos de la auditora moderna: evaluar y controlar de forma
eficiente la gestin empresarial a travs del uso de las herramientas informticas; lo cual, hace surgir
varias interrogantes como, Cules son las tcnicas y herramientas informticas disponibles para los
auditores modernos?, De qu manera pueden ser aprovechadas dichas herramientas para la
implementacin y evaluacin de un sistema de control informtico?, y Cules son y como se aplican los
paquetes de auditoria ms utilizados?. En el presente trabajo se analizan cada una de estas preguntas con
la intencin de ser un aporte en el enriquecimiento de una de las profesiones ms fascinantes en los
ltimos aos: la Auditora de Sistemas de Informacin.

LOS SISTEMAS DE INFORMACIN Y LA GESTIN EMPRESARIAL

Un Sistema de Informacin es un conjunto de elementos o componentes interdependientes entre s en
donde se puede ingresar, procesar, almacenar, controlar y presentar la informacin para la oportuna y
eficiente toma de decisiones.
Bajo la definicin anterior, est claro que al hablar de Sistemas de Informacin no necesariamente
estamos hablando de computadores e informtica, ya que existen Sistemas de Informacin manuales; es
decir, donde la informacin es registrada y almacenada (archivada) en papel. En cambio, los Sistemas de
Informacin Computarizados son aquellos Sistemas de Informacin que se apoyan en la tecnologa del
hardware, software y comunicaciones.
Existen cuatro grupos principales de Sistemas de Informacin, de acuerdo a los principales niveles
jerrquicos de una organizacin. Estos son los sistemas de Nivel Operativo, Sistemas del Nivel de
Conocimientos, Sistemas del Nivel Administrativo y Sistemas de Nivel Estratgico.
Los Sistemas de Nivel Operativo, son los que se encuentran directamente relacionados con los procesos
operacionales y transaccionales de una organizacin. Dentro de este nivel se encuentran los Sistemas de
procesamiento de transacciones, como por ejemplo: los Sistemas de Facturacin, Compras, Cuentas por
Cobrar, Cuentas por Pagar, Inventarios, Control de ingreso de empleados, etc. Se caracterizan por ser de
uso fcil, realizan procesos transaccionales sencillos, las consultas y reportes son limitados en su
estructura y sus usuarios son los empleados y Jefes del nivel primario de la organizacin.
Los Sistemas del Nivel de Conocimientos, son los que se relacionan con el nivel secundario de la
organizacin o tambin conocido como nivel de anlisis de datos y conocimientos. El propsito de
estos Sistemas consiste en ayudar a desarrollar, procesar, ordenar e interrelacionar el flujo de
informacin y nuevos conocimientos de la organizacin. Dentro de este nivel se encuentran los Sistemas
de Automatizacin de Oficinas tales como, procesadores de palabras, hojas de clculo, agendas
electrnicas, manejadores de bases de datos de escritorio, administradores de correo electrnico, etc.; y,
los Sistemas de Trabajo de Conocimientos tales como, diseadores grficos, diseadores arquitectnicos
y mecnicos, diseadores Web, etc.
Los Sistemas del Nivel Administrativo, son los que se enfocan hacia las actividades de monitoreo,
direccin, control y toma de decisiones de los Jefes o Administradores de Nivel Medio. En esta categora
se encuentran los Sistemas de Apoyo a Decisiones, tales como, los Sistemas de anlisis de Costos,
anlisis de Produccin, anlisis de Ventas y Rentabilidad, etc.; y los Sistemas de Informacin Gerencial
como los Sistemas de Direccin de Ventas, Administracin de Presupuestos e Inventarios, etc. Estos se
caracterizan por presentar informacin peridica para anlisis y por lo general relacionan variables de
carcter interno y externo para producir resultados que ayuden a la gerencia a tomar decisiones eficaces y
oportunas.
Los Sistemas de Nivel Estratgico, apoyan en la toma de decisiones de nivel estratgico a largo plazo,
tomando en consideracin las polticas y metas propuestas interrelacionndolo con el ambiente externo de
la organizacin, de tal forma que se puedan tomar decisiones que mejoren la competitividad. Dentro de
esta clasificacin se encuentran los Sistemas de Apoyo a Ejecutivos, los cuales, son fciles de usar,
flexibles y no requieren que el usuario posea complejos conocimientos de informtica para poder usarlos.
Su caracterstica principal es el anlisis de datos provenientes de los otros Sistemas (Transaccionales y
Administrativos) mediante el modelado de tablas o cubos de informacin, en el cual, se obtienen cuadros
y resmenes de informacin fciles de armar e interpretar.
Por otro lado, las organizaciones dependen de forma cada vez ms creciente de los sistemas de
Informacin, de tal forma que las estrategias y la planificacin organizacional estarn dadas en funcin de
la capacidad de crecimiento, flexibilidad y capacidad de sus Sistemas de Informacin. Por tal motivo, los
gerentes modernos al momento de tomar decisiones importantes en cuanto a crecimiento, competitividad
y calidad de sus productos y servicios deben considerar por el lado organizacional, las estrategias,
polticas, procedimientos, recursos y la capacidad organizacional; mientras que por el lado tecnolgico
debe considerar Software, Hardware, Bases de Datos y Telecomunicaciones.
La incorporacin de la Tecnologa de Informacin dentro de los procesos productivos de una
organizacin puede convertirse en una ventaja competitiva, al permitirles ser ms eficientes y darles la

capacidad de desarrollar productos y servicios a menor costo y mejor calidad. La mayor parte de nuevos
productos y servicios puede verse reflejado en el sector financiero, en donde se ofrecen servicios, tales
como, banca en lnea a travs de Internet, consulta de movimientos y transacciones va telefnica, Cajeros
automticos, etc. No obstante, cualquier sector dentro de la economa puede desarrollar Sistemas de
Informacin estratgicos para mejorar su desempeo y competitividad.

EL CONTROL INTERNO Y LA TECNOLOGA DE INFORMACIN

El control interno comprende el plan de organizacin, todos los mtodos coordinados y las medidas
adoptadas en el negocio, para proteger sus activos, verificar la exactitud y confiabilidad de sus datos
contables, promover la eficiencia en la operaciones y estimular la adhesin a la prcticas ordenadas por la
gerencia.
Por lo tanto, podemos decir que el alcance del sistema de Control Interno abarca a cada uno de los
departamentos y actividades de la empresa incluyendo aspectos como la funcin de Auditora interna, los
controles estadsticos de calidad, los subsistemas de recursos humanos, la planificacin presupuestaria,
planes de produccin, etc. Ya se dej atrs la idea de que el Control Interno solo deba abarcar los
aspectos contables financieros y se lo ve a ahora como una cultura, idea y filosofa de toda la
organizacin orientada hacia la eficiencia, eficacia, productividad y mejoramiento continuo de los
procesos.
Mantener un adecuado Sistema de Control Interno dentro de una organizacin es importante por las
siguientes razones: mantener un eficiente control administrativo, cumplir con exigencias gubernamentales
y cumplir con la responsabilidad de presentar informacin financiera confiable a terceros.
Actualmente los administradores disponen de mecanismos de control como los informes financieros y
anlisis estadsticos para llevar a cabo el control de las operaciones y tomar decisiones. Dichos informes
permiten a los gerentes conocer el cumplimiento de las polticas institucionales, el apego a la
planificacin presupuestaria, la observacin de los requerimientos de los organismos de control
gubernamental, la situacin financiera de la empresa respecto a liquidez y endeudamiento, entre otras
cosas.
Tal es as, que se han desarrollado un sin nmero de sistemas de informacin que permiten planificar,
controlar y monitorear los riesgos inherentes y operativos de las organizaciones, permitiendo que tanto
gerentes, supervisores y auditores puedan, de acuerdo al enfoque de cada rea, tomar los correctivos
necesarios en caso de existir desviaciones significativas. Ejemplo de dichos sistemas son APOYO,
DELPHOS, TEAMRISK, entre otros.
Por otro lado, el Control Interno informtico es un subsistema dentro del Sistema de Control Interno de la
organizacin y comprende todos los procesos administrativos y sistematizados dentro de una
organizacin, cuyo objetivo es garantizar el control y seguridad de los recursos informticos para una
eficiente, efectiva y econmica gestin operacional.
Los objetivos del Control Interno Informtico, podra dividirse en generales y especficos.
Entre los objetivos generales tenemos:
El cumplimiento de las polticas y procedimientos establecidos por la alta gerencia y dems
normativas legales relacionadas con el uso de tecnologa.
Servir como apoyo a la alta gerencia para el control de los recursos informticos y como pistas de
Auditora para la funcin de Auditora Interna o los auditores externos.
Garantizar una adecuada gestin de la funcin de PED, la calidad del servicio informtico y la
satisfaccin de los usuarios.
Mientras que entre los objetivos especficos tenemos:
El cumplimiento de la planeacin informtica de la organizacin.
Mantener el control de los cambios realizados a los Sistemas de Informacin.
Asegurar el acceso a la informacin solo a personal autorizado.
Asegurar la calidad del desarrollo y mantenimiento de los sistemas de Informacin.

 Proteger los Sistemas contra ataques informticos provenientes desde el Internet (Hackers) y
minimizar el riesgo de infeccin por virus.
Mantener en orden las licencias y contratos por el uso de Sistemas y aplicativos.

Muchos administradores de empresas consideran que no es necesario invertir demasiado en tecnologa y

que basta con adquirir o desarrollar un sistema financiero-contable para la realizacin de sus actividades
diarias; dejando a un lado aspectos como la seguridad de la informacin, y, las posibles amenazas y
vulnerabilidades que pudieran tener en el futuro.
A pesar de que existen una gran variedad de metodologas para la implementacin de controles
informticos, basadas en diferentes estndares a nivel internacional, se las puede clasificar en dos grandes
grupos: Cuantitativas y Cualitativas.
Metodologas Cuantitativas.- Se basan en el uso de modelos matemticos para el anlisis de riesgos, en
el que se asigna a cada riesgo una probabilidad de ocurrencia. Luego utilizando simulaciones sofisticadas
se puede establecer el grado de riesgo al que est expuesto la organizacin y los controles a
implementarse para la disminucin del riesgo.
Metodologas Cualitativas.- Se basan en la experiencia y capacidad del profesional a cargo de la
implementacin de los controles informticos. Esta utiliza mtodos estadsticos no sofisticados para
identificar las posibles amenazas dentro de la organizacin para luego seleccionar los mecanismos de
respuesta a tales amenazas.

NORMATIVA Y LEGISLACIN EN AUDITORA DE SISTEMAS

La tecnologa de informacin ha ido evolucionando de forma permanente a travs de los aos, lo cual ha
originado la aparicin de estndares y normas en TI que se mantengan a la par de dicha evolucin.
En la siguiente tabla, se mencionan los principales estndares a nivel internacional que son utilizadas por
los profesionales y auditores de TI para asegurar el cuidado de la informacin:

ESTNDAR

ORGANISMO EMISOR

COBIT (Objetivos de Control para tecnologa de informacin y ISACA (Asociacin de Auditora y control de
tecnologa relacionada)

Sistemas de Informacin).

ISO 17799 (Estndares de Administracin de Control y ISO (Organizacin Internacional de Estndares)

Seguridad de la Tecnologa de Informacin)
Administracin del Control de Datos de la Tecnologa de CICA (Instituto Canadiense de Contadores
Informacin

Certificados)

Administracin de la inversin de tecnologa de Inversin: un GAO (Oficina de Contabilidad General de los

marco para la evaluacin y mejora del proceso de madurez

Estados Unidos)

SYSTRUST (Principios y Criterios de Confiabilidad de AICPA y CICA (Asociacin de Contadores

Sistemas)

Pblicos

el

Instituto

Canadiense

de

Contadores Certificados)
CMM (Modelo de Evolucin de Capacidades de software)

SEI (Instituto de Ingeniera de Software)

Administracin de Sistemas de Informacin: Una herramienta Directiva de Recursos de Tecnologa de

de evaluacin prctica

Informacin.

Gua para el Cuerpo de Conocimientos de Administracin de Comit

de

Estndares

del

Instituto

de

Proyectos

Administracin de Proyectos

SSE CMM (Ingeniera de Seguridad de Sistemas Modelo de NSA (Agencia de Seguridad Nacional con el
Madurez de Capacidades)

apoyo de la Universidad de Carnegie Mellon)

Administracin de Seguridad de Informacin: Aprendiendo de GAO (Oficina de Contabilidad General de los

Organizaciones Lderes

Estados Unidos )

ISO 17799
ISO 17799:2000 es una norma internacional basada en la norma BS 7799, la cual, en 1995 fue publicada
por el Instituto Britnico de Normas Tcnicas; y, que luego fue actualizada en 1999. BS 7799 fue
desarrollada con el objetivo de tratar aspectos de la seguridad informtica en los negocios electrnicos.
El ISO 17799 esta organizado en 10 secciones principales, cada una cubre reas o tpicos diferentes, las
cuales son:
1.
Planeacin de la Continuidad del Negocio
2.
Sistemas de Control de Acceso
3.
Desarrollo y Mantenimiento de Sistemas
4.
Seguridad Fsica y Ambiental
5.
Cumplimiento
6.
Seguridad del Personal
7.
Seguridad de la Organizacin
8.
Administracin de las Operaciones y Equipo de Computo
9.
Clasificacin y Control de Activos
10.
Polticas de Seguridad
COBIT
Esta Norma tiene como misin: Investigar, desarrollar, publicar y promover un conjunto internacional y
actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes
y auditores.
COBIT es una herramienta que est dirigida a los diferentes actores que conforman una organizacin que
ha incorporado la Tecnologa de la Informacin en sus actividades. Entre sus caractersticas tenemos:

Orientado al negocio
Alineado con estndares y regulaciones "de facto"
Basado en una revisin crtica y analtica de las tareas y actividades en TI
Alineado con estndares de control y Auditora (COSO, IFAC, IIA, ISACA, AICPA)

Esta Norma esta basada en tres principios fundamentales que son: Requerimientos de Informacin del
Negocio, Recursos de TI y Procesos de TI.
Son cuatro dominios principales que componen a este estndar:
Planificacin y organizacin
Adquisicin e implementacin
Prestacin y soporte
Monitoreo
Legislacin informtica en el Ecuador
Nuestro Pas no se ha caracterizado por mantener una legislacin orientada hacia el control interno
informtico o la estandarizacin de los procesos de seguridad informtica, que permita a gerentes y
auditores tener una referencia, adaptada a nuestra realidad, de los aspectos que deben tomar en
consideracin para la gestin eficiente de la Tecnologa de Informacin.
Sin embargo, se estn haciendo esfuerzos en este sentido, ms an ahora, que se quieren implementar
mecanismos que permitan el uso de documentos electrnicos como facturas y declaracin de impuestos,
como ocurre en otros Pases como Brasil, en donde el e-goverment est muy desarrollado; as lo
demuestran las estadsticas y estudios realizados, que afirman una disminucin significativa de miles de

dlares al ao al evitarse la emisin, control, almacenamiento y cuidado de los documentos en papel; y,

por otro lado, el servicio que se le da a los ciudadanos es de calidad.
A continuacin se explican algunas normativas vigentes en nuestro Pas y su aplicacin.
Normas de Control Interno emitidas por la Contralora.- La Contralora General del Estado, a travs
del Acuerdo 017 CG, ha emitido las Normas de Control Interno para el sector pblico, con el fin de
establecer los lineamientos que se deben aplicar por parte de las entidades del Estado, para lograr un
adecuado control de las operaciones en las reas de Gerencia, Recursos Humanos, Proyectos, Deuda
Pblica, los Sistemas de Informacin Computarizados, entre otros.
Particularmente en el caso de los Sistemas de Informacin Computarizados, estas normas establecen
ciertos lineamientos muy tiles respecto a cada una de las reas crticas dentro del procesamiento
electrnico de datos. Se hace referencia a las siguientes reas:
Sistemas Nuevos o actualizacin de los existentes
Produccin, operacin y mantenimiento
Acceso a los Sistemas
Ingreso de datos para procesamiento
Transacciones rechazadas
Procesamiento y entrega de datos
Segregacin de funciones
Cambios a los programas
Seguridad general en el centro de procesamiento de datos
Sin duda, estas normas cubren la mayor parte de las actividades y reas ms importantes dentro de un rea
PED, asimismo, ayudan a los responsables de TI a tomar medidas de precaucin para garantizar la
proteccin de los sistemas de informacin; y, aunque est dirigido al sector pblico, puede ser
perfectamente aplicado por las empresas del sector privado, tal como ocurre actualmente.
Ley de Propiedad Intelectual.- Esta es una Ley emitida el 19 de mayo de 1998 que busca garantizar la
propiedad intelectual de todas aquellas personas naturales y jurdicas que han creado alguna obra literaria,
artstica o tcnica. En lo referente a los sistemas de informacin o programas de ordenador, en esta Ley
se especifican que estos materiales estn protegidos por la Ley de Propiedad Intelectual y son
considerados dentro de la categora de obras literarias. Por lo tanto, se considera como ilegal el mantener
copias no autorizadas de cualquier programa informtico y es castigado de acuerdo a la ley.
Es por esa razn, que se hace necesario que las organizaciones cuenten con las respectivas licencias para
cada uno de los programas instalados en sus computadores a nivel de servidores y terminales. Los
auditores de Sistemas de Informacin, dentro de sus programas de trabajo, deben incluir objetivos y
procedimientos enfocados hacia revisar el cumplimiento de estos requisitos enmarcados en la Ley.
Ley de Comercio Electrnico.- Esta es una Ley que luego de un largo proceso de discusin y anlisis,
entr en vigencia a partir del 17 de Abril del 2002 en el Registro Oficial Suplemento 557. El objeto de
esta Ley es normar, regular y controlar las actividades civiles y mercantiles realizadas a travs del uso de
Internet, para que estas sean accesibles y transparentes al efectuarse, especialmente en lo relacionado con
el comercio electrnico.
En ella se analiza aspectos como los mensajes de datos; los requisitos de las firmas electrnicas y sus
caractersticas; el uso de los certificados de firmas electrnicas; las obligaciones y requisitos que deben
cumplir las entidades de certificacin de la informacin; las infracciones informticas; entre otras.
Un aspecto muy interesante, es lo relacionado con los delitos informticos, puesto que en esta Ley se
hacen reformas al Cdigo Penal a partir de su artculo 202; y, se consideran penalizaciones y multas para
la violacin de claves de acceso, la eliminacin o daos en la informacin almacenada en bases de datos
privadas o pblicas, la falsificacin de documentos electrnicos, apropiacin ilcita de informacin
confidencial y cualquier otro tipo de delito informtico. Cabe sealar que esta normativa es aplicable a
delitos realizados por los funcionarios de las entidades afectadas o por terceros (hackers).

UN ENFOQUE DE AUDITORA CONSIDERANDO LA TECNOLOGA DE INFORMACIN

La revolucin tecnolgica ha hecho ms complejo el trabajo de Auditora, tanto para los auditores
internos como para los externos, ya que los auditores modernos, al realizar la Auditora de Estados
Financieros, deben evaluar diferentes tipos de sistemas administrativos-contables, bajo diversas
plataformas tecnolgicas y diseos especficos de acuerdo a cada organizacin.
Los programas y procedimientos tradicionales de Auditora, se ven alterados o reemplazados por nuevos
procedimientos que incorporan la evaluacin del Control Interno informtico y el uso de nuevas
herramientas de anlisis de la informacin. Entre dichas herramientas de anlisis se encuentran las
pertenecientes a las Tcnicas de Auditora Asistida por Computador (CAATS).
Por ello, es indispensable que el auditor, durante la ejecucin de la Auditora, utilice la computadora
como una herramienta para mejorar la eficiencia en la revisin de la informacin y le permita: ampliar el
alcance del examen, utilizar muestreo estadstico para la seleccin de transacciones y utilizar paquetes
informticos estandarizados para la administracin de la Auditora y el anlisis de datos.
En la actualidad al referirnos a la Auditora Financiera, es necesario hablar de auditora asistida por
computador y la Auditora de Sistemas de Informacin; las cuales a pesar de ser parecidas son diferentes
respecto al enfoque que tienen.
Auditora Asistida por Computador
Al hablar de auditora asistida por computador, nos estamos refiriendo a la utilizacin de las herramientas
informticas en la realizacin de un trabajo de auditora.
A continuacin se detalla de forma especfica algunas de las actividades que puede realizar el auditor
durante la ejecucin de su trabajo:
Evaluar la consistencia que presentan los sistemas de informacin; a travs, de realizar
simulaciones en paralelo de los procesamientos de informacin, desde el inicio hasta el final de
una transaccin de prueba.
Seleccin de muestras de un conjunto indeterminado de transacciones de forma rpida y efectiva,
en base a diferentes parmetros: estadsticos o contables.
Anlisis de datos de un universo de transacciones para verificar la integridad, consistencia y
confiabilidad de la informacin presentada a travs de los sistemas de informacin.
Conciliacin entre los datos presentados a travs de consultas y reportes, con los datos
almacenados en los sistemas de informacin para verificar la exactitud y confiabilidad del
procesamiento de datos.
Importacin de datos desde las bases de datos hasta la computadora del auditor, para que este
pueda realizar sus pruebas y anlisis, sin importar la plataforma en la que se encuentren los
sistemas de informacin.
Todas estas actividades antes mencionadas, pueden ser realizadas a travs de las siguientes herramientas
informticas:
Herramientas Generales.- Son herramientas bsicas para la creacin y administracin de documentos,
uso de clculos matemticos y financieros, la creacin de diagramas de procesos y organigramas, diseo
y presentacin de grficos estadsticos, envo de correo electrnico, etc. En esta categora de herramientas
informticas generales se encuentran: los procesadores de palabras como MS Word y Lotus WordPro, las
hojas de clculo como MS Excel y Lotus 1-2-3, los diseadores de grficos como MS Visio,
administradores de correo electrnico como MS Outlook, etc.
Herramientas Administrativas.- Son aquellas que permiten al auditor administrar todo el proceso de
Auditora desde la planeacin hasta la generacin de los informes. Permiten establecer presupuestos,
administrar las horas y carga de trabajo del equipo de auditores, administrar y clasificar los papeles de
trabajo, importar archivos contables para revisin y anlisis, relacionar la informacin entre los diferentes
papeles de trabajo, etc. En esta categora se encuentran: Microsoft Project, Caseware Time, Caseware
Working Papers, Auditor 2000, etc.
Herramientas de Anlisis de Datos.- Estas herramientas le permiten al auditor acceder a diversos
archivos de almacenamiento de datos para poder realizar sus anlisis, utilizando muestreo o revisando el

cien por ciento de los registros, entre los archivos que puede revisar, se encuentran: hojas de clculo
(*.xls), bases de datos (*.mdf, *.dat), archivos planos (*.txt, *.dbf), entre otros. En esta clasificacin se
encuentran programas como: IDEA, ACL, APOYO, etc.
Herramientas Especializadas.- Estos son herramientas basadas en los sistemas expertos, utilizando
bases de conocimientos predefinidos para el anlisis del control interno. Estas herramientas utilizan
cuestionarios con preguntas cerradas y dividen las preguntas por categoras. A estos conjuntos de
preguntas se las conoce como CheckList.
En la prctica estos tipos de herramientas son de gran ayuda para mejorar la evaluacin de las reas
examinadas pues permiten realizar pruebas de cumplimiento y pruebas sustantivas, permiten el uso de
herramientas y grficos estadsticos, retroalimentan sus bases de conocimientos para futuras revisiones,
presentan informes flexibles y dinmicos, entre otras cosas. En esta categora se encuentran programas
tales como el COBIT ADVISOR, para la evaluacin del control interno informtico.
La Auditora Informtica
La auditora informtica es un proceso sistemtico de revisin y evaluacin de los controles, sistemas,
polticas y procedimientos implementados en el ambiente de Procesamiento Electrnico de Datos (PED);
la proteccin de los recursos informticos; la seguridad, integridad y confidencialidad de la informacin;
y, la eficiencia y eficacia en el uso de los recursos tecnolgicos. Un punto clave de mencionar es el hecho
de que muchos auditores al referirse a la auditora informtica prefieren llamarla Auditora de Sistemas de
Informacin, ya que as la definicin del prrafo anterior, involucra la informacin almacenada en medios
escritos y electrnicos.
De la definicin anterior podemos notar, que dentro del proceso de auditoria de los Sistemas de
Informacin, es importante que el auditor se enfoque hacia los siguientes aspectos:
La administracin del rea de Procesamiento electrnico de Datos.
Los Controles, polticas y procedimientos que garanticen la eficiencia y eficacia en el uso de los
recursos informticos.
Los controles implementados para la proteccin, confiabilidad e integridad de la informacin.
La auditora informtica puede ser utilizada para evaluar diferentes aspectos de tecnologa de Informacin
dentro de una organizacin. Como podran ser:

Gestin del rea P.E.D.

Sistemas de Informacin
Control de la Informacin
Seguridad de los recursos de TI
Disposiciones Legales

Tcnicas de Auditora Asistidas por Computador (TAACs)

Las TAACs son un conjunto de tcnicas y herramientas utilizados en el desarrollo de las auditorias
informticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los anlisis efectuados por el
auditor, a los sistemas y los datos de la entidad auditada.
Dichas tcnicas incluyen mtodos y procedimientos empleados por el auditor para efectuar su trabajo y
que pueden ser administrativos, analticos, informticos, entre otros; y, los cuales, son de suma
importancia para el auditor informtico cuando este realiza una auditora.
Dentro de las TAACs se clasifican diferentes tipos de herramientas como el uso de los paquetes
informticos de auditora estandarizado, los programas utilitarios y los programas de auditora a la
medida. Estos permiten la realizacin de pruebas y procedimientos analticos, pruebas sustantivas,
pruebas de cumplimiento y evaluacin de los controles informticos implementados en los Sistemas de
Informacin.

USO DE LOS SISTEMAS DE INFORMACIN PARA AUDITORA Y CONTROL DE GESTIN

Software para Auditora y Anlisis de Datos

El software de mayor uso en la extraccin y el anlisis de datos es IDEA (por sus siglas en ingls),
significa Interactive Data Extraction and Analysis (Anlisis y Extraccin Interactiva de Datos) y es una
verstil y til herramienta que permite la ejecucin de pruebas de auditora de forma eficiente y segura,
adaptable para casi todas las plataformas tecnolgicas de manejo de Bases de Datos.

El uso de este tipo de herramientas, facilita el acceso a los datos de los archivos y bases de datos sujetas a
auditora, sin depender del personal de sistemas; lo cual, facilita mantener un nivel de independencia
aceptable por parte del auditor. Adems, que su aplicacin no requiere de avanzados conocimientos en el
diseo de sistemas de informacin o el procesamiento electrnico de datos.
Por otro lado, la capacidad que tiene este producto para acceder a un gran volumen de datos, es casi
infinito. Por ejemplo, el nmero de campos por cada tabla abierta es de mximo 32,167; el nmero de
registros que pueden ser ledos por cada tabla es de 2.1 x 1012 y el tamao del archivo que puede ser
abierto es de hasta 1.8 x 1018; lo cual, demuestra la gran capacidad que tiene este software para acceder a
la informacin de grandes corporaciones que manejen gigantescas Bases de Datos.

Ventana Base de Datos de IDEA.

IDEA le permite al auditor conocer algunas caractersticas de inters sobre los campos que componen a
las tablas examinadas. En el caso de los campos tipo fecha, se presentan las siguientes estadsticas: el
nmero de registros, los registros en blanco, valores correctos, la fecha ms temprana, la fecha ms tarda,
numero de registros ms tempranos, ms tardos, el da ms comn y el nmero de registros por cada mes
del ao, lo cual, le permite al auditor conocer si los registros almacenados corresponden a fechas
razonables y si el comportamiento transaccional es de acuerdo a lo esperado.
Asimismo, para los campos numricos se presentan las siguientes estadsticas: Valor Neto (Sumatoria
entre positivos y negativos), Valor Absoluto (Sumatoria sin importar positivos y negativos), nmero de
registros, nmero de elementos cero, Valor positivo (Sumatoria de los valores positivos), Valor negativo
(Sumatoria de los valores negativos), nmero de registros positivos, nmero de registros negativos,
nmero de datos errneos, nmero de datos correctos, Valores mnimo, mximo y medio; entre otros.
Estas estadsticas le permiten al auditor, conocer el comportamiento de los datos y detectar
irregularidades o errores. Un aspecto interesante, es el hecho de que el auditor, con un clic, puede
visualizar y guardar los datos correspondientes a cada estadstica.

Entre las muchas pruebas y anlisis que puede realizar el Auditor, tenemos: deteccin de campos
duplicados, deteccin de registros potencialmente fraudulentos, anlisis de tablas dinmicas, deteccin de
registros eliminados, comparacin de registros, antigedad de registros, etc.
Software para administrar el proceso de Auditora y los papeles de trabajo
A este respecto se cuenta con herramientas como Caseware Working Papers, el cual, es un software
especializado en la administracin y generacin de papeles de trabajo de auditora, con un ilimitado
nmero de funciones y comandos, que permite mejorar el desempeo de los auditores, especialmente los
Asistentes y Senior's de Auditora, en la ejecucin de pruebas y documentacin de evidencias.

Ventana de Inicio de Caseware Working Papers.

Entre las muchas funciones que tiene este software, est la generacin automtica de ciertos papeles de
trabajo estandarizados, como las cdulas sumarias y analticas, cuyas marcas de referencia incluyen el
cdigo, el responsable y la fecha de elaboracin y revisin del documento; enlazar documentos, acceder a
archivos de Excel y Word, generacin de informes de auditora automticos, importacin de las cuentas y
saldos contables, etc.

CONCLUSIONES
La tecnologa de la informacin se ha convertido en uno de los recursos ms indispensables para
las organizaciones en su camino hacia la competitividad y el servicio de calidad. Esto ha
originado nuevos riesgos y amenazas que en caso de no ser atendidos de manera oportuna podra
dar lugar a cuantiosas prdidas econmicas.
El Control Interno Informtico en muchas organizaciones no es considerado como un aspecto
crtico dentro de la gestin empresarial y pasa a ser un aspecto secundario dentro de los procesos
y actividades operacionales y administrativas.
El desarrollo de los Sistemas de Informacin brindan al auditor informtico nuevas tcnicas y
herramientas que mejoran el proceso de ejecucin de la auditora; pero que lastimosamente no ha
sido aprovechado al mximo.
El auditor moderno se enfrenta a nuevos desafos asociados al manejo de la tecnologa de
informacin, ya que requiere que adquiera nuevos conocimientos y desarrolle nuevas habilidades
respecto al manejo de las herramientas informticas, bases de datos y software de auditora.

 Existen en el mercado diferentes tipos de software de auditora que mejoran considerablemente el

proceso de ejecucin de la auditora, el anlisis de datos y la evaluacin del control interno
informtico y que deben ser aprovechados de forma adecuada en los trabajos de auditora.

RECOMENDACIONES
Las organizaciones requieren incorporar mecanismos de control, tanto administrativos como
informticos que garanticen establecer un nivel adecuado de seguridad de la informacin y que
garantice la salvaguarda de los recursos informticos.
Hoy ms que nunca, el Control Interno Informtico merece profunda atencin por parte de
gerentes, auditores y usuarios dentro de las organizaciones, ya que esta debe abarcar aspectos
relacionados a la tecnologa de informacin con el objetivo de garantizar la integridad,
confiabilidad y disponibilidad de la informacin.
Los Gerentes del primer nivel Jerrquico de las organizaciones, deben tomar la seria
responsabilidad de establecer los lineamientos y estrategias que permitan una adecuada gestin de
la Tecnologa de Informacin que apoyen de forma significativa el logro de los objetivos de la
organizacin y minimice los riesgos operativos a los que est expuesta.
Es necesario que los auditores financieros tradicionales conozcan que el enfoque de la auditora
moderna ha cambiado e incorpora la tecnologa de informacin dentro de sus objetivos y
procedimientos, por lo que es indispensable que el auditor aproveche el uso de los sistemas de
informacin para asegurar la eficiencia, calidad y confiabilidad de la auditora.
Los auditores en Control de Gestin deben desarrollar nuevas habilidades y adquirir constante
entrenamiento en el uso de las Tcnicas y Herramientas Informticas, que le permitan realizar una
evaluacin integral de la organizacin a nivel operativo, financiero, administrativo e informtico.

REFERENCIAS
1. Sistemas de Informacin Gerencial Autores: Kenneth C. Laudon Jane P. Laudon, Editorial:
Prentice Hall, Sexta Edicin, 2002
2. Auditoria Informtica Autor: Jos Antonio Echenique, Editorial: McGraw-Hill, 2nd edicin
Octubre 2001
3. Auditoria Informtica: Un enfoque prctico Autor: Mario Piattini, Editorial: Alfa Omega ,
Agosto 2001
4. COBIT 2da Edicin ISACA, 2002
5. Enciclopedia de la Auditoria Grupo Ocano, Febrero 1999
6. Normas Ecuatorianas de Auditora (NEA) Federacin Nacional de Contadores Pblicos,
Editorial: PUDELECO Editores S.A., Primera Edicin, 2000.
7. Principios de Auditora Walter B. Meigs, Editorial Diana, Primera Edicin, Mayo de 1977.
8. Auditora Informtica, Aplicaciones en Produccin Jos Dagoberto Pinilla, ECOE Ediciones,
Primera Edicin, 1997.
9. Declaraciones sobre Normas de Auditora AICPA, Quinta reimpresin 1978.
10. Piratas Cibernticos, Cyberwars, Seguridad Informtica e Internet Jess de Marcel Rodao,
Editorial: Alfa Omega, 2002.