aui sistemas de informacion
TRANSCRIPT
1
APUNTES DE
AUDITORÍA INFORMÁTICA
Fco. Javier Nava García
2
1 CONCEPTOS BÁSICOS DE SISTEMAS DE INFORMACIÓN 1.1 INTRODUCCIÓN
1.2 LA TEORÍA GENERAL DE SISTEMAS
1.2.1 Estrategia, estructura e información: evolución histórica 1.2.2 Consideraciones sobre los sistemas de información
1.3 LOS SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN(SIG)
1.3.1 Los Sistemas de Información para la Gestión: Orígenes 1.3.2 Situación actual
1.3.2.1 Introducción 1.3.2.2 Concepto de Sistema de Información para Gestión 1.3.2.3 Problemas del entorno sociotécnico 1.3.2.4 Particularidades del recurso Información 1.3.2.5 Análisis de los diferentes tipos de información a considerar
1.3.2.5.1 Influencia del tipo de problema 1.3.2.5.2 Influencia del destino de la información 1.3.2.5.3 Fusión de ambas perspectivas
1.3.2.6 Problemas del entorno cultural 1.3.2.7 Ampliación del concepto Estructura del Sistema de Información para
Gestión 1.3.2.7.1 Formas de describir un SIG 1.3.2.7.2 Sistemas de Información formales e informales
1.1 INTRODUCCIÓN La información ocupa cada vez más un lugar preponderante en la escala de valores empresariales. Sobre todo, a medida que crece la empresa y se dividen y especializan sus funciones, la coordinación necesaria sólo puede alcanzarse con un buensistema de información.
Entendemos por información el conjunto de datos que sirven para tomar una decisión. En consecuencia, su necesidad es evidente tanto en la planificación estratégica a largo plazo como en la fijación de estándares para la planificación a corto. La información también es necesaria para el estudio de las desviaciones y de los efectos de las acciones correctoras; es un componente vital para el Control.
Finalmente, la incorporación de la informática en la empresa, al igual que en los demás aspectos de la sociedad, va a introducir un enfoque nuevo del tratamiento de los datos que cambiará en alto grado las funciones que actualmente existen en las empresas. 1.2 LA TEORÍA GENERAL DE SISTEMAS
La Teoría General de Sistemas lleva la atención al carácter dinámico ya la naturaleza interrelacionada de las empresas, su gestión y su entorno.
3
Durante mucho tiempo, la ciencia se ha preocupado de explicar los fenómenos observables reduciéndolos a unidades y elementos independientes unos de otros; la ciencia contemporánea se centra en el estudio de problemas de organización, de fenómenos no desagregables en sucesos independientes, de interacciones dinámicas y, en definitiva, en el estudio de totalidades. Lo más notable es que esta actitud aparece de forma independiente en distintas disciplinas científicas.
Esta orientación general de la ciencia denota la necesidad de una nueva disciplina científica, la Teoría General de los Sistemas, cuyo objeto es la formulación de principios válidos para los sistemas en general, sin que importe la naturaleza de los elementos integrantes, ni de sus interrelaciones.
En el fondo de la Teoría General de Sistemas late la línea de pensamiento de que, si bien no es posible reducir a un solo nivel común todos los planos de la realidad, sí es posible, en cambio, detectar uniformidades estructurales, es decir, es posible establecer isomorfismos entre aspectos muy distintos de la realidad.
La Teoría General de Sistemas ofrece al investigador y al ingeniero una serie de
posibilidades: • Aporta un enfoque holístico apoyado sobre la definición de sistema. Así pues, con la
perspectiva total se evita la visión miope que se preocupa de un aspecto pero ignora los demás.
• Patrocina la generalización de leyes particulares, mediante el hallazgo de isomorfismos entre distintas disciplinas.
• Fomenta el uso de modelos matemáticos que, con su lenguaje carente de contenido y su generalidad, pueden sugerir la existencia (o inexistencia) de analogías.
La Teoría General de Sistemas ofrece una solución cuando se contempla la empresa
como formando un todo unitario y en una eficaz relación con el entorno económico-social dentro del cual desarrolla su actividad. Las empresas son sistemas abiertos que reciben entradas (flujos de materias y energía, trabajo, capital, información, etc.), las transforman (operaciones que añaden valor o utilidad), y generan unas salidas (bienes y servicios, progreso de la empresa y su personal, satisfacción, beneficios sociales, etc.).
La Teoría General de Sistemas, pues, nos proporcionará los conceptos y métodos que constituirán un marco de referencia fructífero para el estudio de las organizaciones y facilitarán la integración del conocimiento fragmentario que existe sobre ellas.
La importancia que este enfoque interdisciplinario tendrá para la Organización de Empresas es indudable, pero en el área de los sistemas de información para gestión, es ya un enfoque imprescindible para un desarrollo eficaz. Característica ésta lógica si se considera la repercusión interdepartamental de la información como se analizará más adelante. 1.2.1. Estrategia, estructura e información: evolución histórica
4
Antes de pasar a la siguiente sección, donde se expondrán los orígenes, proble- mas y tendencias actuales en los sistemas de información para gestión, nos parece conveniente, siguiendo un paralelismo con el desarrollo histórico del punto anterior, incluir algunas ideas relativas a la evolución de las estrategias y estructuras empresariales y su conexión con la información.
Los inicios del tipo de empresa actual, caracterizada por departamentos y divisiones con gran autonomía, se sitúa en 1.908, con la creación de la General Motors Corporation. Reuniendo un grupo de fabricantes de automóviles inició una cadena de sucesos que cambiaron la naturaleza de la organización, dirección y estrategia en los EE.UU.
La crisis económica de 1.920 y los cambios internos de dirección de la GM, consolidaron este enfoque. Se desarrolló una organización descentralizada y coordinada con líneas de responsabilidad y autoridad claramente establecidas. Dos conceptos de información tuvieron notable importancia en esta reorganización: la coordinación por comités y la gestión con controles estadísticos y financieros.
La estructura de comités suministró la comunicación necesaria entre las distintas funciones en la empresa. El sistema de control proporcionaba los hechos significativos de la empresa a utilizar en decisiones estratégicas, sobre todo en períodos de crisis.
Mientras la GM se estaba constituyendo en una firma diversificada e integrada verticalmente, que ofrecía diversidad de automóviles, la Ford perseguía una estrategia de mayor concentración. En 1.908, Ford produjo el primer modelo T. Quince millones de este modelo se venderían en los 19 años de vida del producto. Con el automóvil de Ford a bajo precio y de distribución masiva, llegaron las ideas de la fabricación en serie y salarios mínimos altos.
Otra idea precursora del pensamiento moderno de gestión lo tenemos en las ideas de mercadotecnia masiva. En 1.891 Sears, Roebuck and Co. publicó su primer catálogo. En 1.908 la compañía Sears se había consolidado suministrando a la América rural y aislada diversidad de productos a precios relativamente bajos. Aprovechando el buen servicio de correos y los bajos precios postales, la compra por correo sirvió para transmitir grandes cantidades de información sobre su negocio (anuncios, descripciones de productos e impresos y procedimientos para hacer pedidos) directamente a la casa de sus clientes. La introducción del sistema de paquete postal, en 1.913, facilitó el crecimiento de este tipo de actividad comercial.
Fue en 1.925, siendo el automóvil ya muy popular, cuando Sears empezó su importante expansión geográfica estableciendo las cadenas de tiendas. Hoy día esta tendencia de tiendas abiertas al público empieza a declinar a medida que los teléfonos libres de cargo, las tarjetas magnéticas de crédito y las posibilidades del videotexto y de la telemática en los hogares vuelven a hacer atractiva la venta por correo ya distancia. En 1.927 la Bell desarrolló una teoría sobre la organización que se iniciaba con el individuo y los elementos que le inducían hacia su participación en la empresa. Luego, se analizó cómo se organizan los grupos que favorecen un comportamiento cooperativo; y de estas investigaciones se dedujeron las siguientes funciones del ejecutivo:
5
• Formular y definir los objetivos de la empresa. • Capitalizar y organizar la adquisición de los recursos necesarios para lograr estos
objetivos. • Aportar un sistema de comunicación para todos los miembros de la empresa
cooperadora.
La teoría desarrolada en Bell influenció a algunos investigadores y les llevó a considerar que el proceso de toma de decisiones es la unidad básica para el análisis de las organizaciones. La necesidad de decidir origina un problema que se resuelve con la búsqueda de soluciones satisfactorias aceptables y se mejora con el aprendizaje adaptativo. Esta teoría integra plenamente el proceso de la información y comunicación en la teoría de las organizaciones.
En 1.967 en el libro "Organización y Entorno , se aborda el problema del diseño organizativo diferenciando las actividades de la empresa en tareas realizables y controlables y luego integrando estas tareas en una estructura que asegure el correcto cumplimiento de cada una de ellas. Para llevar a cabo acertadamente este proceso de diferenciación e integración de tareas hace falta coordinar con comunicación e información.
Pocos años después, un investigador analizó al directivo desde la perspectiva de sistemas de tratamiento de la información. Centros nerviosos que adquirían información del entorno externo y la operativa interna, la transformaban, la diseminaban selectivamente a subordinados y personal externo, y la utilizaban para tomar decisiones y formular la estrategia.
En el libro Organization Design, se hacían de la información, comunicación y coordinación las ideas centrales del diseño de las organizaciones. En su enfoque, la información consiste en la reducción de la incertidumbre, lo mismo que postulaban Shannon, Wiener y otros. Además, las organizaciones se diseñan para afrontar la incertidumbre. Cuanto mayor es la incertidumbre de la tarea, mayor es la cantidad de información que han de manejar los decisores para realizarla.ñ
Desde otro punto de vista para la misma situación, en otro libro Organizational Design (1.978) se introduce otro factor. Puesto que el manejo de la información es básico para el funcionamiento de una empresa, constituye la fuente primera de poder en la empresa. Quien sea que controle la información seleccionándola, filtrándola, transformándola y distribuyéndola, adquiere poder sociopolítico.
La centralización de la información centraliza el poder; la distribución de la in- formación descentraliza el poder. Además, el mismo sistema de información determina los criterios de evaluación del cumplimiento y para la distribución de premios y penalizaciones. Los sistemas de información implantados con una tecnología de la información de crecientes posibilidades permiten el tipo de seguimiento necesario para convertir el control de esta tecnología y de los sistemas en una fuente de poder en la empresa.
6
En el libro Information Organization and Power: Effective Management in the Knowledge Society" (1.981), se exponen muchas implicaciones prácticas de esta perspectiva. 1.2.2. Consideraciones sobre los sistemas de información
Las relaciones entre tecnología de la información, conceptos e ideas sobre la in- formación y las formas de organización humana, han estado próximas desde los inicios de la civilización. Se pueden destacar tres instantes como críticos en el progreso de la humanidad. Unos 100 años después de Cristo tuvo lugar la invención del papel en China. Tuvo una gran repercusión social el pasar del conocimiento privado y oral al conocimiento público y escrito. Aparecieron los primeros diccionarios y farmacopeas, y se impulsó el desarrollo de nuevas instituciones educadoras y alquímicas.
Unos 1.500 años después, el mismo proceso social se puso en marcha con la invención de la imprenta por Gutenberg. Desaparecieron muchos trabajos de escribientes y se redujo aún más la importancia de la tradición oral. En contrapartida, se abrieron nuevos cauces para la educación pública y se hizo posible la proliferación de las bibliotecas.
El tercero es la aparición del ordenador. ¿Qué diferencia a las dos primeras innovaciones del pasado de la de la era moderna?
La diferencia está en que el papel y la imprenta se introdujeron en sociedades ajenas a la información. Las preocupaciones sociales prevalecientes en la época eran la agricultura y pequeñas industrias, respectivamente. Fueron tecnologías pioneras que propugnaban nuevas ideas y formas organizativas; pero el paso de la sociedad era más lento, y su germinación y difusión lo fue también.
La situación ha cambiado, el signo de nuestro tiempo es la información. Por primera vez en la historia de la humanidad algunos países desarrollados están dedicando aproximadamente la mitad de su producto económico a actividades relacionadas con la información; y en naciones como EE.UU., más de la mitad de los puestos de trabajo existentes están ligados de alguna forma a ocupaciones relacionadas con la información. 1.3. LOS SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN(SIG) 1.3.1. Los Sistemas de Información para la Gestión: Orígenes
Aunque este campo de conocimientos se caracteriza en la actualidad por la utilización de la tecnología informática y de telecomunicaciones, su origen se remonta a los primeros trabajos sobre gestión donde ya se resaltaba la importancia de la información en el proceso de toma de decisiones de los directivos.
Por ejemplo, ya en 1.938 se señalaba en el libro Las Funciones del Ejecutivo que la proliferación rápida y creciente de datos exigiría una mayor atención a la calidad de las decisiones. A su vez, la calidad en la toma de decisiones depende de la capacidad del directivo para transformar los datos en la información que se ajuste a la perspectiva del mismo para decidir.
En 1.947 algunos investigadores trataron de determinar procesos que permitieran a los directivos estructurar la información necesaria para las decisiones. Estos trabajos, junto
7
a la irrupción de los ordenadores, llevaron en 1.958 la publicación de un artículo que proporcionó una base conceptual inicial para el análisis del proceso de datos (utilización de los ordenadores para el tratamiento de los datos) y de su influencia en las organizaciones y toma de decisiones. Los autores predijeron que la Tecnología de la información tendría una importante repercusión organizativa.
Tras dicho artículo, muchos investigadores empezaron a explorar los desarrollos en ingeniería eléctrica y en los centros de cálculo; así como a especular sobre el posible impacto sobre las personas, las organizaciones, las actividades de gestión, etc. Esta corriente de estudio sigue en la actualidad.
Simultáneamente, el crecimiento explosivo de los datos y la información fue teniendo lugar a un ritmo superior al previsto. Una muestra representativa típica de ello la constituye la Biblioteca del Congreso en EEUU. El número de volúmenes se duplicó entre 1.933 y 1.966. Se volvió a duplicar en 1.979 y así mismo en 1.987.
De forma progresiva, ya en los años 60 y en los 70, las empresas trataban de utilizar la tecnología de la información para contrarrestar: tanto el aumento del número de datos e información dentro de la empresa, como las. fuertes alzas de costes en personal, energía y materias primas. Las claras ventajas de las tecnologías de la información como medio cada vez más imprescindible para afrontar las crecientes necesidades de tratamiento de datos, unido al abaratamiento de los equipos, ha llevado a una penetración continua y profunda de la informática en las empresas.
En los últimos años, el ritmo de la penetración de las tecnologías de la informática y las comunicaciones en las empresas y la sociedad se ha acelerado impresionantemente. En gran medida esto se ha facilitado mucho con la introducción de los miniordenadores y sobre todo con la llegada del PC y sus económicos precios.
Así, por ejemplo, un PC actual tiene más de 100 veces la capacidad de cálculo de un ordenador de 35 millones de pesetas en 1.970. Este cambio de economía ha transformado esencialmente tanto la naturaleza como la repercusión de las nuevas aplicaciones de esta tecnología. Las previsiones señalan que esta penetración en la empresa continuará durante esta década con las mismas características de reducción de costes y aumento de capacidades técnicas.
Como respuesta a esta evolución, muchas compañías crearon departamentos de proceso de datos dependientes de aquel departamento que más le hiciera falta. En la actualidad, muchos de estos departamentos han pasado a depender directamente de la alta dirección de la empresa. Su liderazgo ha cambiado de una situación fundamentalmente técnica a otra con una gran componente de dirección general. Importantes dotaciones de personal y equipos se han distribuido en muchas partes de la organización como son ingeniería, producción, I+D y mercadotecnia. 1.3.2. Situación actual 1.3.2.1. Introducción
8
Como se indicó en el apartado anterior, los Sistemas de Información para Gestión (SIG) constituyen un campo de conocimientos reciente en el contexto de la dirección general de la empresa.
La década de los años 50 marca en EE.UU. la introducción de los grandes ordenadores en las empresas privadas. Desde entonces, las mejoras tecnológicas y de precio se han sucedido a gran ritmo, provocando un creciente número de oportunidades de aplicación y problemas de implantación cuya tendencia permanece en la actualidad.
Algunas razones sobre el por qué estudiar los Sistemas de Información para Gestión (SIG) son: • Fuente de empleo: "El 90% de los puestos de trabajo creados desde 1970 pertenece a
información/ educación/ servicios; sólo el 5% corresponde a fabricación. • La Unión Europea (U.E.) la ha señalado como una de las áreas prioritarias de
investigación, buena prueba de ello son los proyectos de desarrollo de tecnología ESPRIT, junto a los programas educativos como ERASMUS, o incluso aquellos más enfocados a la transferencia de tecnología como los BRITTE, entre otros.
• La Tecnología de Información (T.I.) es una fuerza económica y social de los 90, al igual que calidad lo fue en los 80, finanzas en los 70, mercados en los 60, y producción en los 50.
• Los Sistemas de Información para Gestión (SIG) forman un componente de la empresa del que dependen todos los demás, y especialmente los procesos de planificación, control, toma de decisiones y operaciones. Si la información de partida falla, no es de esperar mejor fortuna en las decisiones de ella derivadas.
• La inclusión de la Tecnología de Información (TI) en los planes estratégicos de muchas empresas están convirtiendo a este departamento en un subsistema clave dentro de las políticas competitivas.
Para poder aplicar plenamente las TIs es necesario comprender algunas ideas básicas,
expuestas en los apartados siguientes. 1.3.2.2. Concepto de Sistemas de Información para Gestión:
El concepto del Sistema de Información para Gestión no ha cambiado en las dos últimas décadas.
Fundamentalmente consiste en un sistema integrado usuario-máquina que desempeña cuatro funciones principales (ver la Figura 1.1): • registrar las transacciones u operaciones diarias de la empresa, • aportar información para planificación y control, • ayudar a la toma de decisiones, y • tomar decisiones previamente programadas.
9
La primera función es la más extendida, de tal manera que se estima que e195% de todas las aplicaciones actuales de los ordenadores se incluyen en esta categoría.
Figura 1.1. Componentes de un Sistema de Información para Gestión. En la segunda se incluyen la generación de informes predefinidos para
planificación, control por excepción, etc. Los sistemas de ayuda a la toma de decisiones constituyen la tercera vía a
considerar. Consisten en una interacción directa hombre/máquina, típicamente a través de lenguajes de interrogación a una Base de Datos (BD) o a una Base de modelos (BM). Esta última permite analizar los datos de diversas formas (optimización, simulación, descripción,..). De esta manera, el ordenador no solo aporta información sino que también ayuda activamente en diversas etapas del proceso de toma de decisiones.
La cuarta contiene aquellos programas que ofrecen una decisión completa sobre un problema. El sector con mayores repercusiones de este área lo forman los llamados sistemas expertos. Estos sistemas pretenden sustituir las funciones de un experto humano en un área muy concreta, así como tenerlas disponibles en cualquier punto donde se pueda ejecutar dicho programa. 1.3.2.3. Problemas del entorno sociotécnico
El problema capital de los SIGs y origen de todos los demás reside en su complejidad. Se trata de sistemas sociales y técnicos que además pueden verse gravemente afectados por factores de tipo de volumen, comunicativo, económico, psicológico o político.
Empezando con los problemas de volumen, la infinidad de datos y aplicaciones que se utilizan en la empresa ha llevado a abandonar el concepto de un único sistema completamente integrado, en favor de una federación de subsistemas que se van incorporando al SIG con arreglo a un plan maestro, normas y procedimientos preestablecidos. La Figura 1.2 muestra los subsistemas típicos y su integración a través de los datos.
10
Figura 1.2. Sistemas de información para Gestión soportados por la Base de Datos
En cuanto a la comunicación, algunos autores estiman que un 80% de los problemas
de las empresas radican en problemas de esta índole. En el caso de los SIGs, en donde los sistemas que se construyen requieren de la
participación y colaboración de personas de muy diversas procedencias, la necesidad de conseguir una comunicación fluida, fiable, y que no fomente falsas expectativas es vital.
Respecto al económico, estamos en la economía de la información y todavía no hemos aprendido a valorarla adecuadamente. La consideración de beneficios intangibles, la convergencia de los objetivos del SIG con los de la empresa, y la adecuación a la capacidad técnica disponible, son factores adicionales que pueden limitar en cualquier momento los resultados potenciales.
Los factores psicológicos, y especialmente los referentes a la motivación, suponen otro imperativo para lograr la aceptación, uso, colaboración, responsabilización y apoyo, tanto de la alta dirección como de los usuarios.
El carácter interdepartamental de muchas de las aplicaciones también precisa de la creación de grupos de trabajo, siendo muy conveniente el conocimiento de disciplinas como la dinámica de grupos y relaciones interpersonales.
El temor a lo desconocido, así como los cambios profundos en la estructura de la empresa que muchas veces acompañan a estos proyectos, hace necesaria una correcta gestión del cambio. Las técnicas del Desarrollo de la Organización se hacen indispensables en estos casos.
El último problema del entorno lo presenta la Tecnología de la Información. En primer lugar, es una tecnología diferente a la tecnología industrial tradicional. Dos de sus características mas destacables son: Su flexibilidad y maleabilidad. El hecho de ser modificable a voluntad. Hace que un
cambio radical de diseño en un producto sea fácil de introducir y apenas encarezca los costes; basta con cambiar los programas y/o los diseños de las Bases de Datos en cuestión.
11
El aprendizaje continuo a que da lugar. Además de la formación necesaria en el uso de las herramientas, como sucede en la tecnología tradicional, aquí hace falta también aprender cómo aplicarla en el conjunto de problemas correspondientes. Este proceso suele empezar automatizando formas antiguas de hacer las cosas. obteniendo mejoras en eficiencia, y continuando con cambios posteriores más profundos y eficaces a medida que se va aprendiendo de su uso.
A lo anterior habría que añadir la evolución vertiginosa de las TIs (Figura 1.3). Por
citar algunos cambios radicales: trabajo por lotes, interactivo, tiempo real, miniordenadores, microordenadores, bases de datos (B.D.), comunicaciones y redes, sistemas de fabricación flexible, ingeniería concurrente, sistemas expertos y visión artificial. Difícilmente da tiempo a madurar el conocimiento de una tecnología, cuánto menos su aplicación y gestión. 1.3.2.4. Particularidades del recurso Información
La información constituye hoy en día uno de los recursos más importantes de muchas empresas. Sin embargo, presenta características que ninguno de los demás recursos posee, y que contribuyen a incrementar los problemas anteriormente citados.
A diferencia del carbón, automóviles, alimentos o ropa, la información es expandible (crece con el uso); está diseminada (tiende a difundirse o filtrarse, siendo difícil mantenerla secreta); y es compartible (si doy comida o vendo un coche dejo de tener esos recursos, si doy información no dejo de poseerla, sino que el dador y el receptor la comparten).
Además, el recurso información es algo más que el recurso físico o dato; requiere de una interpretación de los datos dentro de un contexto determinado. Incluso se ha señalado que la información debería tener un efecto sorpresa, debería aportar luz sobre algo desconocido. La información que no sorprende es probablemente irrelevante o redundante.
Por otra parte, la información no tiene valor intrínseco, a diferencia de los demás recursos. Si pierdo un diamante y el papel con la dirección del joyero que lo iba a tallar, el que se encuentre el diamante mantendrá el valor del mismo, pero el que se encuentre el papel con la dirección no podrá darle ningún significado y consiguiente valor.
Por último, el coste de la información crece con la precisión, cantidad o volumen, calidad, rapidez de respuesta, y distribución. Proporcionar la información adecuada, en el instante adecuado, a la persona adecuada, con el coste mínimo, son los objetivos tradicionales del SIG desde el punto de vista de apoyo a los demás subsistemas de la empresa.
Sin embargo, con ser importante el lograr el objetivo mencionado en el anterior párrafo, y constituir la meta tradicional del SIG, no deja de ser un objetivo orientado a mejorar la productividad o eficiencia principalmente. La Figura 1.3 destaca un segundo objetivo que cada vez está adquiriendo una mayor relevancia, y que se podría incluir en los de eficacia empresarial: uso de la Tecnología de la Información para obtener ventajas competitivas.
12
Un ejemplo de utilización de la Tecnología de la Información para obtener ventaja competitiva se puede ver con un caso de una empresa distribuidora de revistas a quioscos y tiendas. Este segmento industrial se encontraba dominado por un tipo de competencia basado en distribuir a precio mínimo. La distribuidora en cuestión decidió apoyarse en el hecho de que sus clientes eran pequeñas empresas, poco complejas, y desconocedoras de su mercado potencial, así como de la combinación de revistas a vender mas adecuada (mix del producto). Utilizando sus registros de envíos semanales y devoluciones de los distintos puestos, la distribuidora podía ver lo que se estaba vendiendo en cada quiosco. El desarrollo de unos programas que calculaban el beneficio por metro cuadrado para cada revista, y que comparaba estos datos con los de los puestos similares en características económicas y del entorno socio-económico, permitió a la distribuidora decir a sus clientes cómo podrían mejorar su combinación de productos. Este uso inteligente de un sistema de gestión de inventarlos cambió la forma de competencia para dicha empresa, hasta ese momento basada en precios. El servicio aportado la diferenciaba de las demás y le permitió la subida de precios sin reducir la demanda.
Figura 1.3. Utilización de la Tecnología de la Información para conseguir ventaja competitiva.
1.3.2.5. Análisis de los diferentes tipos de información a considerar
Hasta este apartado se ha tratado al recurso información desde el punto de vista externo. La dificultad, una vez más, aumenta por la disparidad de propiedades y consiguiente tratamiento, según se analice el origen de la información o su destino. 1.3.2.5.1. 1nfluencia del tipo de problema
Las tomas de decisiones se pueden clasificar en un rango de tipos, estando en un extremo las estructuradas y en el otro las no estructuradas. Otras formas de dar nombre a estos tipos son: programadas y no programadas, implícitas y abiertas, analíticas y sintéticas.
Dentro del primer grupo se incluyen aquellas decisiones repetitivas y rutinarias, para las que existe previamente un método bien definido para su tratamiento. En consecuencia son candidatas a una plena automatización.
El otro grupo corresponde a decisiones para las que hace falta definir el procedimiento para abordar el problema, ya sea por el carácter nuevo del mismo, por su
13
complejidad o por su importancia. En este caso, lo procedente es usar el ordenador como ayuda en la toma de decisiones, típicamente en forma interactiva hombre/máquina, como ocurre con las hojas electrónicas, lenguajes de interrogación a B.D., etc.
Algunos autores dividen el proceso humano de decisión y resolución de problemas en tres partes: • Inteligencia o información: viene a ser la respuesta a ¿cuál es el problema? • Diseño: ¿cuáles son las alternativas? • Selección: ¿cuál es la mejor alternativa?
Un problema completamente estructurado lo ha de ser en las tres etapas y, por lo tanto, ha de disponer de un algoritmo que permita dar respuesta a las tres preguntas formuladas.
Por otro lado, si el problema no está estructurado, pero alguna parte si lo está , se puede automatizar dicha parte y apoyar interactivamente las otras en los procesos que sean factibles de mecanización.
Esta es una de las ventajas de realizar este análisis de la toma de decisiones y que hace muy recomendable su consideración antes del diseño del sistema en cuestión. 1.3.2.5.2. Influencia del destino de la información
En la figura 1.4 se muestran las diferentes caracteristicas de la información necesaria para el desempeño de las funciones de gestión en los tres niveles típicos: operativo, gestión y estratégico.
Figura 1.4. El recurso información: disparidad de características según el destino de la
información. La disparidad que se muestra en la Figura 1.4, unida al hecho de que la implantación
de las TIs conlleva un proceso de aprendizaje continuo y consiguientes mejoras, cambios y desarrollo de nuevas aplicaciones, hace que la creación del SI totalmente integrado sea ineficiente e ineficaz.
Ello es debido, en primer lugar, al elevado coste que supondría la realización de un sistema tan complejo y con tan diversos usos; lo segundo, porque las fuentes de información son también, en gran medida, distintas según su finalidad.
14
1.3.2.5.3. Fusión de ambas perspectivas
Las dos perspectiva anteriores se pueden combinar como se muestra la Figura 1.6, denominando decisiones semiestructuradas aquellas en las que alguna de las fases de inteligencia, diseño o selección no está estructurada.
Figura 1.5. El recurso información: disparidad de características según el tipo de problema. Al mismo tiempo señalan las siguientes consecuencias:
• Necesidad de distribuir adecuadamente los esfuerzos de desarrollo de aplicaciones entre las seis áreas en función de su importancia para cumplir los objetivos de la empresa y no empecinarse sólo en alguna de ellas, como puede ser el caso típico del control de operaciones estructuradas por la tendencia natural hacia ellas.
• El proceso continuo de aprendizaje de las TIs hace que lo que inicialmente no estaba estructurado con el tiempo se entienda mejor y pase a estar estructurado, y plenamente, o en menor medida, mecanizable.
• Los problemas menos estructurados requieren más atención para la parte de definición del problema y desarrollo, mientras que los estructurados se centran básicamente en la implantación de un modelo general predeterminado, por ejemplo, de Investigación Operativa Esto hace que los procedimientos y conocimientos requeridos en cada uno de los dos casos sean distintos.
• Tanto en usuarios como en analistas los conocimientos implicados son muy distintos, según se trate de un problema de control de operaciones o de planificación estratégica. En el primer caso, es también más un proceso de aplicación de un modelo preexistente, mientras que en el segundo centra su atención en la creación de un modelo nuevo.
Además, el control de operaciones suele ser repetitivo y la eficiencia de diseño es un
factor muy relevante, mientras que el segundo caso suele corresponder a modelos de un sólo uso pero de amplia repercusión en la empresa, siendo por ello la situación opuesta. 1.3.2.6. Problemas del entorno cultural
15
Ya en publicaciones de los 60s se daba una señal de alarma sobre la falta de resultados satisfactorios en los SIGs y se señalaba cinco supuestos erróres sobre su diseño, muy extendidos entre los directivos.
Dichos errores se siguen cometiendo en la actualidad. A continuación destacamos tres de ellos, por su especial importancia. • La limitación más crucial de la mayoría de directivos es la falta de información.
Aun cuando esto es un factor importante, es más limitante el exceso de información irrelevante. Las consecuencias de partir del primer supuesto nos llevan a la Base de Datos infinita y a sobrecarga de información y problemas de estrés; mientras que partiendo del segundo supuesto se tenderá a diseñar un SIG con filtros, rutas de distribución, etc.
• El director necesita la información que desea.
Los problemas del mundo real son muy complejos y tienen un elevado grado de incertidumbre. En consecuencia, hay tendencia a reducirla con información, necesaria real o presumible, orientándose así de nuevo hacia la sobrecarga de información. • Directores controlados por ordenador.
Las TIs se están introduciendo por todas las partes de las empresas; el director debe conocerlas lo suficiente para poder valorar si Las Tis están haciendo lo que se supone que deben hacer. Aquellos directivos que no se preocupan en tener este mínimo de conocimientos informáticos y tienen a su servicio estos sistemas, se convierten muy fácilmente en víctimas de sus propios sistemas.
Las consecuencias de fracasos de implantación de SIGs pueden verse en un reciente informe del Govemment Accounting Office de los EEUU sobre el desarrollo de proyectos informáticos, recogido en la Figura 1.6.
Figura 1.6. El problema del desarrollo de proyectos informáticos, basado en un informe del Government Accounting Office de los EE.UU. 1.3.2.7. Ampliación del concepto Estructura del Sistema de Información para Gestión 1.3.2.7.1. Formas de describir un SIG
Al igual que cualquier sistema complejo, como es el caso de un automóvil, que puede explicarse en términos de sus características externas (forma, color, tamaño, ..), o por sus componentes (chasis, motor, transmisión..), su uso (deportivo, familiar, utilitario,..), etc., puede obtenerse una mejor comprensión del concepto del SIG analizándolo bajo diferentes criterios.
Cada una de estas clasificaciones aporta información adicional para entender mejor el sistema en estudio.
16
Las clasificaciones relevantes, en nuestro caso son:
• Componentes del SIG: computador y demás equipo físico; programas; BD; Base de Modelos; Procedimientos y manuales; y recursos humanos. La integración de todos estos elementos se consigue por diferentes vías, tales como Bases de Datos, planificación, directrices, procedimientos, normalizaciones, etc.
• Funciones del SIG: (ver Figura 1.1) • Departamento al que va dirigido (ver Figura 1.2) • Tipo de apoyo en la toma de decisiones (ver Figura 1.3) • Nivel de la pirámide de gestión al que va dirigido (ver Figura 1.4); • Salidas del SIG,...
En definitiva, la estructura del SIG queda definida como una federación de subsistemas para las diversas funciones de los departamentos, cada una de las cuales está dividida en los cuatro niveles de gestión señalados en la Figura 1.7. Cada subsistema contiene a su vez ficheros y programas específicos del subsistema y ficheros (BD) y programas (BM) que comparte con otros sistemas.
Figura 1.7. Estructura del Sistema de Información para Gestión
La Figura 1.8 muestra otra clasificación de los SIGs, (a) estructura d SIG según la pertenencia y perdurabilidad, (b) efecto de los SIGs sobre los tamaños relativos a los componentes del Sistema de Información (b ). Al mismo tiempo se aprecia el efecto del SIG informatizado en el sentido de aumentar la importancia del SI público formal.
17
Figura 1.8. Estructura del Sistema de Información para Gestión 1.3.2.7.2. Sistemas de Información formales e informales
La diferencia entre formal e informal suele basarse en que quede constancia escrita o no. La diferencia entre público o privado suele centrarse en la pertenencia a la empresa o al individuo.
El SIG basado en ordenadores es parte del SI público formal, sin embargo la última corriente de usuarios finales, sobre todo en lo que se refiere a aplicaciones de PCs, da también lugar a muchos SIs privados formales. Es interesante resaltar la importancia de estos subsistemas, porque todos ellos ocupan un lugar necesario en la empresa. Así, el SI público formal se caracteriza por pertenecer más a la posición que al individuo, sobreviviendo, en consecuencia, al cambio de personal. Simultáneamente proporciona un esquema de conceptos de la empresa común a todos, aumentando así la eficacia de comunicación y liberando tiempo para otras actividades.
El peligro de este sistema reside en que adquiera excesiva prepotencia y pase a dictar el comportamiento del personal de la empresa, en lugar de enriquecer a dicho comportamiento. Además, el coste de desarrollo y mantenimiento es alto, el tiempo de respuesta puede ser lento (recoger datos, introducirlos, tratarlos..), la fiabilidad en muchos casos puede ser baja (errores, asunciones, limitaciones de los modelos, tendencia a seleccionar información fácil de medir,..). Por otro lado, muchas decisiones importantes, en especial las más altas en la pirámide de gestión, necesitan información recibida a través de canales informales e incluso no formalizables.
18
2. INTRODUCCIÓN A LA AUDITORÍA 2.1. INTRODUCCIÓN
2.2. OBJETIVOS DE UNA AUDITORÍA
2.3. DEFINICIONES DE AUDITORÍA
2.4. ASPECTOS DE LA AUDITORÍA
2.4.1. Principio de Autenticidad 2.4.2. Clases de Auditoría 2.4.3. Beneficiarios de la auditoría
2.5. DESARROLLO HISTÓRICO DE LA AUDITORÍA
2.6. CONTROL INTERNO Y AUDITORÍA INTERNA
2.6.1. Concepto de control interno 2.6.2. Concepto y objetivos de auditoría interna 2.6.3. Características de la auditoría interna 2.6.4. Diferencias entre auditoría interna y externa
2.7. LOS PAPELES DE TRABAJO
2.7.1. Concepto y objetivos 2.7.2. Forma y contenido 2.7.3. Propiedad, custodia y conservación 2.7.4. Organización y archivo
2.8. LOS INFORMES DE AUDITORÍA
2.8.1. El Informe de auditoría 2.8.2. Objetivos del informe 2.8.3. Clases de informes 2.8.4. Elementos básicos del informe de auditoría 2.8.5. Tipos de opinión 2.8.6. Requisitos de un buen informe, responsabilidad de su contenido y publicidad 2.8.7. La carta de recomendaciones
2.1 INTRODUCCIÓN
Auditoría, en su sentido más general, se puede entender como la investigación, consulta, revisión, verificación, comprobación y obtención de evidencia, desde una posición de independencia, sobre la documentación e información de una organización, realizadas por un profesional, el auditor, designado para desempeñar tales funciones.
El auditor, cuando actúa como tal, no es responsable ni de la operación del organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los órganos directivos del organismo auditado. La función del auditor es la de examinar e informar sobre la documentación elaborada por los órganos directivos.
Ante la creciente complejidad de las estructuras empresariales y la creciente dinámica de los mercados y las interrelaciones de las empresas con sus mercados, la
19
Auditoría ha tenido que ir ampliando su campo de aplicación y salir del entorno Contable y Financiero, para abordar otras áreas operativas y funcionales de las empresas. También ha tenido que abarcar toda la diversidad de empresas y organismos públicos y privados que componen el tejido industrial, económico y social de nuestra sociedad. Por lo que, según el ámbito en que se aplique, hay que hablar de Auditoría Contable, Auditoría Financiera, Auditoría de Gestión, que comprende las dos anteriores, y, desde hace algunos años, de Auditoría de los Sistemas de Información.
Las auditorías son necesarias por diversos motivos, y entre los más importantes podemos citar los siguientes: • Ofrecer la seguridad a los propietarios de las empresas, o a las partes interesadas en las
organizaciones auditadas (accionistas), o a los responsables de sus actividades, de la fiabilidad de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe.
• Ofrecer la seguridad a otros posibles usuarios de los estados financieros, de la fiabilidad
de los estados financieros que se les presentan, en la medida indicada por el auditor en su informe. Estos usuarios pueden ser: acreedores, entidades financieras, personal, Hacienda Pública, inversores potenciales e instituciones supranacionales.
• Cuando se realiza una venta o cambio de titularidad o liquidación de una empresa, es
necesario conocer la fiabilidad de la valoración de dicha empresa. • Cuando se quiere acceder a subvenciones, o intervenir en proyectos de desarrollo o
producción promovidos por instituciones públicas nacionales o supranacionales, suele haber el requisito que obliga a efectuar una auditoría lo más completa posible.
• Según los países y el ámbito en que se mueve la empresa, hay obligación legal de
efectuar auditorías de forma periódica. 2.2. OBJETIVOS DE UNA AUDITORÍA
El objetivo fundamental de un trabajo de auditoría es permitir que el auditor llegue a estar en condiciones de informar fundadamente sobre la fidelidad y razonabilidad de la situación que refleja la documentación aportada por la empresa.
El auditor está obligado a establecer de forma inequívoca, según su criterio, si la imagen de la empresa es fiel y razonable en la documentación aportada. Si no ha podido confirmar estos términos, debe calificar su informe justificando las razones que le han llevado a considerar las desviaciones de fidelidad y razonabilidad, y en qué aspectos, y en qué medida, se ha incurrido en una formulación errónea. El auditor debe expresar con independencia su opinión.
Un trabajo de auditoría también tiene unos objetivos secundarios: 1. El examen del auditor no está específicamente destinado a descubrir actuaciones
anómalas, fraudulentas o, simplemente erróneas. Por tanto, no se debe esperar como resultado necesario.
20
2. La responsabilidad de la gestión y control corresponde a la administración de la empresa. El auditor no puede ejercer ninguna labor de protección en caso de incumplimiento de esas responsabilidades. En cambio, puede planificar su trabajo para poder descubrir los errores significativos provocados por irregularidades o fraudes, de los que informará cumplidamente a los administradores o a los socios, según corresponda.
3. El auditor no es responsable de la preparación de la documentación de la gestión (estados financieros, por ejemplo), ni de la valoración critica de la gestión directiva reflejada en dicha documentación. En cambio, debe asistir a la dirección en el establecimiento y mantenimiento de un sistema de control interno adecuado, informando de las deficiencias observadas en el mismo a lo largo de la auditoría.
4. El auditor está en condiciones de hacer sugerencias constructivas al cliente en relación con los aspectos operativos de la empresa.
2.3. DEFINICIONES DE AUDITORÍA
Hay diversas definiciones del concepto de Auditoría, entre ellas podemos tener en cuenta las siguientes: Norma AENOR X50-109:
Examen metódico de una situación relativa a un producto, proceso, organización, en materia de calidad, realizado en cooperación con los interesados, a fin de verificar la concordancia de la realidad con lo preestablecido, y la adecuación al objetivo buscado.
Ley 19/1988 de Auditoría de Cuentas:
"... la actividad que, mediante la utilización de determinadas técnicas de revisión, tiene por objeto la emisión de un informe acerca de la fiabilidad de los documentos contables auditados; delimitándose, pues, a la mera comprobación de que los saldos que figuran en sus anotaciones contables concuerdan con los ofrecidos en el balance y en la cuenta de resultados, ...".
Real Decreto 1636/1990 del Reglamento que desarrolla la Ley de Auditoría de Cuentas, Artículo 1°:
" 1.- Se entenderá por auditoría de cuentas la actividad, realizada por una persona cualificada e independiente, consistente en analizar, mediante la utilización de las técnicas de revisión y verificación idóneas, la información económico-financiera deducida de los documentos contables examinados, y que tiene por objeto la emisión de un informe dirigido a poner de manifiesto su opinión responsable sobre la fiabilidad de la citada información, a fin de que se pueda conocer y valorar dicha información por terceros". En resumen, en todas las definiciones de auditoría podemos encontrar varios puntos
comunes: • la realización de un examen ordenado y planificado, • la comprobación de la calidad de lo examinado, • la verificación de la fiabilidad de lo examinado en cuanto a los hechos reales que
refleja, y
21
• la obligación de informar a terceros con una opinión fundada.
Hemos de tener en cuenta que la auditoría no es un fin en si misma, sino que se trata de un instrumento que permite obtener la respuesta a objetivos de calidad y fiabilidad. 2.4. ASPECTOS DE LA AUDITORÍA 2.4.1. Principio de Autenticidad
El principio fundamental de la Auditoría es el de autenticidad, atendiendo a las definiciones dadas anteriormente en el apartado 2.2. El auditor tiene que analizar todos los elementos informativos de la empresa con dos objetivos principales: comprobar la corrección de lo realizado (calidad), y que la información presentada refleja la situación verdadera sin ambigüedades (fiabilidad). 2.4.2. Clases de Auditoría
La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.
Pasamos a desarrollar estos aspectos:
Por el sujeto que la efectúa: • Auditoría interna: Está a cargo de empleados de la propia empresa, encuadrados en un
departamento directamente dependiente de la dirección general. • Auditoría externa: Está a cargo de auditores profesionales, ajenos a la empresa y
totalmente independientes. Por su contenido y fines: • Auditoría de gestión: Afecta a la situación global de la empresa. • Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la
adecuada, según las necesidades y problemas de la misma. • Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o
función dentro de una organización, está cumpliendo los objetivos establecidos por la gerencia; así como identificar las condiciones que necesiten mejora.
• Auditoría financiera: Examen y verificación de los estados financieros de la empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.
• Auditoría contable: Analiza la adecuación de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.
• Auditoría informática: Examen y verificación del correcto funcionamiento y control del sistema informático de la empresa.
Por su amplitud: • Auditoría total: Afecta a todos los elementos de la empresa. • Auditoría parcial: Se concentra en determinados elementos de la empresa. Por su frecuencia: • Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.
22
• Auditoría ocasional: Se realiza de forma esporádica. 2.4.3. Beneficiarios de la auditoría
Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan información correcta y auténtica sobre la situación y actividades de la misma.
Según el sujeto que la realiza, los beneficiarios son distintos: • En la A. interna, es la propia empresa y todos los órganos de gobierno y ejecutivos. • En la A. externa:
• Accionistas o socios. • Consejeros y ejecutivos. • Proveedores, acreedores y otros. • Inversores. • La Banca • La Bolsa. • La Hacienda Pública. • Los empleados de la empresa. • Otros organismos públicos e institucionales.
2.5. DESARROLLO HISTÓRICO DE LA AUDITORÍA
Los antecedentes de la auditoría podemos encontrarlos en civilizaciones preocupadas en controlar los gastos y los ingresos del Estado, para vigilar el manejo de los fondos por los funcionarios asignados. Entre estas civilizaciones tenemos la cultura egipcia. Se afirma que el término "auditor" procede de la persona que efectuaba estos controles, quien escuchaba las relaciones de cuentas de los funcionarios de viva voz, puesto que éstos carecían de la instrucción necesaria para presentarlas en forma escrita.
Durante el reinado de Eduardo I de Inglaterra, a fines del siglo XIII, se acuña el vocablo auditor como denominación propia de la persona encargada de realizar los controles de cuentas.
Las actuales asociaciones profesionales de auditores tuvieron sus precursores en los Consejos Londinenses de Londres (1310), el Colegio de Contadores de Venecia (1581), el Tribunal de Cuentas de París (1640) y la "Academia dei Ragioneri" de Milán y Bolonia (1658).
El concepto moderno de auditoría contable surge con los fracasos financiero-económicos de las sociedades de acciones nacidas de la revolución industrial, en la segunda mitad del siglo XVIII. La falta de seriedad y de profesionalidad en sus gestores provocó la quiebra de una gran número de empresas. Esta situación dio lugar a la imposición tácita, y posteriormente legal, de revisiones de la situación financiera de las empresas a cargo de contables independientes. Inglaterra, como una de las pioneras en la revolución industrial, fue también una de las pioneras en el desarrollo de la profesión de auditor, entendida en el sentido mencionado anteriormente. El gobierno británico aprobó oficialmente la creación del Instituto de Auditores Titulados de Inglaterra y Gales, en 1880.
Las normas de auditoría se elaboraron inicialmente en los Estados Unidos de
23
Norteamérica, como consecuencia del desarrollo económico de principios de siglo y de la crisis de 1929.
El "American Institute of Accountants" publicó un documento sobre auditoría de balances en 1917, a petición de la "Federal Trade Comission ". En 1929 se efectuó una revisión a cargo del American Institute of Certified Public Accountants(AICPA). En 1934 se publica un documento conjunto entre el AICPA y la recién , creada "Securities and Exchange Commission" (SEC): " Audit of Corporate Accounts".
El primer documento donde se puede hallar la descripción de la profesión de auditor, así como de los procedimientos detallados de auditoría, es el "Examination of Financial Statements by Independent Public Accountants", publicado por el AICPA.
En 1939 se establece las primeras acciones para la definición de las Normas de Auditoría Generalmente Aceptadas (NAGA), mediante la creación de un Comité especial sobre Procedimientos de Auditoría en el AICP A. La documentación fruto de los trabajos de este Comité se denominó "Extensions of Auditing Procedure" (mayo de 1939), que posteriormente pasó a denominarse "Statements on Auditing Procedure" (SAP). Hasta 1972 se publicaron un total de 54 SAP.
En 1972, el comité pasa a llamarse "Comité Ejecutivo de Normas de Auditoría", cuya misión es la interpretación de las NAGA, produciendo los "Statements on Auditing Standard" (SAS). A partir de 1978, el "Auditing Standard Board" (AICPA) es el responsable de la promulgación de normas y procedimientos de auditoría para los miembros del AICPA.
En Europa se han desarrollado diversas instituciones de auditoría, oficiales y privadas, que han publicado normas de auditoría con clara influencia de los normas publicadas en Estados Unidos, adaptadas a las legislaciones y usos propios de cada país. Por ejemplo, tenemos la serie de Declaraciones sobre Auditoría, publicadas en 1951 por el "Institute of Chartered Accountants in England and Wales".
En España no se empieza a considerar la aplicación y desarrollo de la auditoría hasta la publicación del Código de Comercio (Ley 21/7/73) [7]. Anteriormente, se contemplaban unas revisiones contables (ordinaria y extraordinaria) con fuertes limitaciones, fijadas en la Ley de Sociedades Anónimas (17/7/51) [28].
En 1943 se crea el Instituto de Censores Jurados de Cuentas, institución profesional privada que agrupa a los profesionales dedicados a la censura de cuentas, precedente de la auditoría de cuentas. La Ley de Sociedades Anónimas fue un importante freno al desarrollo de la profesión auspiciado por dicho Instituto. Posteriormente, en la década de los sesenta y setenta, aparecieron algunas disposiciones legales que regulaban la actuación de los auditores. Sin embargo, en la práctica, la totalidad de las actuaciones de auditoría estaban a cargo de miembros del Instituto de Censores Jurados de Cuentas de España.
Con la constitución y posterior desarrollo de la Comunidad Económica Europea, se ha tratado de armonizar y estandarizar las normas de auditoría de los países miembros, a través de las directivas y de los reglamentos, publicadas desde 1968.
24
España, para poder incorporarse como miembro de pleno derecho en la CEE, tuvo que adaptar parte de su legislación a las directivas promulgadas. Por tanto, a partir de 1988, se realiza una paulatina adaptación del ordenamiento mercantil con la promulgación de varias leyes y decretos, como la Ley de Auditoría de Cuentas (12/7/88) [26], el Texto Refundido de la Ley de Sociedades Anónimas (22/12/89) y el Plan General de Contabilidad (20/12/90) [37], entre los más importantes. 2.6. CONTROL INTERNO Y AUDITORÍA INTERNA 2.6.1 Concepto y objetivos de control interno
Una de las formas de definir el concepto de control interno es la siguiente: el control interno es un proceso que lleva a cabo el Consejo de Administración, la dirección y el resto de los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecución de objetivos de fiabilidad de la información financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyes y las normas aplicables.
La dirección de la organización tiene la responsabilidad de decidir el alcance adecuado del sistema de control interno. La naturaleza de los controles depende de la clase de grado de control, distribución geográfica y estructura de la organización, entre los factores más importantes.
El control interno tiene limitaciones, puesto que no garantiza, por si mismo, una administración eficiente y tampoco puede evitar el fraude, cuando se da la complicidad entre los cargos de confianza.
Los objetivos de salvaguarda de los activos, integridad de los datos, efectividad del sistema y eficiencia del sistema solo se pueden conseguir si la dirección de una organización establece un sistema de control interno.
Tradicionalmente, los principales componentes de un sistema de control interno han incluido: (1)la segregación de funciones, (2) la delegación de la responsabilidad y de la autoridad, (3) existencia de personal competente y de confianza, (4) el sistema de autorizaciones, (5) documentación y registros adecuados, (6) el control físico sobre activos y registros, (7) la adecuada supervisión de la gestión, (8) la verificación independiente de las operaciones y (9) la comparación periódica de los registros contabilizados con los activos. 2.6.2. Concepto y objetivos de auditoría interna
La auditoría interna es la actividad, dentro de una organización, dirigida a la revisión de las operaciones contables, financieras y de otro tipo.
Es un control que la gerencia de la empresa aplica para medir y evaluar la eficacia del control interno.
Su objetivo principal es la asistencia a la gerencia en el eficaz desempeño de sus funciones. La auditoría interna proporciona a la gerencia análisis, evaluaciones y recomendaciones de las actividades revisadas.
25
Otro objetivo de la auditoría interna es la supervisión del cumplimiento de las políticas contables y procedimientos establecidos por la empresa.
La auditoría interna se lleva a cabo en un departamento que depende directamente de la gerencia de la empresa. 2.6.3. Características de la auditoría interna
Las principales características de un departamento de auditoría interna son: • Independencia limitada: en su estructura pero no en la realización y evaluación de su
trabajo. • Personal cualificado para la realización de auditorías: características similares a las del
auditor externo. • Preparación de informes periódicos a la gerencia: actividades del departamento, con
expresión del alcance y resultados de la auditoría. • No participación en actividades que posteriormente serán auditadas por el propio
departamento.
La eficacia del departamento de auditoría interna está basada en los factores que relacionamos a continuación: • Adecuada planificación: elaboración de un plan de auditoría interna. • Adecuada y efectiva supervisión: participación en la planificación, revisión de los
papeles de trabajo y de los informes preparados. • Fomación continuada: formación técnica suficiente inicial y actualización mediante la
participación en cursillos y seminarios. Se recomienda la inscripción en asociaciones profesionales de auditoría.
• Evidencia documental: preparación de papeles de trabajo necesarios para soporte del trabajo realizado y de las conclusiones alcanzadas.
2.6.4. Diferencias entre auditoría interna y externa 1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa; mientras
que en la auditoría externa, es un profesional independiente. 2. En la auditoría interna, la independencia está limitada; mientras que en la auditoría
externa, la independencia es total. 3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo laboral;
mientras que en la auditoría externa, es de tipo profesional, que puede llegar a ser penal. 4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión; mientras
que en la auditoría externa, el objetivo es el examen de los estados financieros para determinar si representan la situación real de la entidad auditada.
5. En la auditoría interna, el informe emitido es un informe con recomendaciones para la gerencia; mientras que en la auditoría externa, está dirigido también a terceros.
6. En la auditoría interna, el uso del informe está restringido al ámbito de la propia empresa; mientras que en la auditoría externa, el uso trasciende la propia empresa.
Ambos tipos de auditoría no son excluyentes. El auditor externo debe tener en cuenta el
trabajo efectuado por el auditor interno a la hora de fijar la naturaleza y extensión de los procedimientos. Se debe establecer una colaboración entre ambos. Con este propósito, el
26
auditor externo debe considerar la objetividad y competencia de los auditores internos y evaluar el trabajo realizado por los mismos. 2.7. DOCUMENTOS DE AUDITORÍA 2.7.1 los papeles de trabajo 2.7.1.1 Concepto y objetivos
Los papeles de trabajo es la documentación que mantiene el auditor sobre los procedimientos aplicados, sobre las comprobaciones parciales realizadas y sobre las conclusiones alcanzadas después del examen. En resumen, constituyen la totalidad de los documentos preparados o recibidos por el auditor.
En las normas técnicas de auditoría se establecen los objetivos principales de los papeles de trabajo, que son los siguientes: 1. Recoger la evidencia obtenida en la ejecución del trabajo, y también la descripción de
los medios que han conducido a formar la opinión del auditor. 2. Ser útiles para efectuar la supervisión del trabajo del equipo de auditoría. 3. Ayudar al auditor en la ejecución de su trabajo. 4. Ser útiles para sistematizar y perfeccionar el desempeño de futuras auditorías, 5. Hacer posible que cualquier persona capacitada pueda supervisar la actuación realizada 2.7.1.2 Forma y contenido
En base al último de los objetivos formulados, las normas técnicas de auditoría resaltan una regla general en cuanto a la forma y contenido de los papeles de trabajo: deben estar elaborados con la suficiente claridad y precisión para que cualquier auditor que no haya participado en la auditoría pueda revisar el trabajo y comprobar que se ajusta a las normas técnicas.
La forma y contenido van a ser diferentes para cada uno de los trabajos realizados, siempre y cuando se ajusten a los objetivos establecidos. Sin embargo, los papeles de trabajo deberán contemplar temas como: 1. Dejar constancia del proceso de planificación y de los programas de auditoría. 2. Dejar constancia del estudio y evaluación del sistema de control interno contable. 3. Los principios contables y criterios de valoración seguidos. 4. Las conclusiones alcanzadas por el auditor. 5. Copia de las cuentas anuales auditadas y del informe de auditoría. 6. Constancia de la naturaleza, momento de realización y amplitud de las pruebas
realizadas. 7. Confirmaciones o certificados recibidos de terceros. 8. Indicación del autor de los procedimientos de auditoría y de la fecha de realización. 9. Constancia de la supervisión y revisión del trabajo de los ayudantes. 10. Extractos de las actas de las Juntas de Accionistas, Consejos de Administración y de
otros órganos de dirección y vigilancia.
Hay una información mínima común a todos los papeles de trabajo que es la siguiente: • Nombre del cliente o empresa sujeta a la auditoría.
27
• Fecha del examen. • Descripción del papel de trabajo. • Nombre de la persona que ha preparado el documento. • Evidencia de que ha sido revisado por otra persona distinta al que ha preparado el
documento. • Detalles, cifras y explicaciones de los datos financieros y procedimientos de
verificación utilizados. • Fuentes de información de los datos incluidos. • Conclusiones alcanzadas. 2.7.1.3 Propiedad, custodia y conservación
El auditor está encargado de la custodia de la privacidad de los papeles de trabajo, que tienen un carácter estrictamente privado. Cualquier información contenida en los mismos no debe trascender del ámbito de trabajo exclusivamente. Además, si el cliente solicita alguno de los documentos de los papeles de trabajo, si no es un papel elaborado por el auditor con información reservada incluso pare el cliente, el auditor debe facilitarle una copia o fotocopia y retener el original.
Por otra parte, el auditor está obligado a conservar durante cinco años, a partir de la fecha del informe, toda la documentación de la auditoría. 2.7.1.4 Organización y archivo
El auditor debe organizar y archivar la documentación que está manejando o elaborando para acceder a ella con eficacia. El criterio de organización y archivo se deja a elección del profesional. Sin embargo, a lo largo de la experiencia de auditoría, se ha confeccionado unas normas de trabajo que facilitan esta función del auditor, fundamentalmente respecto del acceso rápido a la información contenida en los papeles de trabajo. Estas normas se relacionan a continuación: 1. Identificar todos los papeles de trabajo por áreas o cuentas, aplicando la técnica de
índices de referencia (símbolos utilizados en la preparación de los papeles de trabajo para conseguir una ordenación lógica).
2. Referenciar adecuadamente cada papel de detalle en cada área de trabajo, con papeles de otras áreas, etc.
3. Agrupar los papeles de trabajo por áreas, cuentas, etc. 4. Separar los papeles de trabajo en dos grupos:
• Papeles de trabajo permanentes: Archivo permanente. • Papeles de trabajo corrientes (del ejercicio):
• Carpeta general • Carpeta de las áreas.
La carpeta general y las carpetas de las áreas constituyen el Archivo general de
auditoría.
En el archivo permanente se registra la información siguiente:
28
1. Datos generales: actividades de la empresa, organigrama general y reparto de las funciones, composición del Consejo de Administración, extracto de las actas de la Junta de Accionistas y del Consejo de Administración, y detalle de firmas autorizadas.
2. Información contable: Plan de cuentas, descripción del sistema contable, normas especiales de contabilización, descripción de los procedimientos de contabilidad y de las medidas de control interno, y cuestionario de control interno.
3. Escrituras y contratos. 4. Detalles de cuentas y otros datos.
En la carpeta general se registra fundamentalmente la información siguiente. 1. Copia del informe de auditoría. 2. Copia de la carta de recomendaciones. 3. Cuentas anuales finales. 4. Cuentas anuales iniciales. 5. Balances de Situación de Activos y de Pasivos y Cuentas de Pérdidas y Ganancias. 6. Cuadros de financiación. 7. Programas de auditoría. 8. Cuestionarios de comprobación. En las carpetas por áreas se registra fundamentalmente la información siguiente. Memorándum de sección. Memorándum de procedimientos. Programa de auditoría. Análisis resumen del área. Análisis principales. Análisis de detalle. 2.7.2 El Informe de auditoría
El informe de auditoría constituye el producto final del trabajo de auditoría y la única documentación que va a llegar a quien ha encargado la auditoría. Por tanto, el nivel de calidad del informe ha de ser el máximo que se pueda alcanzar. 2.7.2.1 Objetivos del informe
Los objetivos principales del informe son: 1. Permitir a quien esté revisando el informe entender el trabajo realizado, las
circunstancias que afectan a la falta de fiabilidad de las cuentas anuales y las conclusiones del auditor.
2. Prevenir una interpretación errónea del grado de responsabilidad que asume el auditor. 2.7.2.2 Clases de informes
Como el informe representa el trabajo de auditoría realizado, su naturaleza estará en consonancia con la naturaleza de la auditoría, y ésta se ha desarrollado según las instrucciones recibidas del solicitante del encargo. Vimos en la sección ¿¿2.3.2 las distintas clases de auditoría empresarial, que determinan las clases de informes de auditoría. Cabe destacar los siguientes, dentro del tipo de auditoría financiero-contable:
29
• Informe de auditoría completa. • Informe de auditoría limitada. • Informe de auditoría especial • Informe de auditoría de gestión u operativa. 2.7.2.3 Elementos básicos del informe de auditoría 1. Título del informe: 2. Identificación de los destinatarios y de los solicitantes del trabajo: accionistas, Consejo
de Administración u organismos oficiales. 3. Identificación de la empresa auditada: nombre o razón social completos. 4. Párrafo de alcance de la auditoría:
• Identificación de las cuentas anuales (nombre de la empresa y régimen jurídico, estados objetos del examen, fecha del balance de situación, periodo que cubren el resto de estados y referencia de la responsabilidad de los Administradores en la formulación de las cuentas anuales.
• Referencia a la aplicación de las normas de auditoría generalmente aceptadas o de las normas técnicas de auditoría legalmente permitidas.
• Naturaleza y motivo de los procedimientos que no hubieran podido aplicarse. 5. Párrafo de opinión: expresa la opinión del auditor sobre si las cuentas anuales reflejan la
imagen fiel de la situación de la empresa y si la información es necesaria y suficiente para la interpretación y comprensión adecuada de conformidad con los PCGA. Se pide claridad y precisión en la forma y contenido. También se menciona la naturaleza de cualquier salvedad significativa con la partícula "excepto por...". En este párrafo se puede expresar una opinión negativa o denegar la opinión cuando las excepciones son significativas.
6. Párrafo de salvedades: detalles de los efectos en las cuentas anuales de las salvedades recogidas en los puntos 4 y 5.
7. Párrafo de énfasis: a diferencia de las salvedades, este párrafo sirve para enfatizar excepcionalmente alguna circunstancia relacionada con las cuentas anuales.
8. Párrafo sobre el informe de gestión: alcance del informe y si la información contable contenida concuerda con la de las cuentas anuales del ejercicio.
9. Nombre, dirección y datos registrales del autor: aparte debe incluirse la dirección y número de registro en el ROAC.
10. Firma del auditor: firma del auditor de cuentas que ha dirigido el trabajo o uno de los socios si es una sociedad de auditoría.
11. Fecha de emisión del informe: debe coincidir con la fecha de terminación del trabajo en la empresa auditada y no debe ser anterior a la fecha de formulación de las cuentas anuales por los Administradores.
2.7.2.4 Tipos de opinión
La opinión que se expresa en el informe, se puede clasificar como viene a continuación: 1. Opinión favorable (o sin salvedades): cuando se haya realizado el trabajo sin
limitaciones, según las Normas Técnicas; y las cuentas anuales estén formuladas de acuerdo con los PCGA.
2. Opinión con salvedades: cuando el auditor concluye que existen una o más circunstancias que marcan limitaciones al alcance, incumplimiento de los PCGA, incertidumbre y no uniformidad con los PCGA.
30
3. Opinión desfavorable (o adversa): cuando las cuentas anuales no presentan la imagen fiel de la situación de la empresa.
4. Opinión denegada (o renuncia de opinión): cuando el auditor no ha obtenido la evidencia necesaria para formar una opinión.
2.7.2.Requisitos de un buen informe, responsabilidad de su contenido y publicidad
Un informe de calidad debe cumplir los siguientes requisitos para alcanzar sus objetivos primordiales: 1. Claridad en la explicación del alcance del trabajo efectuado. 2. Sencillez en la descripción de los problemas encontrados. 3. Precisión en las salvedades que se inserten en la opinión. 4. Cumplimiento con las normas relacionadas con los informes de auditoría completa:
• Las cuentas anuales deberán contener la información necesaria y suficiente para su interpretación y comprensión adecuadas y formuladas de conformidad con principios y normas generalmente aceptados.
• Uniformidad en la aplicación de los principios y normas generalmente aceptados, en relación con el ejercicio anterior.
• Las cuentas anuales expresarán, en todos los aspectos significativos, la imagen fiel del patrimonio y de la situación financiera de la empresa o entidad y de los resultados de sus operaciones y de los recursos obtenidos y aplicados.
• El informe de auditoría debe contener una expresión de opinión acerca de las cuentas anuales en su conjunto o indicar por qué tal opinión no se expresa.
• En el informe de auditoría se indicará si la información contable que contienen el informe de gestión concuerda con la de las cuentas anuales auditadas.
El auditor solamente es responsable de su opinión, expresada en el informe, pero la
responsabilidad de la formulación de las cuentas anuales recae en la Administración de la empresa auditada. .
El auditor no puede facilitar directamente a terceros copia del informe de auditoría. Por regla general, el auditor debe remitir el informe a la Administración de la empresa y, ésta, es la responsable de remitir las copias pertinentes del informe junto con la documentación de las cuentas anuales. Solamente en los supuestos establecidos por la ley vigente, o con la autorización expresa de la empresa, se puede facilitar una copia del informe a terceros sin que pase por la administración de la empresa. 2.7.2.6 La carta de recomendaciones
La carta de recomendaciones constituye un complemento al informe de auditoría, donde el auditor, basado en su experiencia profesional, relaciona los problemas que ha detectado y sugiere las posibles soluciones para solventarlos. El auditor también se puede ayudar de cuestionarios o formularios para la preparación de la carta de recomendaciones. Sin embargo, sigue siendo fundamental la experiencia individual del auditor o de los miembros del equipo de auditoría.
No hay una estructura estandarizada de la carta de recomendaciones, cada auditor o sociedad de auditoría confecciona sus propias normas. Sin embargo, se puede
31
enunciar una serie de puntos comunes que suelen tener las cartas de recomendaciones, que vemos a continuación: • Párrafo de introducción: se explica el trabajo realizado, el periodo cubierto y la
limitación en el uso de los comentarios que se incluyen a continuación en la carta. • Referencia de las personas con las que se han comentado los temas. • Comentarios individualizados por áreas de las cuentas anuales u otros temas:
explicación del problema encontrado y sugerencias o recomendaciones para solventarlo.
Los problemas típicos que puede encontrar el auditor son: • Debilidades en el control interno contable; • circuitos administrativos deficientes; • prácticas contables incorrectas; y • errores no significativos detectados en el curso de la auditoría.
32
3 LA FUNCIÓN DE AUDITORÍA INFORMÁTICA Y SU ORGANIZACIÓN
3.1. ANTECEDENTES 3.2. TIPOS DE AUDITORÍA INFORMÁTICA
3.3. LA FUNCIÓN DE AUDITORÍA INFORMÁTICA
3.3.1. Perfiles de un auditor de Sistemas de Información 3.3.2. Funciones a desarrollar por la función de Auditoría Informática
3.4. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA INFORMÁTICA
3.1. ANTECEDENTES
El concepto de auditoría informática ha estado siempre ligado al de auditoría en general y al de auditoría interna en particular, y éste ha estado unido desde tiempos históricos al de contabilidad, control, veracidad de operaciones, etc.
En tiempo de los egipcios ya se hablaba de contabilidad y de control de los registros y de las operaciones. Aún algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Years of Progress). Esta referencia histórica a fin de explicar la evolución de la corta pero intensa historia de la auditoría informática, y para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la actualidad.
Si analizamos el nacimiento y la existencia de la auditoría informática desde un punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y el entorno en el que se mueve.
Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo
de las organizaciones actuales, los SIs y la arquitectura que los soportan desempeñan un importante papel como uno de los soportes básicos para la gestión y el control del negocio, siendo así uno de los requerimientos básicos de cualquier organización. Esto da lugar a los Sis de una organización.
Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una función de gestión de dichos sistemas, de los recursos que los manejan y de las inversiones que se ponen a disposición de dichos recursos para que el funcionamiento y los resultados sean los esperados. A esta función es lo que llamamos el Departamento de Sistemas de Información
Finalmente, y en función de lo anterior, aunque no como algo no enteramente aceptado aún, debe existir una función de control de la gestión de los sistemas y del departamento de sistemas de información. A esta función la llamamos auditoría informática.
El concepto de la función de auditoría informática, en algunos casos llamada función de control informático y en los menos, llamada y conocida por ambos términos, arranca en su corta historia, cuando en los años cincuenta las organizaciones empezaron a
33
desarrollar aplicaciones informáticas. En ese momento, la auditoría trataba con sistemas manuales. Posteriormente, en función de que las organizaciones empezaron con sistemas cada vez más complejos, se hizo necesario que parte del trabajo de auditoría empezara a tratar con sistemas que utilizaban sistemas informáticos.
En ese momento, los equipos de auditoria, tanto externos como internos, empezaron
a ser mixtos, con involucración de auditores informáticos junto con auditores financieros. En ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en algunos casos convergían: • Trabajos en los que el equipo de auditoría informática trabajaba bajo un programa de
trabajo propio, aunque entroncando sus objetivos con los de la auditoría financiera; éste era el caso de trabajos en los que se revisaban controles generales de la instalación y controles específicos de las aplicaciones bajo conceptos de riesgo, pero siempre unido al hecho de que el equipo de auditoría financiera utilizaría este trabajo para sus conclusiones generales sobre el componente financiero determinado.
• Revisiones en las que la auditoría informática consistía en la extracción de información para el equipo de auditoría financiera. En este caso el equipo o función de auditoría interna era un exponente de la necesidad de las organizaciones y departamentos de auditoría de utilizar expertos en informática para proveer al personal de dicho departamento de información extraída del sistema informático cuando la información a auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de cómo se había creado.
Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que es
la función y de lo que son los objetivos de la auditoría informática.
Esta situación convive hoy en día con conceptos más actuales y novedosos de lo que es la función y de lo que son los objetivos de la auditoría informática. Parece que la tendencia futura de la auditoría informática radicará en los siguientes principios: 1. Todos los auditores tendrán que tener conocimientos informáticos que les permitan
trabajar en el cada vez más fluctuante entorno de las tecnologías de la información dentro de las organizaciones empresariales, culturales y sociales.
2. Este aspecto no eliminará la necesidad de especialistas en auditoría informática, es más, los especialistas necesitarán cada vez más unos conocimientos muy específicos que, de la misma forma que a los especialistas en sistemas de información, les sirva para ser expertos en las diferentes ramas de la tecnología informática: redes y comunicaciones, bases de datos, seguridad, internet, comercio electrónico, etc.
3. El auditor informático dejará de ser un profesional procedente de otra área, para pasar a ser un profesional formado y titulado en auditoría informática que tendrá a su alcance diferentes medios de formación y, además, formar parte de una red de conocimientos compartidos con otros profesionales, de su misma organización y de otras organizaciones.
3.2 CLASES Y TIPOS DE AUDITORÍA INFORMÁTICA
34
Hay cierta confusión sobre lo que es auditoría informática. Si preguntamos a diferentes personas, probablemente, nos darán diferentes definiciones.
La siguiente lista es un resumen de las diferentes definiciones que nos podemos encontrar:
• Auditoría informática como soporte a la auditoría tradicional. • Auditoría informática con el concepto anterior, añadiendo la función de auditoría de la
función de gestión del entorno informático. • Auditoría informática como función independiente, enfocada hacia la obtención de la
situación actual de un entorno de información e informático en aspectos de seguridad y riesgo, eficiencia y veracidad e integridad.
• Las acepciones anteriores desde un punto de vista interno y externo- • Auditoría como función de control dentro de un departamento de sistemas. 3.3. FUNCIÓN DE AUDITORÍA INFORMÁTICA 3.3.1 Definición
Por lo dicho hasta ahora, está claro que la auditoría, revisión, diagnóstico y control de los SIs deben ser realizados por personas con experiencia en las disciplinas, de informática y auditoría Además, estas personas deben completar su formación con conocimientos de gestión empresarial.
Para tratar de definir el perfil de un auditor informático, la definición más exacta, quizás, es que es un profesional dedicado al análisis de sistemas de información informatizados que está especializado en alguna de las múltiples ramas de la auditoría informática, que tiene conocimientos generales de los ámbitos en los que ésta se mueve, que tiene conocimientos empresariales generales, y que además: • Posea las características necesarias para actuar como consultor con su auditado, dándole
ideas de cómo enfocar la construcción de los elementos de control y de gestión que le sean propios.
• Que pueda actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado, puede ser un entorno ineficiente si no es consistente con los objetivos de la organización.
El eterno problema que se ha suscitado durante mucho tiempo es si el auditor
informático, al no existir tal formación académica en nuestro país, tenía que ser un auditor convertido en informático, o por el contrario un informático reciclado como auditor informático. En las experiencias habidas, los éxitos y los fracasos se acumulaban por igual en ambos orígenes. ¿ Qué hacer en estos casos? ¿Cuál debe ser el perfil correcto de un auditor informático?. En los dos siguientes apartados se esbozan unas directrices sobre los perfiles de los auditores informáticos y las responsabilidades de la función de auditoría informática. 3.3.2. Perfiles profesionales de la función de Auditoría Informática
A tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor informático debe ser un persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día.
35
De esta forma, dentro de la función de auditoría informática, se deben contemplar las siguientes características para mantener un perfil profesional adecuado y actualizado: 1. La persona o personas que integren esta función deben contemplar en su formación
básica una mezcla de conocimientos de auditoría financiera y de informática general. Estos últimos deben contemplar conocimientos básicos en cuanto a: • Desarrollo informático; gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo. • Gestión del departamento de sistemas. • Análisis de riesgos en un entorno informático. • Sistema operativo (este aspecto dependerá de varios factores, pero principalmente
de si va a trabajar en un entorno único -auditor interno- o, por el contrario, va a tener posibilidades de trabajar en varios entornos como auditor externo).
• Telecomunicaciones. • Gestión de bases de datos. • Redes locales. • Seguridad física. • Operaciones y planificación informática; efectividad de las operaciones y del
rendimiento de los sistemas. • Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de
planes de contingencia de la información. • Gestión de problemas y de cambios en entornos informáticos. • Administración de datos. • Ofimática. • Comercio electrónico. • Encríptación de datos.
2. A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial. Así, en un entorno financiero pueden tener mucha importancia las comunicaciones, y será necesario que alguien dentro de la función de auditoría informática tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en el que las transacciones EDI pueden ser más importantes.
3. Uno de los problemas que más han incidido en la escasa presencia de auditores
informáticos en nuestro país, es quizás la a veces escasa relación entre el trabajo de auditoría informática y las conclusiones con el entorno empresarial donde se ubicaba la entidad auditada. Esta sensación de que las normas van por sitios diferentes de por donde va el negocio ha sido fruto muchas veces de la escasa comunicación entre el auditado (objetivos empresariales) y el auditor (objetivos de control). Como quiera que la cruda realidad nos está demostrando en la actualidad cada vez más la necesidad de cada vez mayor control en los sistemas de información, se hace necesario para el auditor informático conocer técnicas de gestión empresarial, y sobre todo de gestión del cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la línea de la búsqueda óptima de la mejor solución para los objetivos empresaríales que se persiguen y con los recursos que se tienen.
36
4. El auditor informático debe tener siempre el concepto de Calidad Total (últimamente también llamado Excelencia Empresarial). Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sea reconocido como un elemento valioso dentro de la organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva por la organización.
3.3.3. Funciones a desarrollar por la función de Auditoría Informática
Se han suscitado múltiples controversias sobre las funciones a desarrollar en cuanto al trabajo de Auditoría Informática que se debe realizar. ¿Cuál es el objetivo de una Auditoría Informática? ¿Qué se debe revisar, analizar o diagnosticar?
¿Puede la función de Auditoría Informática aportar sólo lo que le piden o debe formar parte de un ente organizativo total, lo que le exige una actitud de contribución total al entorno empresarial en el que está realizando su trabajo? En definitiva, los aspectos que debe revisar el auditor informático son: la seguridad, el control interno, la efectividad, la gestión del cambio y la integridad de la información.
Si analizamos la realidad más actual, diremos que la función Auditoría Informática debe mantener en la medida de lo posible los objetivos de revisión que le demande la organización, pero como esto es muy general, vamos a precisar algo más lo que sería un entorno ideal que tiene que ser auditado.
Supongamos una organización que produce componentes tecnológicos de audio y vídeo, tanto en formato primario como en producto semiterminado y terminado. Esta organización mantiene sus programas y resultados de investigación bajo control informático. Además tiene las características propias de cualquier empresa productora y comercial en cuanto a sistemas de información. Mantiene en INTERNET un sistema de información de sus productos con la posibilidad de que usuarios de la Red puedan hacer consultas sobre diferentes características de los productos. Gasta anualmente un uno por ciento de su facturación en sus sistemas de información y un diez por ciento en investigación. ¿Cuáles serían los objetivos de revisión de la Auditoría Informática en este ejemplo? Desde luego parece que la Auditoría Informática debería enfocarse hacia aspectos de seguridad, de comercio electrónico y de control interno en general, añadiendo en función de lo expuesto en cuanto al gasto anual que debería realizarse una revisión de la efectividad del departamento. Esto nos indica que solamente con un ejemplo simple vemos que la Auditoría
Informática abarca campos de revisión más allá de los que tradicionalmente se han mantenido; esto es, la revisión del control interno informático de los servicios centrales y de las aplicaciones.
El mundo complejo de las empresas en el que nos movemos, con industrias emergentes y con una tendencia globalizadora en los negocios, hace muy necesario que los sistemas de control interno sean lo más efectivos posibles, pero también conceptos más amplios, como el riesgo de la información, la continuidad de las operaciones, la gestión del centro de información o la efectividad y actualización de las inversiones realizadas son necesarias para poder mantener el nivel competitivo que el mundo empresarial demanda a sus sistemas de información.
37
Es así que entonces la función de Auditoría Informática debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales se enumeran a continuación: • Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos. • Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo
de seguridad, de gestión y de efectividad de la gestión- • Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarla los auditores financieros.
• Auditoría del riesgo operativo de los circuitos de información. • Análisis de la gestión de los riesgos de la información y de la seguridad implícita. • Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con
los auditores financieros)- • Análisis del Estado del Arte tecnológico de la instalación revisada y de las
consecuencias empresariales que un desfase tecnológico pueda acarrear. • Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades
estratégicas y operativas de información de la organización. 3.4. ORGANIZACION DE LA FUNCION DE AUDITORIA INFORMÁTICA
Según lo que hemos comentado hasta ahora, la función de auditoría informática ha pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia que para las organizaciones tienen los sistemas informáticos y de información que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materias de: • Seguridad. • Control interno operativo. • Eficiencia y eficacia • Tecnología informática. • Continuidad de operaciones. • Gestión de riesgos no solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de la empresa? Está claro que en este caso estamos hablando de una función interna de auditoría informática.
La concepción típica en las empresas españolas hasta ahora, es la de que la función de auditoría informática está entroncada dentro de lo que es la función de auditoría interna con rango de subdepartamento. Esta concepción se basa en el nacimiento histórico de la auditoría informática y en la dificultad de separar el elemento informático de lo que es la
38
auditoría operativa y financiera, al igual que lo es separar la operativa de una empresa de los sistemas de información que los soportan.
La organización tipo de la auditoría informática, debe contemplar los siguientes principios: • Su localización puede estar ligada a la localización de la auditoría interna operativa y
financiera, pero con independencia de objetivos (aunque haya una coordinación lógica entre ambos departamentos), de planes de formación y de presupuestos.
• La organización operativa tipo debe ser la de un grupo independiente del de auditoría interna, con una accesibilidad total a los sistemas informáticos y de información, e idealmente dependiendo de la misma persona en la empresa que la auditoría interna, que debería ser el director general o consejero delegado. Cualquier otra dependencia puede dar al traste con la imagen del auditor informático y consecuentemente con la aceptación de su trabajo y de sus conclusiones.
• La dependencia, en todo caso, debe ser del máximo responsable operativo de la organización, nunca del departamento de organización o del de sistemas (abundan los casos en que esta dependencia existe), ni del departamento financiero/ administrativo.
• La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o esté trabajando en auditoría informática.
• Los recursos humanos con los que debe contar el departamento deben contemplar una mezcla equilibrada entre personas con formación en auditoría y organización y personas con perfil informático. No obstante, este perfil genérico debe ser tratado con un amplio programa de formación en donde se especifiquen no sólo los objetivos de la función, sino también de la persona.
• Este personal debe contemplar entre su titulación la certificación CISA como un elemento básico para comenzar su carrera como auditor informático.
• La organización interna tipo de la función podría ser: • Jefe del departamento. Desarrolla el plan operativo del departamento, las descripciones de los puestos de trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, así como gestiona los programas de trabajo y los trabajos en sí, los cambios en los métodos de trabajo y evalúa la capacidad de las personas a su cargo. • Gerente o supervisor de auditoría informática. Trabaja estrechamente con el Jefe del departamento en la tareas operativas diarias. Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. Realiza la formación sobre el trabajo. Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor añadido y gestión del cambio dentro de su trabajo. Es el que mas "vende" la función con el auditado. • Auditor informático.
39
Son responsables para la ejecución directa del trabajo, Deben tener una especialización genérica, pero también una especifica. Su trabajo consistirá en la obtención de información, realización de pruebas, documentación del trabajo, evaluación y diagnóstico de resultados.
• El tamaño sólo se puede precisar en función de los objetivos de la función; para una
organización tipo, el abanico de responsabilidades debería cubrir: • Especialista en el entorno informático a auditar y en gestión de bases de datos. • Especialista en comunicaciones y/o redes. • Responsable de gestión de riesgo operativo y aplicaciones. • Responsable de la auditoría de sistemas de información, tanto en explotación como
en desarrollo. • En su caso, especialista para la elaboración de programas de trabajo conjuntos con
la Auditoría Financiera.