LA IMPORTANCIA DE LAS T.I.C.

’s EN LA AUDITORÍA
La Tecnología de la Información y de la Comunicación en la Auditoría, se ha convertido en un
recurso imprescindible en el trabajo diario del controlador financiero y el Auditor y del complejo
proceso de este procedimiento que requiere herramientas informáticas adecuadas para el
desempeño de nuestra función como futuros Auditores.

Para introducirnos en el tema principal debemos saber ¿Qué son las Tic?

 TECNOLOGÍAS: Aplicación de los conocimientos científicos para facilitar la realización de

las actividades humanas. Supone la creación de productos, instrumentos, lenguajes y
métodos al servicio de las personas.

 INFORMACIÓN: Datos que tienen significado para determinados colectivos. La

información resulta fundamental para las personas, ya que a partir del proceso cognitivo
de la información que obtenemos continuamente con nuestros sentidos vamos tomando
las decisiones que dan lugar a todas nuestras acciones.

 COMUNICACIÓN: Transmisión de mensajes entre personas. Como seres sociales, las

personas además de recibir información de los demás, necesitamos comunicarnos para
saber más de ellos, expresar nuestros pensamientos, sentimientos y deseos, coordinar
los comportamientos de los grupos en convivencia, etc.

 TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN (TIC): Cuando unimos estas

tres palabras hacemos referencia al conjunto de avances tecnológicos que nos
proporcionan la informática, las telecomunicaciones y las tecnologías audiovisuales, que
comprenden los desarrollos relacionados con los computadores, Internet, la telefonía,
las aplicaciones multimedia y la realidad virtual. Estas tecnologías básicamente nos
proporcionan información, herramientas para su proceso y canales de comunicación.

La aparición de la informática ha supuesto una revolución en la contabilidad. La creación de

programas contables específicos en un entorno Windows, acercó las aplicaciones informáticas al
usuario, haciendo que fueran más fáciles de utilizar y más versátiles. El siguiente paso fue la
revolución de las comunicaciones, especialmente de Internet, así como la ampliación del
abanico de posibilidades de la contabilidad a actividades tales como la banca electrónica y el
envío de declaraciones fiscales por Internet que facilitaron el intercambio de datos con mayor
facilidad, fiabilidad y rapidez. Hay que señalar además, que el nacimiento y posterior regulación
de la Firma electrónica reconocida como medio de autentificar los mensajes enviados haciendo
muy difícil su falsificación, incrementa en gran medida el interés de las nuevas tecnologías de la
información y la comunicación (TIC).

CLG 1
Los profesionales TIC, Auditores informáticos, pasan por ser los recursos cualificados para
contribuir a la construcción de la confianza en la Administración Electrónica, configurándose
como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas
públicas relacionadas.

La función de la Auditoría Informática en las organizaciones, comienza con la implantación de

un proceso para supervisar el control de las tecnologías y de los procesos asociados, y la
evolución hacia un enfoque proactivo participando en otras fases del ciclo del control.

Las distintas áreas operativas de las organizaciones se sostienen y apoyan cada vez más en los
servicios de las tecnologías de la información y las comunicaciones (TIC), que han acompañado
la automatización y el crecimiento de todos los procesos productivos, y la prestación de nuevos
servicios. Como consecuencia, son muchas las organizaciones en las que la información y la
tecnología que la soporta representan los activos más valiosos, y a su vez, reconocen los
beneficios potenciales que las nuevas tecnologías les pueden proporcionar. La productividad de
cualquier organización depende del funcionamiento ininterrumpido de los sistemas TIC,
transformando a todo el entorno como un proceso crítico adicional.

Por tanto, se requiere contar con una efectiva administración de los riesgos asociados con las
TIC, y que viene dada por:

- La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente

dependencia de la información y de los sistemas que la proporcionan.

- El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a

las que están expuestos.

- La importancia y magnitud de los costos y las inversiones TIC.

- La desconfianza que los procedimientos automatizados o los servicios electrónicos

pudieran provocar en el colectivo usuario y en los ciudadanos en general.

- El potencial de las nuevas tecnologías de la información es tal que pueden llegar a

introducir importantes cambios en la organización, y en las prácticas de su actividad,
para crear nuevas oportunidades y reducir costos.

CLG 2
Resulta de ello el rol básico que debe desempeñar la función de Auditoría Informática o
Auditoría de los Sistemas de Información, en una organización: supervisión de los controles
efectivamente implementados y determinación de la eficiencia de los mismos.

Dada la especialización de los controles a supervisar, es indudable que en la Administración

Pública el perfil de los profesionales TIC es el idóneo para asumir y realizar directamente esas
funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en
especial los enmarcados dentro de la Administración Electrónica.

Los Auditores informáticos pueden recomendar cambios en los procesos de negocios para
lograr los objetivos económicos o sociales de la organización. También es posible que las
investigaciones revelen fraudes, desperdicios o abusos. Los Auditores informáticos modernos
proceden de manera sistemática en sus estudios, planificando sus acciones y enfocándose en las
áreas de mayor riesgo.

Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa

para su buen gobierno, el Auditor informático también trabaja como consejero empresarial,
asesorando en cuanto al establecimiento de políticas y estándares que aseguren la información
y el control de las TIC.

Es así que los profesionales TIC de la Administración tienen ante sí un reto en su carrera
profesional: realizar tareas propias de la función de Auditoría, para contribuir a la mejora de la
calidad de los servicios prestados a los ciudadanos.

CLG 3
 SERVICIOS DE AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN

La Auditoría de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada

vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y
disponibilidad de las infraestructuras informáticas sobre las que se sustentan los procesos de
negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se
realicen de forma eficiente.

Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar
el cumplimiento de sus normas mediante Auditorías de Sistemas de Información y como parte
inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de
Información sean, a su vez, auditados.

DIRECCIÓN ESTRATÉGICA DE LAS TICS: AUDITANDO LOS SISTEMAS DE

INFORMACIÓN

Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una empresa o
sus Tecnologías de la Información y Comunicaciones (TIC) son las Auditorías. Una Auditoría es
una radiografía de una parte de una empresa u organización. Las Auditorías pueden ser externas
(Hechas por un consultor externo a la organización) o Internas (Hechas por gente de la misma
organización).

El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento, la

verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos
son:
 Auditoría técnica de sistemas para conocer el estado actual del hardware de la empresa
(Estado, Antigüedad, Si es el adecuado, etc.),
 Auditoría de la explotación para conocer el estado actual de los elementos de una
explotación (Licencias, Recursos de explotación, ),
 Auditoría de las redes de la empresa y evaluar su adecuación, seguridad, etc.

La información obtenida de la Auditoría debe servir a la dirección de la empresa para la toma de

decisiones, como por ejemplo: Implementar un software u otro según sus necesidades, Conocer
los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la
empresa, Implementar medidas para reducir costos, etc.

CLG 4
El tipo de Auditoría puede variar (puede ser interna o externa, Auditoría de objetivos, etc.). No
obstante, como común denominador, el ciclo de vida básico de una Auditoría es el siguiente:

1. Inicio de la Auditoría: Contrato y definición del alcance. La definición del alcance de la

Auditoría es un punto crítico, hay que acotar exactamente el trabajo a hacer para
obtener los resultados deseados.

2. Revisión de la documentación y preparación de las actividades: Aquí se define el plan

de Auditoría, se organiza la inspección y se preparan los documentos de trabajo
(Formularios, Listas de verificación, etc.).

3. Desarrollo del plan de Auditoría

4. Preparación del informe de la Auditoría y presentación de resultados: Una vez

finalizadas las acciones del plan de Auditoría se debe preparar el informe de Auditoría
donde debe aparecer toda la documentación de la Auditoría y sus conclusiones. También
debe realizarse la presentación de los resultados a la persona auditada y asegurarse que
son comprendidos.

En resumen, la Auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar
decisiones en lo que a TIC/SI se refiere. Una Auditoría (externa o interna) nos brinda la
información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.

CLG 5
 PROBLEMAS EN LAS TICS

LOS USUARIOS ACCEDEN A SERVICIOS EXTERNOS

El rápido crecimiento de las tecnologías Web ha puesto herramientas potentes, gratuitas y

fáciles de usar al alcance de todos, incluyendo los empleados que utilizan estos servicios para
facilitar y simplificar las tareas corporativas.

Como ejemplo, hay empleados que colaboran en la creación de un informe utilizando Google, se
comunican con proveedores a través del Messenger o, incluso, utilizan herramientas de gestión
SAAS (software por pago) en proyectos críticos. En la mayoría de los casos, estas herramientas
se utilizan sin la supervisión del personal de TI.

Sin embargo, este tipo de situación puede causar problemas para todos. Los empleados que
descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el
personal de TI no dispone de la preparación adecuada para proporcionarles ayuda. Por otra
parte, el personal de TI se enfrenta ahora a la posibilidad de una infección de malware que
entre por estos puntos.

Así, los responsables de Tecnología deben asegurar que los servicios externos forman parte de
cualquier discusión sobre las aplicaciones necesitadas por los departamentos. Las encuestas
pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados así como las
herramientas que proporcionan información sobre las estadísticas de uso.

LOS DATOS SENSIBLES DESENCRIPTADOS ESTÁN SIENDO TRANSMITIDOS

Su negocio dispone de lo que usted considera una configuración de red estándar y segura. Un
cortafuego protege todo el tráfico interno. Servidores Web y otros sistemas que requieren un
acceso directo a Internet disponen de túneles encriptados a las fuentes de datos dentro de los
cortafuegos.

Más allá de esta configuración tradicional, muchas empresas podrían beneficiarse con otras
opciones de encriptación.

Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que
ésta esté protegida. Incluso aquellos empleados con un poco de destreza tecnológica tienen a
su alcance herramientas que permiten escanear las redes para rastrear información sensible,
desde datos empresariales a las nóminas del personal.

CLG 6
Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de
rastreo que estos para identificar todos los datos, moviéndose por la red. Si pueden ver esta
información, cualquier otro usuario también la puede ver. Una vez identificados estos datos
descubiertos, las conexiones se pueden robustecer con seguridad.

LAS APLICACIONES WEB ESTÁN REPLETAS DE FALLOS DE SEGURIDAD

Aunque son ya muchas las compañías que se han puesto “serias” en cuando a la
implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre el perfil
entero de la seguridad de aplicaciones.

La razón radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las
políticas de actualizaciones y, frecuentemente, éstas contienen información sensible.

LOS PROBLEMAS EN LAS EMPRESAS

La topología actual de aplicaciones empresariales es mixta y está compuesta tanto por

programas internos como externos. Muchos de estos programas no son más que pequeños
scripts. Y estos son precisamente los que más riesgo conllevan porque son sencillos y fáciles de
descifrar.

Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts que
residen en la red. Asegúrese de que dispone de las últimas versiones de las aplicaciones y
componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso de aplicaciones
customizadas, mantenga un fichero de los scripts que éstas puedan incorporar.

Esto significa la monitorización periódica de servicios de seguridad como CERT y las páginas
Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que
son un punto de entrada a la red corporativa es una inversión sin precio.

CLG 7
DATOS NO AUDITABLES

Una buena Auditoría de los datos almacenados en su organización es un deber común en las
industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas.

Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al proceso
de Auditorías periódicas y disponen de un banco de conocimientos sobre la ubicación de los
datos. Sin embargo, las industrias emergentes no son tan detallistas.

Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el
cumplimiento de las normas como la seguridad de la información.

La seguridad afecta tanto a la protección de la información como a la aplicación de parches para

asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas
de cumplimiento de normas es la implementación estricta de políticas que monitorizan cada
modificación de los servidores y los dispositivos de red.

ESCASOS RECURSOS DE ALMACENAMIENTO

Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la
utilización actual, sugieren que su organización dispone de mucha capacidad. Sin embargo, un
sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial.

Los administradores deben evaluar los requerimientos de capacidad y rendimiento de las

aplicaciones junto con los recursos disponibles de almacenamiento. Las organizaciones pueden
maximizar la utilización de capacidad y mantener un nivel de rendimiento aceptable.

SU IP PODRÍA SER DEFICIENTE

Más que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En
muchas compañías, puntos de acceso inalámbricos, teléfonos VOIP y cámaras de seguridad
ofrecen nuevas opciones de disminuir el número de líneas físicas y cables de suministro de
energía.

UNA FALTA DE BUSINESS INTELLIGENCE

La BI no es una tecnología nueva. Las grandes empresas, especialmente las del sector financiero
y de sanidad, han utilizado herramientas de BI durante muchos años.
Las medianas y pequeñas empresas que no implementan estas tecnologías se enfrentan a

CLG 8
problemas de competitividad. Lejos de ser tecnologías sólo aptas para empresas grandes, las
herramientas de análisis han evolucionado de tal manera que son asequibles incluso para
organizaciones más modestas.

No cabe duda que estas herramientas pueden marcar una diferencia importante en los servicios
y productos de una compañía que llegan al mercado, incrementando la rentabilidad de
transacciones comerciales.

Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la tecnología
y los procesos de negocio en una organización. Esto significa una infraestructura óptimamente
configurada con herramientas que recogen la información pertinente de una transacción.

LOS CONSULTORES HAN DE VIGILARSE

Las promesas de costos reducidos y plazos cortos pueden abrir las puertas a una serie de
errores que no benefician a nadie.

Los consultores suelen tomar atajos poco correctos para cumplir los plazos de cumplimiento.
Quizás envían datos sensibles inalámbricamente sin las protecciones adecuadas. Quizás utilizan
software no licenciado para monitorizar o gestionar algún componente del despliegue. O quizás
abren un agujero en sus cortafuegos para obtener un acceso directo y después se olvidan en
cerrarlo.

Las compañías deben especificar claramente las normas de conducta y establecer un sistema de
evaluación medible.

En el contrato, las compañías deben decretar el comportamiento mínimo aceptable con

respecto a las licencias, la seguridad, documentación y gestión de cambios. Finalmente, ha de
haber una evaluación a posteriori para comprobar el cumplimiento de objetivos y asegurar que
la infraestructura no haya sufrido ningún daño colateral.

CLG 9
El incremento masivo en el uso de medios informáticos, ya sea de computadores en los puestos
de trabajo como en las aplicaciones de tecnología cada vez más sofisticada, y en la prestación de
servicios a los ciudadanos mediante la Administración Electrónica, han llevado a la necesidad de
adaptar las técnicas de Auditoría tradicionales para poder hacer frente a esos cambios.

Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar
con un marco metodológico para organizar las actividades de Auditoría, y así definir las pautas y
los controles a considerar en las futuras actuaciones de Auditoría. Esto se sustenta en el hecho
que el uso de una metodología contrastada contribuye a:

- Salvar las brechas existentes entre riesgos del proceso de gestión, necesidades de
control y aspectos técnicos. Esto es debido a que los riesgos de un proceso de gestión no
son los mismos que los riesgos a que se expone el sistema de información que le da
apoyo. La Auditoría Informática debe intentar asegurar que ambos están controlados, o
sea, ajustados a las necesidades de control, o a lo que se asuma controlar, y a los medios
y recursos técnicos disponibles.

- Determinar el alcance de la tarea de Auditoría e identificar los controles mínimos, que

debe estar dirigida no sólo a Auditores informáticos, sino también a los gestores y a los
usuarios.

- Observar e incorporar los estándares y regulaciones nacionales o internacionales.

Al contar con una metodología se podrán tener predefinidos los procedimientos de actuación,
que aunque sólo lleguen a definir el qué y el cómo hacer las actuaciones, permitirán generar
resultados homogéneos por los distintos miembros del equipo Auditor. Asimismo, el marco
metodológico adoptado tendrá que definir las pautas y los controles a realizar con relación a los
sistemas de información, tecnologías de hardware, seguridad, planificación, desarrollo de
sistemas, etc.

CLG 10