auditori a

Upload: jonathan-arenas

Post on 10-Oct-2015

4 views

Category:

Documents


0 download

TRANSCRIPT

  • 1FUNDAMENTOS DE AUDITORIA DE SISTEMAS DE INFORMACIONCarlos Alberto RuizProfesor AdjuntoCtedra de Auditora

    1. AUDITORIA. CONCEPTOS GENERALES

    ORIGEN DE LA PALABRA:

    Etimolgicamente el verbo latino AUDIRE significa OIR y el sustantivo latinoAUDITOR significa EL QUE OYE, este significado proviene del origen histricode la funcin de los auditores, quienes antiguamente juzgaban la veracidad ofalsedad de las rendiciones de cuentas, oyendo la explicacin de los responsablesde las mismas.

    La palabra Auditora, hasta no hace mucho tiempo, se entenda referida a larevisin de cuentas o contabilidades. No hacen muchos aos se diferenciaron laspalabras Auditora de Auditora Contable.

    CONCEPTO:

    Distintos profesionales de Ciencias Econmicas han tratado de dar un conceptode Auditora distinto del de Auditora de Estados Contables. De estos trabajosvale la pena mencionar el de LOPEZ SANTISO de 1.976 1 que relaciona laauditora con la teora de sistemas, de donde surge la siguiente sntesis:

    En Administracin, una funcin de control es la encargada de medir y corregirlos desvos en las actividades de una organizacin, de acuerdo a objetivospredeterminados.

    Existen numerosos tipos de controles, en funcin de los distintos criterios declasificacin que pueden utilizarse.

    ELEMENTOS DE UN CONTROL

    Todo control de un sistema operante, posee 4 elementos bsicos: que son lossiguientes:

    1. Objeto: es lo que se va a examinar o medir, es una o varias caractersticas ocondiciones del sistema operante a ser controladas.

  • 22. Sensor:: Es el mtodo, pauta, estndar o norma que se usa para medir ocomparar con el objeto del control, la caracterstica o condicin controlada,para ver si cumple o se desva respecto de lo estipulado en este sensor. Es launidad de medida del control.

    3. Sujeto: del examen, es quien ejecuta o realiza el control. Es el grupo unidad oequipo de control que compara los datos medidos con el rendimientoplaneado, determina los desvos o diferencias y lo informa de forma tal quepermitir corregir la produccin del sistema.

    4. Grupo Activante: Es el grupo, persona o mecanismo capaz de efectuar lascorrecciones en el sistema operante, de los desvos que surgieron de lacomparacin entre el objeto y el sensor.

    Estos cuatro elementos bsicos de todo control se presentan siempre en la mismasecuencia y con la misma interrelacin de acuerdo al siguiente grfico:

    CONCEPTO DE AUDITORIA EN GENERAL

    AUDITORIA, podemos definirla como una funcin de control independiente, queen forma sistemtica y organizada debe:

    Comparar la caracterstica o condicin controlada, con respecto a las pautas,normas o elementos utilizados para medirla. Es decir comparar el objeto conrespecto al sensor.

    Determinar los desvos e.

    Informar a quien ordena o contrata la auditora, que jerrquicamente debeestar por encima del sistema auditado.

    1Sistema

    Operante

    Caractersticao Condicincontrolada

    2Sensor

    4Grupo

    Activante

    3Grupo deControl

  • 3RELACIN ENTRE CONTROL Y AUDITORA2

    La auditora es una funcin de control porque su accionar se dirige a influenciarun sistema en sentido restrictivo o directivo. Al constituir un control es la auditoracomo cualquier otro, un control de sistemas.

    La auditora es por otra parte un sistema de control correctivo, del tiporetroalimentado. El auditor es el grupo de control que compara los objetivosdefinidos por el sistema con los resultados que produce en relacin con lacaracterstica controlada, determina los desvos e informa de ello al grupoactivante.

    No se concibe la auditora como un control no correctivo porque toda auditoraest dirigida a la medicin e informacin de los desvos. Tampoco puedepensarse a la auditora como un sistema de control prealimentado, porque su finno es la de un control incluido en la planeacin sino la verificacin de algo que yaha sucedido, aunque se trate por ejemplo de informacin proyectada.

    La auditora es en general un control selectivo por lo tanto no es necesarioverificar la totalidad de los resultados producidos por el sistema para obtenerevidencia suficiente sobre el funcionamiento del sistema operante.

    Auditora es un control de secuencia abierta, es decir que el grupo de control nopertenece al sistema operante sino que es independiente de l. Cuando el controlpertenece al sistema solo se denomina control pero no es auditora.

    INDEPENDENCIA3

    Cabe destacar la caracterstica de independiente de esta particular funcin decontrol.

    El sujeto que ejecuta este control, es decir el auditor, debe cumplir con esterequisito indispensable, que es ser independiente del objeto auditado y ademsparecerlo.

    El problema de la independencia del auditor es una cuestin fctica, ya que unprofesional puede ser imparcial, o no serlo, independientemente de lo queindiquen las apariencias. Sin embargo la credibilidad de un informe de auditorafirmado por un familiar directo, o por alguien que depende econmicamente delauditado, probablemente resulte poco creble a los usuarios de ese informe, msall de la objetividad con la que realiz el trabajo de auditora.

    Desde el punto de vista normativo slo pueden enumerarse las situaciones queafectan la independencia aparente, no obstante los cual un auditor debe cumplircon los dos aspectos: la independencia real y la aparente.

  • 4PROCESO DE AUDITORIA

    La realizacin de las tareas de cualquier auditora en forma sistemtica yorganizada, significa que toda auditora es, en s misma, un proceso que requieredel cumplimiento de tres etapas bsicas que son:

    PLANIFICACION

    EJECUCION

    CONCLUSIONES

    Cada una de estas etapas constituyen verdaderos procesos en s mismos.

    La etapa de planificacin incluye desde la determinacin precisa de los objetivos ysub objetivos de la auditora, hasta llegar al programa de trabajo que es el detallede los procedimientos o tcnicas seleccionados. Estos debern permitir reunirevidencia vlida y suficiente, respecto de cada uno de los objetivos y subobjetivos predeterminados.

    La etapa de ejecucin, como su nombre lo indica, es aquella donde llevamos acabo los procedimientos determinados en la planificacin y que se reflejan en losprogramas de trabajo.

    De la aplicacin de cada procedimiento obtenemos conclusiones respecto delobjetivo vinculado al mismo, en muchos casos resulta necesaria la aplicacin dems de un procedimiento por cada objetivo, para poder reunir evidencia suficienteque permita la obtencin de conclusiones sobre el mismo. Esta ltima etapa delproceso de auditora se caracteriza fundamentalmente, por la sntesis de lasconclusiones particulares de cada procedimiento aplicado, para llegar a una ovarias conclusiones generales sobre la tarea realizada. Esta etapa termina con laemisin del correspondiente informe de auditora que adopta distintas formassegn el tipo de auditora que se trate.

    Las tres etapas del proceso de auditora estn estrechamente vinculadas entre sa tal punto que no hay una clara delimitacin en el tiempo, respecto del comienzoy fin de cada una. Prueba de ello es que para planificar las tareas a realizar,habitualmente resulta necesaria la aplicacin de ciertos procedimientosparticulares, al igual que durante la etapa de ejecucin pueden modificarse losprogramas de trabajo si los resultados obtenidos de los procedimientosprogramados fueran insuficientes o excesivos.

  • 5CLASIFICACIONES:

    La funcin de auditora es susceptible de clasificacin segn:

    El Sujeto: Auditora Interna,

    Externa.

    El Objeto: Auditora de Estados Contables,

    Operativa,

    Integral,

    Fiscal,

    de Sistemas de Informacin,

    de Informacin Prospectiva,

    Militar,

    Mdica,

    Jurdica, etc.

  • 62. LA AUDITORA Y EL PROCESAMIENTO ELECTRONICO DE DATOS

    La vertiginosa evolucin de la Tecnologa de la Informacin (TI) en los ltimosaos y la significativa reduccin de costos tanto del equipamiento, como de lasaplicaciones, ha trado como consecuencia la generalizacin del uso delprocesamiento electrnico de datos en prcticamente todos los mbitos. Suutilizacin en el sector productivo, administrativo, comercial, acadmico, deinvestigacin y de servicios, tanto en el mbito pblico como en el privado es yauna realidad innegable.

    Esta generalizacin ha sido tan explosiva que algunos servicios vinculados yhabituales en toda organizacin, como el de auditora, no ha evolucionado de lamisma forma.

    En algunos libros es frecuente encontrar cierta confusin conceptual sobre temasde auditora en relacin con la informtica, suelen aparecer definiciones confusasy entre cruzadas de al menos tres temas bien diferenciados:

    1. AUDITORA DE ESTADOS CONTABLES EMITIDOS A PARTIR DE UNSISTEMA DE INFORMACION COMPUTARIZADO.

    2. TCNICAS DE AUDITORA ASISTIDAS POR COMPUTADOR.

    3. AUDITORA DE SISTEMAS DE INFORMACION COMPUTARIZADOS.

    A efectos de conceptualizar cada uno, se utilizar la definicin de auditora engeneral y se identificarn para cada caso los elementos bsicos de toda funcinde control, definidos en la primera parte.

  • 72.1. AUDITORA DE ESTADOS CONTABLES EMITIDOS A PARTIR DE

    UN SISTEMA DE INFORMACION COMPUTARIZADO.

    Objeto:

    Lo que se va a verificar o controlar son los estados contables, es decir, elproducto final de una parte del sistema de informacin de una organizacin.

    A los profesionales en ciencias econmicas, las normas de auditora vigentes nosobligan a evaluar el sistema de informacin del cual surgen los estados contables,independientemente de que sea un sistema manual, mecnico o electrnico, aefectos de realizar este tipo de tarea.

    Esto no significa que cambia el objetivo de la labor de auditora que sigue siendoverificar la correcta valuacin y exposicin de los estados contables de acuerdo anormas contables vigentes, sino que forma parte del proceso de planificacin delas tareas de este tipo de auditora.

    La naturaleza, el alcance y la oportunidad de los procedimientos se determinarnen funcin de las debilidades y fortalezas detectadas en la parte pertinente delsistema de control interno, en especial el referido a esta parte del sistema deinformacin.

    Las Normas de Auditora 4 vigentes en la Rep. Argentina, establecen lo siguiente:

    - Punto III: Normas sobre Auditora externa de Informacin Contable.

    2.5. Reunir los elementos de juicio vlidos y suficientes que permitanrespaldar su informe a travs de la aplicacin de los siguientesprocedimientos de auditora:

    2.5.1. Evaluacin de las actividades de control de los sistemas que sonpertinentes a su revisin, siempre que, con relacin a su tarea, elauditor decida depositar confianza en tales actividades. Estaevaluacin es conveniente que se desarrolle en la primera etapaporque sirve de base para perfeccionar la planificacin en cuanto ala naturaleza, extensin y oportunidad de las pruebas de auditora aaplicar. El desarrollo de este procedimiento implica cumplir lossiguientes pasos:

    1.5.1.1. Relevar las actividades formales de control de los sistemas queson pertinentes a su revisin.

    2.5.1.2. Comprobar que esas actividades formales de control de lossistemas se aplican en la prctica.

    2.5.1.3. Evaluar las actividades reales de control de los sistemas,comparndolas con las que considere razonables en lascircunstancias.

  • 8 2.5.1.4. Determinar el efecto de la evaluacin mencionada sobre laplanificacin de modo de replantear, en su caso, la naturaleza,extensin y oportunidad de los procedimientos de auditoraseleccionados previamente.

    2.5.1.5. Emitir, en su caso, un informe con las observacionesrecogidas durante el desarrollo de la tarea y las sugerencias para elmejoramiento de las actividades de control de los sistemasexaminados.

    Ningn otro procedimiento est descripto con tal grado de detalle en la norma, loque revela la importancia que la misma le otorga a esta parte del proceso deauditora, sin perder de vista que el objeto de la auditora sigue siendo el productofinal de una parte del sistema de informacin de la organizacin comonormalmente es el subsistema contable.

    La norma usa el trmino sistemas sin distinguir si es manual, mecnico, oelectrnico, sin que por ello haya perdido validez la aplicacin de la misma, por elcontrario, es muy probable que la informacin volcada en los estados contablestenga mayor dependencia del sistema, en uno computarizado que en uno manual.

    Sensor:

    De acuerdo a lo expuesto en el prrafo referido al objeto de esta auditora, elsensor o unidad de medida para una auditora de estados contables,independientemente de donde surjan, seguirn siendo las normas contablesvigentes.

    Sujeto:

    Es el profesional en ciencias econmicas, quien deber determinar si los estadoscontables se han confeccionado de acuerdo con las normas contablesprofesionales vigentes teniendo en cuenta para este caso en particular, el efectocombinado de los siguientes factores:

    Grado de utilizacin del procesamiento electrnico de datos (P.E.D.) en laemisin de los estados contables.

    Complejidad del ambiente P.E.D.

    Importancia de la Tecnologa de Informacin (T.I.) en el negocio.

    La diversidad de equipamientos, configuraciones, sistemas operativos,aplicaciones, lenguajes de programacin, programas de gestin enlatados, etc.utilizados actualmente, es tan grande que puede requerir que el equipo de trabajode auditora cuente con el apoyo de especialistas en sistemas y controles desistemas, distintos para cada caso.

  • 92.2. TCNICAS DE AUDITORA ASISTIDAS POR COMPUTADORA.

    Concepto:

    Uso de herramientas informticas para: la ejecucin de procedimientos, ladocumentacin de tareas realizadas por el auditor, etc. independientemente delas caractersticas del sistema de informacin, del tipo de auditora, o del objetivode la misma.

    Son aplicables tanto en un entorno manual como informatizado, para auditorasde estados contables, de sistemas de informacin, evaluaciones de controlinterno, etc.

    Su mayor utilidad se da en contextos computarizados y en aquellas auditorasdonde es necesario el manejo de grandes volmenes de datos.

    Herramientas:

    Existen en el mercado varias aplicaciones especficas de auditora, que permitenla realizacin de una gran cantidad de tareas, que significan para el auditor unaayuda por el ahorro de tiempo que le significa su utilizacin y la sistematicidadque se logra en el desarrollo del proceso de una auditora. Normalmente estosprogramas son desarrollos realizados por los grandes estudios internacionales deauditora. (Ejemplos de estos aplicativos son IDEA, ACL, etc.) y su costo suele serelevado.

    En el caso de pequeos estudios o profesionales independientes es ms comnla utilizacin en tareas de auditora, de aplicaciones de uso generalizado comoprocesadores de texto, hojas de clculo y administradores de bases de datos,disponibles en cualquier PC o porttil, con los que se pueden lograr excelentesresultados, requiriendo slo cierta pericia y alguna cuota de imaginacin por partedel auditor.

  • 10

    2.3. AUDITORA DE SISTEMAS DE INFORMACIN COMPUTARIZADOS.

    Objeto:

    En este caso el objeto de auditora es el sistema de informacin (S.I.)propiamente dicho.

    A efectos de poder caracterizar este tipo de auditora en particular, resultanecesario definir qu es y qu incluye el S.I. ya que no existe acuerdo entre losdistintos autores al respecto, encontrando conceptos muy generales que noaportan claridad sobre el alcance de este tipo de auditoras, o muy restrictivos yaque slo se refieren en forma exclusiva a las aplicaciones o programas decomputacin.

    La importancia de conceptualizar en forma precisa, que incluye el S.I., est dadapor que nos va a definir el alcance y hasta la incumbencia profesional necesariapara este tipo de auditoras.

    SISTEMA DE INFORMACION. CONCEPTO

    Es el conjunto de personas, papeles, software, hardware, datos, entorno, mediosde almacenamiento y comunicaciones y las interacciones entre ellos, que tienecomo objetivo la generacin de informacin que cumpla con ciertos requisitospredeterminados.

    Cabe destacar que esta definicin de S.I. abarca mucho ms que las aplicacioneso programas, que son slo una parte del sistema, la auditora de S.I. tiene porobjeto el sistema en su conjunto, es decir cada uno de los distintos componentesmencionados, entre ellos el software, y fundamentalmente las interacciones entreellos.

    Sensor:

    Cual es la unidad de medida, el estndar o la norma con la cual voy a medir ocomparar el sistema de informacin. Este suele ser otro problema que surge a losauditores de sistemas de informacin, al no existir un patrn nico aplicable. Entrminos generales podemos mencionar:

    1. Normas internas del ente:

    Algunas organizaciones de cierta envergadura suelen generar su propioconjunto de normas de funcionamiento materializadas en manuales deprocedimientos, cursogramas, flujogramas, organigramas, documentacin desistemas, etc. lo que resulta ms difcil es que estas normas reflejen el

  • 11

    impacto que la informtica a causado en sus sistemas, e incluyan pautasespecficas sobre el tema. An en los casos en los que existan, debenmantenerse actualizadas por la velocidad de los cambios en este tipo desistemas (actualizaciones en el equipamiento, en los sistemas operativos, enlas aplicaciones y en las comunicaciones)

    2. Normas de organismos de control:

    Algunos organismos de control ya han emitido normas especficas referidasa Tecnologa de la Informacin (TI) ejemplos de ellos en nuestro medio son:el Banco Central de la Repblica Argentina con su Comunicacin A 2659, laSindicatura General de la Nacin con las Pautas de Control Interno paraSistemas Computadorizados y Tecnologa de Informacin, el gobierno de laProvincia de Mendoza con sus Normas de Seguridad de Sistemas deInformacin y a travs de la adopcin de COBIT, etc. En algunos casos esnecesario complementarlas con otras pautas o normas referidas a los otroscomponentes de un sistema de informacin distintos de la TI.

    3. Estndares emitidos por organizaciones especializadas:

    Organizaciones internacionales de profesionales han emitido normasaplicables a este tipo de auditoras, entre las ms relevantes se puedenmencionar:

    - - Informe C.O.S.O. 5(Committee of Sponsoring Organizations) elaboradopor la Treadway Commission, (EEUU 1.992) referido a pautas de controlinterno en general.

    - C.O.B.I.T 6 Objetivos de control para la informacin y la tecnologarelacionada desarrollado por la I.S.A.C.A. Asociacin de Auditora yControl de Sistemas de Informacin.

    Ambos estndares se complementan abarcando prcticamente todos losaspectos relevantes de un S.I.

    4. Criterio del Auditor: es el menos recomendable y en general el msutilizado, la principal crtica que se le puede hacer como sensor es la falta deobjetividad, ya que es la opinin del auditor sobre lo que debera ser, y por logeneral suele ser muy discutida, salvo casos de observaciones muyevidentes, o una muy buena fundamentacin del criterio utilizado.

    Objetivos de auditora

    Otro problema relacionado con el sensor es su relacin con los objetivos delcontrol. Definido que es el Sistema de Informacin y cual es el sensor aplicable,falta definir que caracterstica u objetivo de control, deber verificar el auditor. Nohay consenso de cuales son los objetivos de una auditora de S.I. cada autormenciona los que cree ms relevantes, a modo de ejemplo y no por que sean los

  • 12

    nicos, se detallan los objetivos incluidos en los estndares mencionados en elprrafo anterior de acuerdo al enfoque que utiliza cada uno, siendo los msimportantes:

    1. Efectividad: La informacin relevante debe ser pertinente para los procesosdel ente, adems su entrega debe ser oportuna, correcta, consistente y demanera utilizable.

    2. Eficiencia: La provisin de informacin debe lograrse a travs de la utilizacinptima de los recursos disponibles (Productividad y economa).

    3. Confidencialidad: Proteccin de informacin sensible contra acceso odivulgacin no autorizado.

    4. Integridad: Es la precisin y suficiencia de la informacin, as como su validezde acuerdo a las necesidades y expectativas del ente.

    5. Disponibilidad: La informacin debe estar siempre disponible cuando searequerida por los procesos del ente, tanto ahora como en el futuro. Tambinincluye la salvaguarda de los recursos necesarios y de las capacidadesasociadas a la emisin de informacin.

    6. Cumplimiento: Est referido a cumplir con leyes, regulaciones, normasinternas, externas y acuerdos contractuales a los que estn sujetos losprocesos del ente.

    7. Confiabilidad: Se refiere a la provisin de informacin apropiada para lacorrecta toma de decisiones que hacen a la operatoria del ente, reportesfinancieros, informacin fiscal, etc. Es la base del correcto ejercicio de lasresponsabilidades.

    Cabe destacar que los objetivos de control mencionados se refieren tanto acaractersticas del S.I: como a caractersticas de la informacin propiamentedicha, en este ltimo caso debe entenderse como que el sistema de informacinprovea a su producto final de esa condicin, caso contrario estaramos enpresencia de una auditora de informacin y no del sistema que le da origen. Estono impide que para auditar un S.I. se puedan aplicar procedimientos sobre elproducto generado por el sistema con el objetivo de verificar alguna condicin acumplir por ste.

    De la lectura de los objetivos mencionados surge que muchos de ellos son muyamplios o generales y requieren ser abiertos en sub objetivos ms concretos,especialmente a efectos de disear los procedimientos aplicables para verificar sucumplimiento en el S.I.

  • 13

    Sujeto:

    El sujeto en este tipo de auditoras, es el Auditor de S.I. que debe reunir losrequisitos de independencia e idoneidad.

    INDEPENDENCIA:

    Esta independencia respecto del sistema auditado, es la que diferencia a laAuditora de cualquier otra funcin o actividad de control realizada en unaorganizacin. Este requisito se debe cumplir tanto en el caso del auditor externo(ejemplo: Si el responsable del sistema se desvincula de la organizacin, nopodra ser inmediatamente contratado como auditor externo del mismo ya quecarece de independencia de criterio para opinar sobre su tarea anterior) como delauditor interno (El cual debe depender de un nivel jerrquico suficientemente alto,para evitar que el responsable de las observaciones que puedan surgir de sutarea, termine siendo su superior).

    Por otra parte existe una nueva tendencia que propugna que el auditor debeasumir una actitud pro activa en su tarea, involucrndose en los proyectos ydesarrollos antes de su finalizacin, dejando de lado la actitud de crtico dehechos y situaciones del pasado, esta postura puede ser vlida en la medida queno se vea comprometida su independencia respecto del objeto de la auditora.

    Bsicamente es una cuestin de responsabilidades, cuando se contrata un auditorexterno (para cualquier tipo de auditora), justamente lo que se busca es alguienajeno al objeto a auditar.

    El auditor debe tener claro que la responsabilidad de la correccin de lo que va aexaminar, es de alguien que pertenece al ente contratante, si el auditor seinvolucra con el objeto de la auditora, esta responsabilidad del auditado se diluyey lo que puede ser ms grave es que termine siendo compartida con el auditor.

    No obstante lo expuesto nada impide que se puedan auditar etapas intermediasde un proyecto o desarrollo, emitiendo opiniones por cada una de ellas.

    IDONEIDAD:

    En auditoras de S.I. es normal que se formen equipos de trabajointerdisciplinarios que incluyan especialistas en relevamiento y evaluaciones decontrol interno, especialistas informticos con los conocimientos particulares decada caso (redes, comunicaciones, sistemas operativos, lenguajes deprogramacin, etc.) y especialistas contables. Adems todos ellos deben conocerla actividad, objetivos y metas del ente desde el punto de vista operativo,comercial, administrativo y legal, o contar con el asesoramiento pertinente.

  • 14

    La estructura y complejidad del S.I. son las caractersticas que van a definir eltamao y la especializacin del equipo de trabajo. La auditora de un S.I. no muygrande y simple probablemente pueda ser auditada por un nico profesional quetenga los conocimientos necesarios para ese caso, independientemente del ttulohabilitante que posea. Si el tamao y la complejidad del sistema crecen puederesultar necesario incrementar el equipo de trabajo con especialistas o asesoresen los temas especficos que se requieran. Para grandes sistemas esrecomendable la utilizacin de equipos interdisciplinarios con las habilidadesespecficas requeridas para cada caso en particular (no todos los profesionales eninformtica conocen todos los sistemas operativos, ni todos los lenguajes deprogramacin, ni son expertos en redes o comunicaciones, como tampoco notodos los profesionales en ciencias econmicas son especialistas en controlinterno, contabilidad y auditora).

    Grupo Activante:

    Es quien contrata la auditora y que por su posicin jerrquica en la organizacin,est en condiciones de tomar las medidas correctivas necesarias sobre lasobservaciones y recomendaciones formuladas por el auditor al final de su tarea.

    Quien contrata la auditora debe fijar en forma precisa el alcance y objetivos de lamisma. El auditor, antes de comenzar su tarea, tiene la obligacin de hacerleconocer la amplitud de objetivos de una auditora de S.I. a efectos de definir enforma precisa cuales son los que ms le interesan al contratante y asesorarlosobre cuales pueden ser de mayor utilidad, a efectos de evitar falsas expectativasy que la tarea de auditora sea realmente productiva para la organizacin.

    4. CONCLUSIONES

    De lo expuesto hasta ahora surge que la Auditora de S.I. incluye aspectoscomplejos, agravado por la falta de uniformidad conceptual entre quienes hanescrito sobre el tema.

    Entre los aspectos ms controvertidos pueden sintetizarse los siguientes:

    Alcance de la auditora: por la amplitud del objeto de auditora, es decir el S.I.que involucra no slo el componente informtico (hardware, software,seguridad informtica), sino tambin los elementos humanos y materiales y lainteraccin entre ellos, pasando por el control interno de toda la organizacin.

    Objetivos de auditora: como ya se desarroll anteriormente el nmero deobjetivos es muy alto y muy variado respecto de las habilidades que serequieren para su verificacin, lo que implica la formacin de equipos deauditora interdisciplinarios o correr el riesgo que los resultados de la mismasean parciales.

  • 15

    Para dar una idea de la magnitud de la tarea, la planificacin de una auditorade S.I. en principio nos llevara a pensar en verificar el cumplimiento de cadaobjetivo propuesto respecto de cada elemento que conforma el sistema, encada uno de los sectores de la organizacin o subsistemas de informacin,dando por resultado una tarea de una magnitud ms que considerable.

    Desde el punto de vista normativo, para este tipo de tareas no existen normasprofesionales de auditora de S.I. y menos an normas sobre como debieranser los sistemas de informacin. Los profesionales en ciencias econmicasdebemos aplicar lo que resulte pertinente de las Normas de Auditora vigentesy las emitidas por los organismos de control para los casos particulares en quesean aplicables como el memorando de auditora A-36 7 de la F.A.C.P.C.E.

    La incumbencia profesional es otro tema en discusin en el cual losprofesionales de la informtica, tratan de defender que es un campo exclusivode su incumbencia, los de ciencias econmicas tenemos una importanteexperiencia en relevamiento y evaluacin de S.I. aunque no siempre losconocimientos suficientes sobre sistemas computadorizados. Personalmentecreo que en un mercado competitivo como el actual, quien contrata unaauditora de este tipo busca soluciones, independientemente del ttulohabilitante que posea, por eso creo que un equipo interdisciplinario, especficopara cada caso en particular, es la mejor forma de encarar este tipo de tareasy obtener resultados satisfactorios.

    En lo acadmico, tanto las carreras informticas y desde hace algn tiempolas de ciencias econmicas incluyen en sus planes de estudio esta materia.

    Por otra parte son varias las unidades acadmicas que ofrecen posgradossobre Auditora de S.I. con una duracin variable entre uno y dos aos.

    Adems organizaciones internacionales como la I.S.A.C.A. otorgan, previoexamen, una certificacin internacional de auditor de sistemas (C.I.S.A.) yempieza a perfilarse como una carrera autnoma.

    Por todo lo expuesto estamos ante una materia, especializacin o carrera nueva,con mucho por definir y precisar para llegar a conceptos comunes que permitan almenos el uso de un lenguaje comn que incluya aspectos como definiciones,alcances, objetivos, incumbencias profesionales, etc.

    Es de esperar que los organismos tcnicos de las distintas profesionesinvolucradas, trabajando en forma conjunta, elaboren y emitan normas aplicablesa los distintos aspectos analizados de la misma.

  • 16

    REFERENCIAS BIBLIOGRAFICAS

    1 LOPEZ SANTISO, HORACIO, Un nuevo enfoque sobre auditora y sus normas, Informe1 (Area Auditora) del CECyT, F.A.C.P.C.E., La Plata, 1.976.

    2 FEDERACIN ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIASECONOMICAS, Manual de Auditora, Informe N 5 (Buenos Aires, CECYT, 1.985).

    3 FOWLER NEWTON, ENRIQUE, Cuestiones Fundamentales de Auditora. (EdicionesMacchi, Buenos Aires, 1.993)

    4 FEDERACIN ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIASECONOMICAS, Resolucin Tcnica N 7 Normas de Auditora (Buenos Aires, CECYT,1.985)

    5 COOPERS & LYBRAND Los nuevos conceptos de Control Interno (Informe COSO)traducido por Instituto de Auditores Internos de Espaa (Ediciones Daz de Santos,Madrid, 1.997)

    6 I.S.A.C.A. (Information Systems Audit & Control Association) C.O.B.I.T. (ControlObjectives for Information and related Technology) libre disponibilidad en www.isaca.org.

    7 FEDERACIN ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIASECONOMICAS, Memorando A-36 Informe de cumplimiento de los Requisitos operativosmnimos del rea de S.I. establecidos por la comunicacin A 2659 del B.C.R.A.(Buenos Aires, CECYT, 22/06/98)