slide 1: La Auditoría de
Sistemas de Información
como elemento de control
Ómar Javier Solano Rodríguez
Contador público de la Universidad del
Valle especialista en Sistemas
Gerenciales para Ingenieros con én
fasis en Informática de la Pontificia
Universidad Javeriana certificado
como Auditor Interno de Calidad.
Profesor de Auditoría de Sistemas de
Información de la Universidad del Va
lle desde el año de 1.998 profesor de
las sedes de la Universidad del Valle
en Palmira y Norte del Cauca.
slide 2: INTRODUCCiÓN
La Auditoría como evaluación del
control y los Sistemas Informáticos
han experimentado cambios sustancia les en años recientes. El escándalo de
Enron en Estados Unidos Xerox Corp.
Allied Irish Banks PLC y en Colombia
en lo que corría del año 2002 la Super
intendencia de Valores había impues
to sanciones a personas y empresas
por incurrir en anomalías como incon
sistencias contables en estados fman
cieros e incumplimiento de información
entre otros. Estos hechos son noticias
recientes y no muy alejados de los
cambios tecnológicos igual los siste
mas informáticos con los últimos de
sarrollo tecnológicos han permitido
cambios fundamentales en las estruc
turas de las organizaciones en la in formática han sido notorios observa mos como en ia década de los años
noventa llegó al mercado la versión de
Windows el joven Finlandés Linus
Torvalds creo Linux un Sistema ope
rativo gratuito para computadores en
1.995 se lanzó windows 95 como una
de las innovaciones tecnológicas en
sistemas operativo y World Wide Web
la red de redes conocida como Internet
se convierte en el avance tecnológic0
con un gran impacto en la actividad de
transmisión de información.
Como se puede observar esta gama
de información han de guiar el diseílo
de nuevos sistemas de controles in ternos informáticos y como la empre-
sa moderna necesitará de un profesio
nal en auditoría para comprender y
determinar los nuevos riesgos que ha
traído el desarrollo tecnológico. El giro
tecnológico que ha tenido nuestra in
dustria los diferentes desarrollos de
programas aplicacionales en el merca
do el cambio de la legislación colom biana en materia de protección de de
rechos de autor exige a las organiza
ciones una relación fuerte entre la au
ditoría y los sistemas informáticos y
por parte de las empresas considerar
un proceso permanente de implemen
tación del sistema de control interno
con énfasis en ambientes de procesa
miento electrónico de datos.
1. LA RELACION ENTRE AU
DITORlA y LOS SISTEMAS
DE INFORMACION
1.1. Auditorfa
La pregunta que surge ¿cuál es
nuestro papel como auditores ¿cuál
es nuestra contribución social Des
de la naturaleza la misma auditoría fue
concebida como el "proceso de acu
mular y evaluar evidencia realizado
por una persona independiente y com
petente acerca de la información cuan
tificable de una entidad económica
especIfica con el propósito de deter
minar e informar sobre el grado de co
rrespondencia existente entre la infor
mación cuantificable y los criterios
establecidos"l. Por tanto el ejercicio
Alvin A. Arenas y James K. Loebbecke Auditing: An lnt grated Approach 2". Ed.
Prentice-Hall Englewood ClifTs N.J. 1980 p.3.
C UADEn.WS DE ADMI7:¡STRAClÓNi UNIVERSIDAD DEL V ALLFJ N° 3I JUNIO DE 2004 123
slide 3: de la profesión como contador públi
co está soportado bajo unos esque
mas normativos que generen confian
za a los usuarios que utilizan la infor
mación. Las normas de auditoría ge
neralmente aceptadas constituyen un
buen logro en el ejercicio de la conta
duría pública éstas normas son defi
nidas claramente por el artículo 7° de
la Ley 43 de 1.990 y se relacionan con
las cualidades profesionales del Coa
tador Público con el empleo de su
buen juicio en la ejecución de su exa
men yen su informe. No detallaremos
defmiciones técnicas pero se podría
decir que la auditoría ha trascendido
notoriamente y aquellas defmiciones
del término Auditoría que implícita
mente traían consigo vocablos como
de inspección comprobación inter
vención han permitido sintetizar en
objetivos principios de causalidad qte
constituYfn el fundamento del actuar
del Contador Público.
El ejercicio de la auditoría de siste
mas de información ha tomado cada
día importancia como un elemento adi
cional de control en las organizacio
nes. Los altos índices de fraude infor mático a que han estado expuestas las
empresas han permitido que se estu
dien enfoques de auditoría que consi
deren evaluar los recursos de software
programas y los archivos de datos con
el fm de evaluar el sistema de CO\ltrO
les diseñados para minimizar los frau
des electrónicos e inconsistencias
substanciales que tienen origen en los
programas computacionales. La audi
toría informática deberá tener un ca-
rácter gerencial y ser independiente y
objetiva que emita un dictamen sobre
lo evaluado con la garantía de la atesta
ción si se trata de hechos económicos
y contables o con las recomendacio
nes pertinentes si se tratase de audi
torias administrativas de ca¡¡dad o
gestión.
Las nuevas tecnologías y tenden
cias administrativa ubican la audito
ría er. un lugar estratégico en la orga
nización. Por otro hdo la auditoría
como elemento de control ha reorien
tado esfuerzos para involucrarse en la
estructura de os procesos administra
tivos y en algunos casos ha participa
do en la reingeniería de éstos bajo la
figura de autocontrol lo cual no la ex
ceptúa de intervenir sino que la hace
complementaria de los mismos. ¿Se
deberá pensar que hablar de control
interno es iI:herente a hablar de em
presa come también de auditoría
De acuerdo a la responsabilidad
asumida como auditores informáticos
según lo anterior ésta se le exige un
cambio conceptual metodológico y de
actitud profesional para el logro de un
buen desempeflo con una visión más
de Asesor - Consultor con una labor
más funcional y de prevención para
que no se conciba como en tiempos
remotos que únicamente iba en la bús
queda de errores o irregularidades en
las oper.:.ciones. El enfoque empresa
rial ha ido cam.biando en cuanto a 1:.
figura del auditor da¡¡lo que se ha utili
z2do como una labor profesional ya
no tanto a descubrir errores sino de
1 24 LA AUDITORÍA DE SISTElIIAS DE LiFORMAClÓN COMO ELL\-fE.\"fO DE CONTROL
slide 4: prevenirlos por tanto debemos traba
jar bajo el concepto de prevención y
no de reacción.
Con el cambio en los modelos ad
ministrativos centralizados o jerárqui
cos la delegación de la responsabili
dad deberá en los directivos determi
nar una creciente necesidad de esta
blecer mecanismos de controlo de
auditoría para comprobar que los re sultados alcanzados por las personas
responsables de las divisiones depar
tamentos o unidades funcionales co rrespondn a lo planificado por lo or ganización.
De hecho ya se evidencia un cam
bio de mentalidad en los empresarios
cuando en un proceso de calidad se
habla de certificación de proveedores
se está anticipando a las posibles in
consistencias que se puedan presen tar en un proceso. Es necesario enton
ces retomar los esquemas conceptua
les que se tengan con respecto a la
función de auditoría y llevar a cabo
jornadas de sensibilización para crear
al interior de las organizaciones una
cultura de control. La auditoría debe
ponerse mas al día en los esquemas de
administración y calidad y no anquilo
sarse en revisiones ancestrales porque
podrían no contribuir al desarrollo de
las organizaciones 00 puede enton
ces la auditoría ser ajena a estos gran
des cambios por tal motivo su fun
ción debe generar de manera perma
nente un valor agregado en las orga
nizaciones.
1.2. La Auditoría como
Elemento de Control
El auditor debe lograr entender de
manera suficiente la estructura de con
trol interno para planear la auditoría y
determinar la naturaleza objetivos di
seños de programas y alcance de las
pruebas que han de realizarse. El dic cionario de la lengua española define
la auditoría como "El examen de las
operaciones fmancieras administrati
vas y de otro tipo de una entidad pú
blica o de una empresa por especial is
tas ajenos a ellas y con objeto de eva
luar la situación de la misma" el térmi
no auditoría proviene del inglés audit.
que significa verificar inspeccionar. La
auditoría data de muchos años atrás
inicialmente se :lSirnilaba con la revi
sión contable de los estados financie
ros o con las ¡nspectoría y detección
de fraudes y errores. Hoy debemos
construir un concepto moderno de
auditoría la concepción debe ser una
soja sin embargo la aplicación de su
definición debe ser de acuerdo al tipo
de auditoría que se vaya a aplicar.
Una auditoría podría describirse
como aquella actividad que a través
de pasos permiten la evaluación del
control interno y la obtención de evi
dencia válida y suficiente para esta
blecer el grado de confiabiJidad de los
procesos y la correlación entre la in
formación y los criterios establecidos
por la organización y el estado.
"Auditar es el proceso de acumu
lar y evaluar evidencia realizado por
CUADERiOS DE ADMIXICJÓ\ UNIVERSIDAD DEL V ALU N° 31/ JUNIO DE 2004 125
slide 5: una persona independiente y compe
tente acerca de la información cuanti
ficable de una entidad económica es
pecífica con el propósito de determi
nar e informar sobre el grado. de co
rrespondencia existente entre la infor
mación cuantificable y los criterios
establecidos" 2
La I.C.P.A Statements on Audi
ting Standars S.A.S defme la audito
ria como "el examen independiente de
la información de cualquier entidad ya
sea lucrativa o no sin importar su ta
mafio o forma legal cuando tal examen
se lleva a cabo con objeto de expresar
una opinión sobre dicha información".
Existen innwuerable defmiciones
de auditorfa por tanto los invito a que
reflexionemos y tengamos criterios
definidos principios y reglas básicas
generales y conocidas hoy como nor
mas Internacionales de Auditoría
NIAS.
Igual podríamos diferenciar los
controles generales de controles es
pecíficos aquellos controles que se
encuentran en tomo a un programa apli
cativo o paquete de software y en el
cual se ejecutan tareas y en general el
desarroilo y compilación de las opera
ciones del Sistema de Información se
conocen como controles generales es
decir son externos a la aplicación y no
dependen de sus características.
La auditoria debe entender que por
medio de los controles se asignan res
ponsabilidades para proteger los acti
vos de la Compafiía para documentar
todas las transacciones y garantizar
que solamente datos correctos y au
torizados sean registrados en la Con
tabilidad y para restringir el uso de la
información a las necesidades legíti
mas de la organización.
1.3. Enfoque General de
Sistemas de información
El desarrollo en la ciencia y la tec
nología ha concebido algunas tenden
cias hacia la especialización io técni
co y el conocimiento estos elementos
se integran cada vez más a las organi
zaciones. La técnica como represen
tante del conjunto de procedimientos
que logran poner en práctica un pro
ceso para obtener un resultado deter
minado y la tecnología vista como
aquello que trata conjugar una serie
de reglas que permiten hacer bien las
cosas en la industria incluyendo in
ventos técnicas comprende además
la descripción y crftica de los procedi
mientos industriales retomando de la
historia los progresos y avances.
"En el ámbito administrativo los
Sistemas son vistos como un todo or
ganizado y unitario compuesto de dos
o más partes interdependientes com-
Alvin a Arenas y James K. Loebbecke Auditing: An Integrated Approach 2da Ed.
prentice may Englewood Cliffs NJ. 1980 p.3.
126 LA AUDITORÍA DE SISTEMAS DE INFORMACIóN COMO ELEMENTO DE CÜiYfROL
slide 6: ponentes o subsistemas y delineados
por límites identificables que lo sepa
ran de un suprasistema ambiental" . J
¿La teoría de la organización y la prác
tica administrativa ha evolucionado o
ha involucionado la variedad de en
foques sistémicos sobre el análisis de
la administración la gran cantidad de
investigación en el campo de la inge
niería y el número de puntos de vista
opuestos han dado como resultado
confuso la interpretación de las teo
rías y en algunos casos en poder defi
nir el concepto de la administración y
su dependencia con los sistemas de
información.
De hecho surgen aún interrogan
tes como ¿Qué es la administración
teoría o ciencia y ¿Cómo se deben
analizar los acontecimientos adminis
trativos desde el punto de vista Sisté
mico de hecho Chester Barnard
4
fue
uno de los primeros escritores sobre
administración en utilizar el enfoque
de sistemas desde esa época se han
desarrollado nuevos modelos e inclu
so se han adoptado nuevos significa
dos por algunos neologismos que se
les han afiadido a la evolución de la
teoría de la administración como para
digmas de la administración.
Un sistema normalmente es descri
to simplemente como "un conjunto de
elementos reunidos para alcanzar un
objetivo común n . 5 Es claro que un
subsistema es parte de un sistema
mayor. Para lograr claridad en este
tema caractericemos la empresa como
un sistema mayor y las áreas seccio nes o departamentos como los sub
sistemas en general el sistema se rige
por los medios como si fuesen proce dimientos ligados a instrucciones que
persiguen fmes comunes una vez se
les suministran información. Por ejem plo al referimos al ciclo de procesa
miento de la información de la compu
tadora primero tendríamos las entra
das de los datos no procesados que
se recuperan de los hechos económi
cos y seguidamente se ingresarán a la
computadora ésta a su vez recibe los
datos del dispositivo de entrada los
ingresará filtrará y procesará para pro
ducir algún tipo de documento que se
mostrará al usuario fmal como una sa
lida. Como característica principal el
documento debe reflejar informacióa
útil para la toma de decisiones. Por úl timo la información necesita ser alma cenada para usos posteriores. Obser vemos entonces como surgen nuevos
El nombre "teoría general de sistemas" y muchos de los conceptos básicos fueron
expuestos por el biólogo Ludwing Van Bertalanffy. Para tener una visión más amplia de
sus puntos de vista véase "The Tepry Of Open System In Physics and Biology"
Science Jan. 13 1950. pp 23-29 Y general System Theory George Braziller Inc. New
Cork 1.968.
Chestcr 1. Barnard The Functions of Ihe Executive Harvard University Press Cambridge
Mass. 1938
Shim Jae Siegel loe y Chi Robert Respuestas rápidas para sistemas de Infonnación 1 ra
edición- Prentice Hall Inc México 1.999 p.l4
CUADERNOS DE ADMIN1STRACIÓNl UNIVERSIDAD DEL V ALuJ N° 31/ JUNIO DE 2004 127
slide 7: elementos en los sistemas de informa
ción entradas procesamientos sali
das y almacenamientos datos e infor
mación.
1.4. Auditoria Informática
Revisados los conceptos de audi
toría y sistemas de información anali
zaremos :a auditoría informática ésta
es entendida como el proceso de reco
ger agrupar y evaluar evidencias para
determinar si un sistema computariza do salvaguarda los activos involucra
dos en el sistema de información man
teniendo la integridad de los datos.
6
El auditor deberá considerar cómo afec ta a la auditoría un ambiente de siste
mas de información por computador.
De este modo la auditoria informática
sustenta y confmna la consecución de
los objetivos tradicionales de la audi
toria
7
:
Objetivos de protección de activos
e integridad de datos.
Objetivos de gestión que abarca
no solamente los de protección de
los activos sino también los de efi
cacia y eficiencia.
El auditor evalúa y comprueba en
determinados momentos del tiempo los
controles y procedimientos informáti
cos más complejos desarrollando y
aplicando técnicas mecanizadas de
auditoria incluyendo el uso del soft
ware.
Se pueden establecer tres grupos
de funciones a realizar por un auditor
informático: Participar en las revisio
nes durante y después del diseiio de
sarrollo implantación y post - imple
mentación de aplicaciones informáti
cas así como en las fases de cambios
importantes.
Revisar y juzgar los controles im
plantados en los sistemas informáti
cos para verificar su adecuación a las
órdenes e instrucciones de la Direc ción requisitos legales protección de
confidencialidad y en lo posible pre venir errores omisiones o fraudes.
Revisa y juzgar el nivel de utilidad
fiabilidad y seguridad de los equipos
y la información.
Asesorar en el diseiio de los ccn
troles especificos de la aplicación por
computadora.
DefIDir los requerimientos de infor
mación para la organización y el velar
por el cumplimiento de las políticas y
procedimientos de la compaiiía en el
desarrollo de software instalación de
sistemas computarizados.
El siguiente cuadro contiene las
diferencias y similitudes entre control
interno informático y auditor informá
tico: 8
Emilio del Peso Mario G. Piattini. Auditoría Informática un enfoque práctico Edición
1 - Computec Rama Pago 28
íb ídem
Cuadro adaptado del texto de Emilio del Peso Mario G. Piattini Auditoría Informática
un enfoque práctico Edición 1 - Computec Rama Pago 30.
128 LA AUDITORÍA DE SISTEMAS DE L\TORMAOÓN COMO ELEMENTO DE CONTROL
slide 8: Diferencia Y Similitudes Entre Control Interno
Informático y Auditoría Informática
Control Interno Auditarla Informática
Infonnátlco
Similitudes Personallntemo
Conocimientos especializados en Tecnologia de la información
Verificación del cumplimiento de controles internos normaüvidad legal y
procedimientos establecidos por la Dirección de la empresa y la
Dirección General para los sistemas de inlormaclón.
Diferencias Analizar los controles de An¿lisis de un momento informático
manera diaria. determinado
Informar a la Dirección del Informa a a Dirección General de la
Departamento de Organiación
I::formática Personal intemo o externo.
Sólo personal de la Tiee cobertura sobre todos los
organización. componentes de los sistemas de
El alcance de sus /unciones información de la organización
es sobre el Departamento
de Informática.
1.5. La Información Como
Activo Estratégico.
Primero hay que diferenciar entre
los conceptos de dato y de infonna
ción puesto que de esa distinción de
pende que se logre entender la impor
tancia de la infonnación a nivel geren
cial. Los datos consisten en hechos
econór.1icos y cifras cuantificables que
sin ser procesadas no hacen parte del
suméúio de toma de decisión. Nonnal
mente los datos toman la fonna de re
gistros históricos la información con
siste ea tomar los datos que de alguna
m:ll1cr:l bm sido recuperados proce-
sados y analizados para proyecciones
pronósticos o toma de decisior.es fu
turas.
Un ejemplo de datos serían los he
chos económicos los documentos de
soporte de las transacciones de la em
presa la legislación laboral y de segu
ridad social la de comercio etc. los
recursos financieros y materiales ne
cesarios de apoyo que comprenden el
material fuente para las declaraciones
del Estado de Resultados.
El concepto de infonnación dentro
de la organización es considerado por
algunos autores como un activo va
lioso cito algunas empresas en espe-
CUADER¡OS DE AD:l-lThlSTRAClÓNI UNIVERSIDAD DEL VALU:J N° 31/ JUNIO DE 2004 129
slide 9: ciallas empresas punto com. tuvielOll
su auge en el comercio electrónico.
Baruch Lev
9
expresa en unos de sus
artículos "En la economía de las em
presas no interesa tanto el tamaño de
sus activos como edificios maquilla
rias instalaciones inventarios sino
los activos intangibles que tienen su
origen en los conocimientos habí lida
des valores y aptitudes de las perso
nas que forman parte de la empresa".
De esta misma manera es de conside
rarse /a información como uno de los
activos más importantes de las empre
sas llámense entidades es tata/es o
privadas. Es lógico pensar que cada.
día las empresas dependen en mayor
medida de la información y de la cien
cias aplicadas y que los sistemas de
información están más soportados por
la tecnología frente a la realidad de
hace pocas déadas.
Anteriormente la protección de los
datos y de la información con arqui
tecturas centralizadas sistemas ope
rativos cerrados y terminales fmancie
ras y administrativas que no procesa
ban datos eran menos complejas de
controlar hoy en día los entornos apli
cacionales son más complejos dada la
diversidad de plataformas tecnológi
cas y masificación de sistemas de re
des no sólo internas sino también
externas e incluso con enlaces inter
nacionales. La información consiste en
datos que han sido recuperados pro
cesados o usados de una u otra mane
ra con propósitos informativos o de
inferencia o como .lna base para el
pronóstico o la toma de decisiones. 10
Los documentos de apoyo antes
mencionados son un claro ejemplo de
estos datos pero en este caso los da tos son usados por un auditor de sis
temas de información auditor interno
externo o el Revisor Fiscal para la vali
dación y verificación de la información
a través de pruebas de cumplimiento o
sustantivas según el caso.
2. LA GERENCIA Y SU
RELACiÓN CON EL CON
T ROL INFORMATICO y LA
AUDITORIA DE SISTEMAS
2.1. E l Softw are Legal
como Rol Protagónico del
Sistema de Información
Las empresas como integrados de
capitales personas y técnicas debe
rán conjugar un rol protagónico en la
defensa de los derechos de autor y la
propiedad intelectual el Estado Co
lombiano ha desarrollando un conjun
to de normas que regulan protegen y
penalizan a aquellas personas que vio-
Este enfoque conocido como Knowledge Capital Scorebooard calcula el potencial de
las ganancias futuras que crea el conocimiento a través de la normalización de los
ingresos intelectuales. Su promotor es Baruch Lev.
10
Jae K. Shim Siegel Chi- Respuestas rápidas para sistemas de información. Editorial
Pearson- 1999- 14
130 LAAUDrroRÍA DE SJSTDfAS DE hFORMACIÓN COMO ELElIIL""TO DE CONTROL
slide 10: len estos derechos ¡as mismas que
incluyen la protección del software.
La ley 44 de 1993 establece a quie
nes cometen delito de piratería de soft
ware penas entre dos y cnco aflos de
cárcel así como el pago de indemniza
::iones por daños y perjuicios. Se con
sidera delito el uso o reproducción de
un programa de computador de mane
ra diferente a como está estipulado en
la licencia de software.
La reforma al código de procedi miento penal que entró en vigencia a
partir del mes de julio de 2001 con
vierte en no excarcelables los delitos
en contra de la propiedad intelectual y
los derechos de autor. Lo que signifi ca que quien sea encontrado usando
distribuyendo o copiando software sin
licencia deberá estar en la cárcel hasta
por un período de 5 afios:
La ley 603 del afio 2000 la cual obli
ga a las empresas a reportar en sus
Informes Anuales de Gestión el cum
plimiento de las normas de propiedad
intelectual y derechos de autor ade
más faculta a la DIAN y a la Superin
tendencias para supervisar el cumpli
miento de estas leyes.
Surgen con respecto a lo anterior
los siguientes mterrogantes ¿Cuál es
el papel que juega el Estado Colombia
no frente a la Legalización del Soft
ware ¿El estado Colombiano se ha pre
ocupado por la transferencia de tecno
logía ¿Podría depender tecnológica
mente el éxito de una organización
La formulación y aplicación de es
trategias deben permitir que en las or
ganizaciones existe personal cualifica-
do que acrediten aptitudes habilida
des gerenciales y técnicas para lograr
a través de programas y procedimien
tos aplicar de manera eficiente el ma
nejo de los equipos.
En a organización actual el soft
ware es una herramienta útil para cual
quier empresa El Software permite que
la compañía sea más eficiente y por
ende los trabajadores más productivos.
2.2. La Administración
del Software en las Empre
sas.
De acuerdo con la regulación Co
lombiana el uso de Software no auto
rizado o adquirido ilegalmente se con
sidera como Software Pirata y es una
clara violación a los derechos de au
tor. La gerencia debe regular el uso del
Hardware y de software contemplan
do algunas normas como por ejemplo:
Toda dependencia podrá utilizar
únicamente el hardware y el software
que el departamento de Sistemas le
haya instalado y oficializado mediante
el acta de entrega respectiva.
El departamento de Sistemas lle
vará el control del Hardware y el
Software instalado basándose en
el número de serie y licencia que
contiene cada uno.
./ El departamento de sistemas ins
talara el software en cada compu
tador y entregara al área usuaria
los manuales pertinentes los cua
les quedaran bajo la responsabili
dad del Jefe del departamento res
pectivo.
CUADERNOS DE ADi\lJlSTRAClÓNl UNIVERSIDAD DEL V ALW N° 311 JUNIO DE 2004 131
slide 11: .¡ Los trámites para la compro de los
equipos aprobados por el depar
tamento de sistemas así como la
adecuación fisica de las instala
ciones será realizada por la depen
dencia respectiva.
Para poder finnar el informe de Ges
tión es importante que el gerente co
ordine con el Auditor de Sistemas rea
lizar una inspección en forma periódi
ca del software instalado en la empre
sas para evitar problemas posteriores
como fraudes pérdida de información
multas pago de peIjuicios a los fabri
cantes sentencias de prisión entre
otros.
Al momento de realizar la inspec
ción la Business Software Alliance
BSA recomienda que la empresa en
cabeza de la gerencia deba contemplar
como mínimo los siguientes pasos:
a. Recopilar y revisar todos los regis
tros de adquisición de Software.
b. Recopilar y revisar todos los con
trotos de licencias de programas de
software
c. Seleccionar la fecha en que realiza
rá la inspección interna y decida si
los empleados serán notificados
con antelación. Si es así la geren-
cia enviará un memorando explica
tivo. De lo contrario cuando se
realice la inspección respete la pro
piedad de los empleados. Es posi
ble que encuentre programas ins
talados que son propiedad del em
pleado que han sido instalados le
galmente. Se recomienda no borror
ningún programa sin consultar con
el usuario del Pe.
d. Determine quién deberá estar in
volucrado en la inspección. Se su
giere que en la revisión se encuen
tre el jefe o gerente de sistemas
losjefes de cada Departamento el
asesor legal o el inspector de la em
presa.
Es importante establecer una me
todología de tmbajo conjunta entre el
auditor de informática o el responsa
ble de la seguridad en el ambiente in
formático y la gerencia para que no
tenga inconvenientes de verificación
del software instalados en los compu
tadores. Para efecto de un debido con
trol del software instalado y licencia
do el Revisor Fiscal 11 dada la res
ponsabilidad de éste deberá propen
der porque en sus papeles de trobajo
la administroción reúna información
11
Sociedades a tener Revisor Fiscal: Deberán Tener Revisor Fiscal las sociedades por
acciones las sucursales de compailías extranjeras y las sociedades en que por ley o por
los estatutos la administración no corresponde a todos los socios cuando así lo dispon
ga cualquier número de socios excluidos de la administración que representes no menos
de veinte por ciento de capital. Nota Complementaria: Conforme con el parágrafo
segundo del artículo 13 de la ley 43 de 1.990 es obligatorio tener revisor fiscal en todas
la sociedades comerciales de cualquier naturaleza cuyos activos brutos al 31 de Diciem
bre del ailo inmediatamente anterior sean o excedan el equivalente de cinco mil salarios
mínimos y/o cuyos ingresos brutos durante el afta inmediatamente anterior sean o
excedan el equivalente de tres mil salarios mínimos.
132 LA AunITORÍADE SISTIMAS DE bFORMACIÓN COMO ELEMEJI¡lO DE CONTROL
slide 12: concerniente a Inventario físico de
Hardware y Software facturas de com pra de equipos facturas de c0mpra y
licencias de software.
2.3. La gerencia y el Sis
tema de Control
Tradicionalmente en materia de
control interno se adoltaba un enfo
que bastante restringido limitado a los
controles contables internos. En tan
to se relacionaba con la información
financiera el control interno era un
tema que interesaba principalmer.te al
personal financiero de la organización
y por supuesto al auditor externo.
Drmostrando la versatilidad del
control interno se podría decir que el
Sistema de control interno es una he
rramienta de gestión gerencial. Para la
administración es una herramienta que
:10 sustituye la gestión y además los
controles deberán ser constituídos
dentro de las actividades de operación
y no fuera de ellos.
En la administración el control está
definido como toda actividad consis
tente en seguir verificar y evaluar el
grado de conformidad de las acciones
comprendidas o realizadas respecto a
las previsiones y pro:lfall1as con el fm
de cubrir las diferencias e inconstan
cias que se presentaran.
El Comité de Procedimientos del
AJCPA definía el control interno ¡:le la
siguiente forma: "El control interno
abarca el plan de organización y los
métodos coordinados y medidas ldop
tadas dentro de la empresa para salva-
guardar sus activos verificar la ade
cuación y fiabilidad de la información
de la contabilidad promover la efica
cia operacional y fomentar la adheren
cia a las políticas establecidas de di
rección Normas profesionales AICPA
Pág. 243. El Committe ofSponsoring
Organizations ofthe Treadway Comi
sión COSO lo definió en su estudio
"Como un proceso efectuado por la
junta directiva de una entidad 1L. ad
ministración y otro persona diseftado
para proporcionar seguridad razona
ble respecto de la consecución de ob
jetivos en las siguientes categorías:
Efectividad y eficiencia de las opera
ciones confiabilidad de la información
f:nanciera el cumplimiento de las le
yes y regulaciones aplicables.".
El reporte enfatiza que el sistema
de control interno es una herramienta
de la administración pero no un susti
tuto para esta y que los controles de
berán ser construidos dentro de las
actividades de operación y no fuera
de ellas.
Yanel Blanco Luna en su libro
Manual de Auditoría y Revisoría Fis
cal Edición 2001. p473. sostiene que
esta definición refleja ciertos concep
tos fundamentales: "El control interno
es un proceso. Esto es un medio ha
cia un fm no un fm es si mismo. El
Control Interno es efectuado por per
sonas no es mera".lente políticas ma
nuales y formatos sino personas a ni
veles de una organización. Del control
interno puede esperarse que provea
solamente una razonable"seguridad
no absoluta seguridad a la gerencia y
CUADERSOS DE ADMVllSTRACIÓNI UNIVERSrDAD DEL VALLE N° 31/ Jlf.Il0 DE 2004 133.
slide 13: junta de una entidad. El control inter
no es el mecanismo para el logro de
objetivos de una o más categorías se
paradas o interrelacionadas."
En el sector público el Sistema de
Control Interno y de Gestión es una
herramienta dispuesta por la Consti
tución Política de Colombia en sus
artículos 209 y 269 interpretadas por la
Ley 87 de 1.993 para modernizar las
instituciones y llevarlas al perfeccio
namiento mediante la evaluación y
cambio permanente y continuo. En
sentido amplio el Control se define
como el conjunto de normas procedi
mientos técnicas políticas por medio
de los cuales se evalúan y corrige el
ejercicio profesional.
El concepto de controi interno no
incluía muchas de las actividades ope
rativas claves destinadas a prevenir
los riesgos efectivos y potenciaies a
los que se enfrentan las organizacio
nes.
Durante decenios la prensa ha in
formado sobre muchos escándalos re
lacionados a errores en el otorgamien
to de créditos COD. la garantía de in
muebles inexistentes o extremadamen
te sobre-vaicrados la manipulación de
la información fmanciera operaciones
bursátiles realizadas con información
privilegiada y muchos otros conoci
dos fallos de los controles que han
afectado a empresas de diferentes sec
tores.
Las tendencias externas que influ
yen en las empresas son entre otras
las siguientes:
La globalización la diversificación
de actividades la introducción de nue
vos productos como respuesta a la
competencia y las fusiones y la forma
ción de alianzas estratégicas
Ante la rapidez de los cambios los
directores para evitar fallos de con
trol significativos deben revaluar y re
estructurar sus sistemas de control
interno. Deben actuar de manera pro
activa tomando medidas eficaces para
su propia tranquilidad así como para
garantizare a los consejos de adminis
tración accionistas comités y publi
co que los controles internos de la
empresa están adecuadamente diseña
dos para hacer frente a los retos del
futuro y en consecuencia asegurar la
integridad de los datos en el momento
actual.
CONCLUSIONES
La información se ha convertido en
un factor de suma importancia para las
organizacones y de ahí el éxito de cual
quier negocio. Deben existir flujos de
información aceptables y definidos a
través de normas políticas y procedi
mientos de control interno informáti
co de la organización.
El sistema computar izado es un
subconjunto del flujo formalizado que
se muestra en diferentes grados segín
el nivel de estructura de la rmpresa.
Así pues en el aspecto operacional
es normal encontrar un alto grado de
sistematización en las empresas por
lo que el Sistema de Información debe
estar configurado de fonna tal que pro-
134 LA AUDrroRÍA DE SlSTElI1AS DE LlFORlI1ACIÓN COMO ELEMLVfO DE CONTROL
slide 14: porcione a cada nivel gerencial infor
mación oportuna y exacta de manera
eficiente y eficaz.
Los sistemas informáticos ccn los
últimos desarrollos tecnológicos han
permitido cambios fundamentales en
las estructuras de las organizaciones
en el campo de la informática los cam
bios deben traen consigo iniciativas
de control. La Auditoría de Sistemas
de Información debe ser considerada
como un elemento de control en las
organizaciones.
Colombia ha hecho esfuerzo en re
gular los programas de software en
materia de protección de derechos de
autor ya través del cumplimiento de la
Ley 603 de 2000 las empresas deben
reportar en sus informes anuales de
gestión el cumplimiento de las normas
de propiedad intelectual y derechos de
autor. No obstante en materia de pro
puesta de desarrollo tecnológico o el
logro de transferencia de tecnología
de otros países se ha hecho poco.
La creación e implementación de
un centro de información se propone
como una forma para facilitar los
usuarios que satisfagan sus necesida
des de información a corto plazo y
que al mismo tiempo todavía reciban
soporte del departamento de sistemas
de información. Un centro de informa
ción tiene como objetivo principal el
dar soporte a los usuarios internos de
la organización para que ingresen da
tos y a la información en forma tal que
tengan ei poder de formular analizar y
resolver sus propios problemas o pre-
guntas del negocio mediante el uso de
la computadora.
Por la diversidad y volumen de
operaciones de recursos y presupues
tos que maneja la empresa aumenta la
complejidad de las necesidades de
control y auditoría surgiendo en las
organizaciones como medidas orga
nizativas las figuras de control inter
no informático y auditoría informática.
En muchas organizaciones el au
dito" de sistemas de información ha
centrado su atención en la evaluación
de riesgos y la comprobación de con
troles internos muchos de los cuales
se incorporan en programas informáti
cos o se realizan por parte de la fun
ción informática de la organización
representado por el Control Interno
Informático el enfoque centrado en
controles normalmente exige amplio
conocimientos en sistema de informa
ción y los diferentes procesos organi
zacionales. El control interno informá
tico controla diariamente que todas las
actividades de sistemas de informa
ción sean realizadas cumpliendo los
procedimientos estándares y normas
establecidos por la dirección de la or
ganización o el departamento de siste
mas así como los requerimientos le
gajes.
Los controies se usan para reducir
la posibilidad de ataque a la seguridad
de las computadoras. Conforme se es
tablecen estos controles adicionales
es prob\ble que los costos operacio
nales se incrementen.
CUADERNOS DE ADMINISTRACIÓN UNIVERSIDAD DEL V ALLFl N° 311 JUNIO DE 2004 135
slide 15: Es importante entonces determinar
la relación costo - beneficio vemos
como algunos controles generales de
procesamiento electrónicos de datos
que han de considerarse dentro de la
evaluación sor. considerados como
controles de administración y organi
zación. El auditor en este punto debe
crear la metodología necesaria para
auditar los distintos aspectos o área
que defma en el plan. El objetivo de
este tipo de controles está diseBado
para establecer un marco de referencia
organizacional sobre las actividades
del sistema de información computari
zado.
BIBLIOGRAFIA
PIATINNl Mario Del Peso Emilio.
Auditoría Informática un enfoque Prác
tico. EditoriaIALFAOMEGA. Colom
bia 1.998
BLANCO Luna Yanel. Manual de
Auditoría y Revisoría Fiscal. Editorial
PVP Gráficos SAo Colombia 2.00 l.
SHIM Jae Siegel Joel y Chi Robert.
Respuestas rápidas para Sistemas de
Infonnación. Editorial Pearson. Méxi
co 1.999.
HANH Harley. Unix Sin Fronteras.
Editorial McGraw-HiIl. Mexico 1.995
DELGADILLO Diego. El Sistema de
Infonnación Contable Fundamentos y
marco de referencia para su admin is
tración. Editorial Artes Gráficas dei
Valle- Impresores Ltda.- Universidad
del Valle. Colombia 2.00 I
KAST Fremont y Rosenzweig. Ad
ministración en las Organizaciones-
enfoque de sistemas y de contigen
cias. Editorial McGraw-HiU. 4ta edición
Ingles - 2da edición EspaBol. Mexico
1.992
KENDALL KENDALL.Análisis
y DiseBo de Sistemas. 3era Edición. Edi
torial Pearson Educación. México 1 .997.
AKTOUF Ornar. La administración:
Entre tradición y Renovación. Edito
rial Artes Gráficas del V alle- Impreso
res Ltda.- Universidad del V alle. Co lombia 2.00 I
FEDERACIÓN INTERNACION AL
DE CONT ADORES lFAC. Guía inter
nacional de educación No. 11. Dic.
1995. Tecnología de la infonnación en
el currículo de contaduría.
BUSINESS SOFTWAREALLIAN CE BSA. Guía para la Administración
del Software en las Empresas Colom
biana. 2003. www.bsa.orglcolombia
PINILLA José Dagoberto. Audito
ría Infonnática aflicciones en Produc ción. Editorial Ecoe Ediciones. Colom
bia 1.997
CUB ILLOS Moreno Euclides.
Guías de clases de postgrado en audi
toría de sistemas Universidad Nacio nal de Colombia 1.996.
CUBILLOS Moreno Euclides.
Guías de cIases de seminario control
interno y seguridad en sistemas de in·
formación automatizados AUDISI
1.9986.
PEÑA Jesús María. Control Audi
tona y Revisoría Fiscal. Editoria Ecoe
Ediciones. Colombia 2000.
DELGADO Alberto. Elementos de
Informática y Computadores. Editorial
Ceoe Ediciones. Colombia 1.999.
136 LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN COMO ELEIfEl\fO DE CONTROL