Page 1

INDICIUM – 2013


INDICIUM – 2013


ETICA DEL AUDITOR Autor:Olangie Alvarez

INDICIUM – 2013


La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.

 Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contaduría pública, ser independiente de aquellos a quienes sirve. Los conceptos de la ética profesional, sección ET 52-02 define la independencia como: "La capacidad para actuar con integridad y objetividad". Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas a la revisión del auditor.

El auditor debe expresar su opinión imparcialmente, en atención a hechos reales comprobables, según su propio criterio y con perfecta autonomía y, para tal fin, estar desligado a todo vínculo con los dueños, administradores e intereses de la empresau organización que audite. Su independencia mental y su imparcialidad de criterio y de opinión deben serlo, no solamente de hecho, sino en cuanto a las apariencias también, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a situaciones que permitan dudar de tales cualidades. • Normas Generales y Técnicas: El auditor debe observar las normas generales y técnicas de la profesión y luchar constantemente por mejorar su competenciay la calidad de sus servicios. Las normas generales y técnicas son reglas de conducta que exigen la observancia de las normas relacionadas con la realización del trabajo. Así, las primeras indican que un miembro a quien mediante otro contador solicite consejo profesional sobre una cuestión técnica contable o de auditoria, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los datos y hechos disponibles. • Responsabilidades con los clientes:

INDICIUM – 2013


El contador público debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, con interés profesional por los intereses de ellos, consecuente con sus responsabilidades para con el público y todo esto lo pondrá de manifiesto a través de independencia, integridad y objetividad. Una responsabilidad fundamental del contador público es la que se refiere a la confidencialidad y al conflicto de intereses. La regla 301 (sección ET 301.01) dice que un miembro "...no revelará información confidencial alguna obtenida en el curso de untrabajo profesional, a menos que el cliente dé su consentimiento". • Necesidad de confidencialidad: Tanto el sentido común como el concepto de independencia requieren que sea el auditor, no el cliente, quien decida qué información necesita el auditor para practicar una auditoria efectiva. En esa decisión no debe influir la creencia, de parte del cliente, de que cierta información es confidencial. Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria para ser sumamente franco al proporcionar información.

Confidencialidad y privilegio: Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es decir, el auditor no debe revelar la información contenida en la comunicación sin el permiso del cliente. Normalmente, sin embargo, esa información no es "privilegiada". La información es privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella mediante un citatorio u orden de comparecencia. • Información Confidencial: Los auditores y su personal tienen iguales responsabilidades que laadministración en cuanto al manejo de la información confidencial: no utilizarla para provecho personal, ni revelarla a quienes pudieran hacerlo. Esas responsabilidades están claramente comprendidas en las estipulaciones generales del código de ética profesional.

INDICIUM – 2013


Conflicto de intereses:

El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la pérdida de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con más de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre información que tenga valorcompetitivo es sumamente bajo. • Responsabilidades con los colegas: Aunque no hay actualmente reglas de conducta específicas que gobiernan la responsabilidad de un contador público con sus colegas, los conceptos de ética profesional establecen el principio fundamental de cooperación y buenas relaciones entre los miembros de la profesión. La sección ET 55.01 expresa que un contador debe "tratar con sus colegas en forma de que no disminuya su reputación y bienestar". Además, al ofrecer sus servicios, no tratará de desplazar a otro contador en forma que lo desacredite. De manera que, si bien la competencia entre auditores es fuerte, sus acciones deben estar

gobernadas por la cortesía profesional debida a los colegas. Responsabilidad legal Son muchas las responsabilidades generales por la profesión derivadas de estipulaciones legales. Amanera de síntesis se trata de dar una idea de este tema a continuación: • Responsabilidad ante los clientes: El auditor tiene una relación contractual "de carácter derivado" con su cliente; en esta circunstancia es claro, de acuerdo con el derecho común, que el profesional es responsable ante su cliente por negligencia en grado simple y, en consecuencia, también lo será por negligencia en grado grave o por fraude. Por muchos años los auditores han tenido buen cuidado de hacer saber claramente a sus clientes que una auditoria normal de estados financieros no lleva la intención de descubrir desfalcos e irregularidades similares y así, el no hacerlo no puede ser motivo para demandarlo según la "Responsabilidad por fraudes y actos ilegales".

INDICIUM – 2013


Responsabilidad ante terceras personas: El problema de la responsabilidad ante terceras personas, conceptualmente, es equilibrar el derecho que razonablemente tiene el auditor de protegerse contra reclamaciones de personas desconocidas (y algunas veces innumerables), de quienes el auditor no tiene razón para sospechar que contarán con los resultados de su trabajo por un lado, y por el otro, lo que se considera como una importante política del Estado de proteger a todas esas terceras personas que confían en los estados financieros dictaminados contra los efectos adversos de la práctica profesional. Papel del T.S.U en Informática Dentro de la Auditoria El técnico superior en informática debe ser técnicamente idóneo, y tener las habilidades y los

conocimientos necesarios para realizar el trabajo como auditor. Deberá planificar el trabajo de auditoria para satisfacer los objetivos y para cumplir con las normas aplicables de ética profesional. Debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoria y que se satisfagan las normas aplicables de auditoria profesional. También deberá obtener evidencia suficiente, confiable, relevante y útil para lograr de manera eficaz los objetivos de la auditoria. Recomendaciones El auditor debe realizar procedimientos diseñados a obtener suficiente y apropiada evidencia de auditoria, en que puedan todos los elementos hasta la fecha del informe del auditor que puedan requerir de ajustes o exposiciones en los estados financieros, hayan sido identificados. Ciertos eventos y transacciones que ocurren después de cada fin de año, deben ser examinados como parte del trabajo normal de verificación de auditoria. - Además debe de llevar acabo una revisión completamente documentada, de eventos subsecuentes la cual tiene comoobjetivo de obtener una seguridad razonable, de que todos los eventos importantes han sido identificados y expuestos o registrados en los estados financieros.

INDICIUM – 2013


- La revisión debe ser actualizada a una fecha lo mas cercanamente posible a la fecha del informe de auditoria, hablando con lagerencia y realizando pruebas futuras de ser necesario. − Todos los procedimientos de auditoria emprendidos y las conclusiones alcanzadas deben estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las discusiones

LA AUDITORÍA EN LA COMUNICACIÓN ORGANIZACIONAL.UN ESTUDIO DOCUMENTAL ROSANNYS MIQUILENA INTRODUCCIÓN En la actualidad, el talento humano es considerado como una de las variables fundamentales sobre la cual las organizaciones centran su atención y recursos. Al respecto, Chiavenato (2002) comenta que:

Las personas constituyen el principal activo de la organización… las organizaciones exitosa perciben que sólo pueden crecer, prosperar y mantener su continuidad si son capaces de optimizar el retorno sobre las inversiones de todos los socios, en especial de los empleados. (pág. 9) En este sentido, se debe tomar conciencia de las potencialidades de cada trabajador de manera que exista un crecimiento intelectual y espiritual en el área laboral. Por tal razón, se debe conocer las necesidades y expectativas del grupo de manera que se puedan alinear los objetivos de la organización satisfactoriamente. Para el logro de tales objetivos organizacionales, la gestión del talento humano debe basarse en tres elementos fundamentales a saber: son seres humanos dotados de personalidad propia y diferentes entre sí, son activadores inteligentes de los recursos organizacionales porque las personas son fuente de impulso que dinamiza la organización y, socios ya que son capaces de conducir la institución a la excelencia, Chiavenato (2002). Lo planteado anteriormente indica que la base de la función

INDICIUM – 2013


operacional de toda organización está centrada en el ser humano. En consonancia con lo expuesto, existen seis procesos que permiten la consolidación de los empleados como seres integrales en el área de trabajo. Chiavenato (2002) plantea la admisión de personas, referida al reclutamiento y selección de nuevo personal, luego aplicación de personas la cual se encarga del diseño de cargo y evaluación del desempeño. Por otra parte, la compensación de personas contempla la remuneración mientras que el desarrollo comprende el entrenamiento y la comunicación. Finalmente, el mantenimiento propone la vinculación con los sindicatos así como el fomento de la disciplina e higiene y seguridad de los empleados y el monitoreo se encarga de la evaluación a través de sistemas de información gerencial. En este artículo se hace especial énfasis en la fase de desarrollo puesto que la comunicación sea de forma oral o escrita es reconocida como un proceso de intercambio y transferencia de significados. La comunicación efectiva constituye la eficiencia de cualquier individuo y especialmente en el área

laboral debido a que aunque se sabe que hay un valor indiscutible en la elaboración y ejecución de un plan, es vital determinar la forma cómo éste se expresa. En este sentido, Kinicki y Kreitner (2003) definen la comunicación como “el intercambio de información entre emisor y receptor así como la inferencia (percepción) de significados entre ellos” (pág.300). Por su parte, Davis (1999) plantea la misma concepción de los autores anteriores y a su vez expresa que la comunicación cuando es aplicada en el ámbito organizacional se denomina comunicación organizacional. Bajo esta perspectiva, se visualiza como el conjunto total de mensajes que se intercambian entre los integrantes de una organización, y entre ésta y su medio. Cuando la comunicación es eficaz, tiende a incidir en un mejor desempeño y mayor satisfacción laboral. El personal se siente más involucrado en sus labores ya que comprende el objetivo de las mismas. Para el cumplimiento de las funciones del personal se plantea como herramienta la comunicación interna, la cual según Fernández (1991), implica actividades que se realizan para garantizar las buenas

INDICIUM – 2013


relaciones entre los miembros de la empresa mediante la difusión de mensajes específicos a través de distintos medios, con la intención de suministrar información y así alcanzar las metas establecidas por la organización estimulando la unión y la motivación. Sin embargo, en las organizaciones existen distintos factores que pueden interferir en el flujo normal de la comunicación ya que

llamados de atención que no se hacen esperar y es que generalmente, la verificación se realiza a menudo de forma correctiva y no preventiva.

no sólo abarca la transferencia sino también la compresión de la información.

técnicos.Esta situación por muy simple que parezca pudiera desorientar los propósitos y/o metas del sitio de trabajo. De acuerdo a lo planteado, a continuación se describen las concepciones de comunicación organizacional y sus funciones con la intención de tener una visión más clara del fenómeno de auditoría a la comunicación interna/organizacional

En la búsqueda de establecer y mantener una buena comunicación interna, las organizaciones y/o instituciones además de velar por el cumplimiento de los objetivos también deben comprometerse con el bienestar de su personal. Sería sórdido comentar que lamentablemente no en todas las instituciones se acompaña al personal de manera óptima y esto pudiera verse reflejado en el proceso de verificación en las instituciones (auditoría). Auditoría es en esencia, un proceso sistemático, donde se verifica la documentación, procesos y objetivos de una institución objetivamente. Durante mucho tiempo, la auditoría ha estado asociada a traumas, molestias,

Así pues las organizaciones de alguna manera asumen que sus empleados saben comunicarse apropiadamente por cuanto lo fundamental es centrar la atención hacia los aspectos financieros y

La Comunicación organizacional

Primeramente, es necesario definir el término Comunicar, el cual según indica la Real Academia Española, es “hacer a otro partícipe de lo que uno tiene” o “hacer saber a uno alguna cosa”, es decir, informar o transmitir información. Es por ello que la comunicación se transforma en una herramienta indispensable por medio de la cual los individuos pueden

INDICIUM – 2013


entender la razón de su existencia dentro de cualquier grupo social. Berlo (1969). La comunicación implica, un intercambio de información entre dos o más partes. Para Gordon (1997), su función básica es compartir información, hechos, suposiciones, comportamientos actitudes, y sentimientos con personas, grupos u organizaciones. Es la transferencia de información de una persona a otra ofreciendo un puente de significado entre dos personas para permitirles compartir entre sí sus conocimientos y experiencias. En concordancia con lo antes citado, Fernández (1991) manifiesta que la comunicación es información porque permite reducir la incertidumbre acerca del futuro y desarrollar perspectiva respecto como el individuo debe comportarse socialmente. De esta forma el individuo adquiere e interpreta patrones para darle un valor comunicativo a través de la expresión simbólica. Ahora bien, el precitado autor plantea la comunicación organizacional como “el conjunto total de mensajes que se intercambian entre los integrantes de una organización, y entre ésta y su medio” (pág. 30). De

acuerdo a su naturaleza, implica un conjunto de técnicas y actividades que faciliten el flujo de mensajes entre los miembros de la organización con el propósito de incidir en las actitudes, opiniones y conductas del personal interno de la organización. Ahora bien, Fernández (ob.cit), desglosa la comunicación organizacional, desde otro enfoque en comunicación interna, que está orientada al personal de la organización y en comunicación externa dirigida al público ajeno a la organización (clientes, proveedores, autoridades gubernamentales, medios de comunicación, etc. En el caso de comunicación interna, éste la define como: Conjunto de técnicas y actividades encaminadas a facilitar y agilizar el flujo de mensajes que se dan entre los miembros de la organización, o entre la organización y su medio; o bien, a influir en las opiniones, actitudes y conductas de los públicos internos y externos de la organización, todo ello con el fin de que ésta última cumpla mejor y más rápidamente con sus objetivos. (pág. 31)

INDICIUM – 2013


Este conjunto de técnicas conciben a la comunicación dentro de las organizaciones como una actividad dinámica, en constante movimiento. No obstante se debe considerar que esta estructura es cambiante, y que se ajusta de acuerdo con el desarrollo del organismo. Las colectividades en las que la comunicación en las organizaciones se lleva acabo son consideradas como sistemas sobre los

explicación porque para que las personas puedan identificarse con los objetivos debe conocer y comprender las razones de las órdenes que reciben y las decisiones que toman dentro de la organización. Finalmente, la interrogación es otra función clave, al crear el hábito de realizar preguntas aclaratorias, esto dará paso al intercambio de información. Estas mencionadas funciones abren paso a la

cuales se puede influir para garantizar la consecución de las metas y objetivos organizacionales. En definitiva, la comunicación pretende desarrollar iniciativas para minimizar discrepancias entre la identidad que la organización desea y la imagen que realmente posee y de esta forma crear interdependencia entre las distintas partes de la organización, y reforzarlas.

socialización entre gerentes y trabajadores, entre trabajadores y sus iguales por lo que se hace necesario describir a continuación las funciones de la comunicación.

Para Morales (2001) la comunicación interna es imprescindible cuando se requiere diseñar y presentar normas de las tareas y responsabilidades a los miembros de una organización pues de esta manera se coordinan todas las actividades a ejecutar. Para ello expresa tres funciones precisas: una buena información debido a que esta es necesaria para el desarrollo correcto y eficiente del trabajo. Por otra parte, la

Funciones de la Comunicación Robbins (2004) señala cuatro funciones principales: control asociado al seguimiento de lineamientos y jerarquías de autoridad; motivación fomentada a través de la manifestación de qué tan bien realizan los empleados sus funciones o cómo pueden mejorarlas para la consecución de las metas organizacionales; expresión emocional de las satisfacciones o frustraciones y finalmente información o transmisión de datos necesarios para evaluar opciones y tomar decisiones. Ninguna de estas cuatro funciones debe verse como

INDICIUM – 2013


más importante que las restantes. Para que los grupos se desempeñen con eficacia necesitan mantener alguna forma de control sobre sus miembros, estimularlos para que se esfuercen, proporcionar un medio de expresión emocional y tomar decisiones. Uno puede suponer que casi cualquier interacción de comunicaciones que tiene lugar en un grupo u organización, desempeña una o más de estas cuatro funciones (pág. 284). Las cuatro funciones de la comunicación deben visualizarse de manera indivisible para garantizar el correcto flujo de la información, de la mejor manera posible, manteniendo la estabilidad y el equilibrio de la organización. Por otra parte, Fernández (1991) señala 3 funciones fundamentales en la comunicación: la función de producción, cuya finalidad es informar a los empleados cómo deben realizar sus trabajos (orientación, capacitación, sugerencias, resolución de problemas, etc.). La función de innovación, relacionada con la generación de cambios para el crecimiento (investigación, desarrollo, análisis de mercado, etc.) y finalmente la función

de mantenimiento de la autoestima, de las relaciones interpersonales y del mantenimiento de las propias funciones de producción e innovación. La auditoría en la comunicación interna Los primeros indicios de este tipo de auditoría se remontan desde el siglo XX, específicamente en los años setenta surgen los primeros tres procedimientos e instrumentos de auditoría de la comunicación. Así pues crean el ICA CommunicationAudit, el cual incluía un cuestionario de 122 preguntas, entrevistas y análisis de redes de comunicación. Más tarde aparece el LTT AuditSystemy CommunicationSatisfactionQuestionnar ie, Este último evalúa el nivel de satisfacción de los empleados de una organización con las prácticas de comunicación. (Varona, 1993). Asimismo, con el auge de la auditoría de comunicación organizacional, surgieron perspectivas teóricas adaptables a cada situación comunicativa. Varona (ob.cit) expresa que son tres perspectivas fundamentales: funcionalista, interpretativa y crítica.

INDICIUM – 2013


La perspectiva funcionalista examina las estructuras formales e informales de la comunicación, de igual forma considera la práctica de comunicación asociada a producción, satisfacción del personal, el mantenimiento de la organización y la innovación. Por su parte, la perspectiva interpretativa centra su atención en la cultura, esto quiere decir que el intérprete estudia la manera como se originan y desarrollan las producciones organizacionales. Varona expresa que: “El auditor interpretivista, a diferencia del funcionalista, intenta descubrir cómo los miembros de la organización interpretan y experimentan la vida organizacional sin imponer ningún conjunto de conceptos preestablecidos.”(pág. 6)

Finalmente, la perspectiva crítica está centrada en el estudio de cómo las prácticas de comunicación organizacional son sistemáticamente distorsionadas. “el objetivo del investigador crítico es descubrir primero, qué prácticas comunicativas están siendo sistemáticamente distorsionadas a través del uso del lenguaje” (Varona, 1993:7)

Teniendo un conocimiento completo sobre la comunicación y auditoría; entonces ¿qué es auditoría de comunicación?, ¿es implementada en la actualidad?, ¿Cuáles son los beneficios y alcance de una auditoría a este nivel? Según la revisión documental y la experiencia (breve aunque significativa) es posible responder las interrogantes planteadas. La auditoría de comunicación es en esencia, procedimientos aplicados a la comunicación interna y externa en la organización con el objeto de evaluar el estado de la misma, fortalezas, debilidades, aciertos y desaciertos en la productividad de la empresa y en el bienestar laboral del empleado (al comunicarse adecuadamente se eleva la competitividad y presenta una actitud favorable hacia las labores). De esta forma la auditoría de comunicación representa una actividad que debe ser constantemente ejecutada. Por otra parte, Tello (2012) comenta que los beneficios más resaltantes de las auditorías de las comunicaciones internas en las empresas pueden resumirse en los siguientes aspectos: -La constatación en "situ" de los procesos de comunicación

INDICIUM – 2013


-El levantamiento de información (diagnóstico) -La retroalimentación -La mejora de los canales de comunicación -Apoyo a las acciones de capacitación para mejorar las comunicaciones. Es evidente que los objetivos de una auditoría de esta naturaleza, como cualquier otra auditoría apuntan al mejoramiento de los procesos laborales. El precitado autor realiza una reflexión compleja acerca del tema comentando lo siguiente: Se acepta como principio subyacente a estas acciones, la mejora de las relaciones entre todo el personal, un uso más eficiente de los espacios destinados a la comunicación formal, una sustantiva disminución de la comunicación informal, la incorporación de tecnología en comunicaciones que torne más eficientes estos procesos; y, finalmente, pero no menos importante la revisión y consolidación de las normas, valores, costumbres, etc. ("la cultura de la empresa"). (pág.12) En términos generales, la auditoría es un instrumento fundamental para poner de relieve la eficacia y optimizar las acciones de comunicación. Aun cuando no está registrada hasta la fecha una metodología y/o estandarización que permitan unificar ciertos controles y la

forma de cómo se interpretan los resultados de auditoría, es importante resaltar que este tipo de verificación permite tanto a directivos como empleados reflexionar acerca de su comportamiento, acciones y las posibles soluciones en pro de su rendimiento y cooperativismo. Referencias Bibliográficas y electrónicas Berlo, D. (1969) El proceso de la comunicación. Introducción a la teoría y a la práctica. Buenos Aires: Editorial El Ateneo. Chiavenato, I. (2002). Gestión del Talento Humano. 1ª Edición. Colombia: Editorial McGraw-Hill. Davis, K. y Newstrom, J. (1999).Comportamiento Humano en el Trabajo. 10ª Edición. México: Editorial McGraw-Hill. Fernández, C. (1991). La comunicación en las Organizaciones.Mexico: Editorial Trillas. Kinicki, A y Kreitner, R. (2003) Comportamiento Organizacional. 2ª Edición. México: Editorial McGraw-Hill. Morales, F. (2001). Dirección de Comunicación Empresarial e Institucional. Barcelona: Editorial Gestión 2000 Robbins, S. (2004). Comportamiento Organizacional. 10ª Edición.

INDICIUM – 2013


Mexico: Education.

Editorial

Pearson

Rogers, E. (1980). La comunicación en las organizaciones. México: Editorial McGraw-Hill. Varona, F (1993). Las auditorías de la comunicación organizacional desde una perspectiva académica Estadounidense. Documento web disponible: http://www.uca.edu.sv/deptos/letra s/sitio_pers/j_benitez/document/le ctura4.pdf fecha de consulta: 07/07/13 Tello, M. (2012) Manual de auditoría de comunicación interna. Disponible en: http://maxtello.com/manualdeaudit oria1.pdf fecha de consulta: 07/07/13 Vértice, P (2008). Comunicación Interna Gestión de Empresas. España: Editorial. Vértice.

INDICIUM – 2013


Capacitación Del Auditor De Sistemas. El puente que conduce hacia el éxito. El mundo actual plantea nuevos escenarios, complejos, cambiantes, inciertos, competitivos, llenos de oportunidades para quienes se plantean las circunstancias inestables como un reto. La sociedad vista como un todo irremediablemente esta globalizada al punto de que ningún gobierno, empresa u organización puede quedarse aislada ni permanecer indiferente ante este fenómeno económico. La velocidad con la que la información se transmite a nivel mundial ya no se mide en tiempo, sino en efecto. La ciencia y la tecnología avanzan tomando caminos inimaginables aumentando la competitividad, las necesidades, las oportunidades e incluso las incertidumbres. A mayor desarrollo tecnológico en la sociedad, mayor será la necesidad de talento, es decir, de personas competentes en el área tecnológica capaces innovar, crear valor, afrontar retos en los negocios, elaborar bienes y servicios de calidad que contribuyan a que la organización aprenda a mantenerse en un mercado globalizado.

En este sentido, el nivel académico debe estar en armonía con la tecnología tomando en cuenta que la capacidad y experiencia son elementos importantes para el buen desarrollo de la auditoria en TI, asimismo el responsable de ejecutar la evaluación debe considerar escenarios de posibles supuestos que permitan ampliar o profundizar las pruebas para minimizar los riesgos, por ello el proceso de auditoria exige que el auditor de TI posea una visión holística y objetiva sobre la cual reúna evidencia de las fortalezas o debilidades que presente la organización o proceso auditado a fin de que las sugerencias sean canalizadas por los medios pertinentes con la intención de robustecer a la organización. No obstante, para ello el auditor TI por la misma dinámica cambiante de la tecnología debe someterse a programas de formación permanente a fin de poder actualizarse con las realidades de las organizaciones o procesos que desee auditar. Es preciso destacar que en cualquier ámbito laboral existen necesidades que cumplir, y uno de los retos que enfrenta el auditor es el manejo de las tecnologías que le permitan poseer un amplio cúmulo de nociones en áreas vinculadas al trabajo, métodos,

INDICIUM – 2013


herramientas y técnicas de auditoría a fin de que pueda realizar sus tareas con la mayor eficiencia y eficacia posible. La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software). Aunado a ello, la auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Uno de los elementos de mayor relevancia dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y

se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas. También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

INDICIUM – 2013


En este orden de ideas, es importante destacar que uno de los criterios de seguridad que debe tomar en cuenta el auditor en TI según normas emitidas por el Consejo de la Asociación de Auditoría y Control de Sistemas de Información ISACA plantea que el auditor tiene como obligación mantener elevada su competencia profesional, es decir, mantener a lo largo de toda su carrera profesional un

humano es y será siempre la fuente de riqueza trascendental para las organizaciones. Una vez incorporado a ellas, con base en el análisis del contexto externo e interno, se deben planear las estrategias de capacitación y de administración del conocimiento para que la organización pueda mantenerse blindada ante los cambios vertiginosos propios del sistema complejo en el cual se encuentra

proceso de formación permanente que le permitan mantener sus conocimientos y habilidades en un nivel óptimo para asegurar que la evaluación sea la adecuada.

inmersa la sociedad.

Ante esta realidad, la capacitación desempeña un papel fundamental para el crecimiento profesional del auditor, en este sentido Arias (1998) define a la capacitación como la asimilación y adquisición de conocimientos de carácter técnico, científico y administrativo. La capacitación permite que los individuos dentro de una organización eleven su desempeño en las diferentes funciones que conforma su puesto trascendiendo en su esencia original porque el beneficio se extiende a lo largo de la vida y permiten que las empresas incrementen el valor de su capital humano. Por consiguiente el capital

Este proceso de capacitación debe entenderse desde un enfoque holístico, trasciende su propia naturaleza al permitir que por medio de programas de capacitación para auditores, este pueda poseer todas las herramientas necesarias para hacer recomendaciones y/o sugerencias que eleven la productividad de las organizaciones y por ende de una nación. Observado la situación como un sistema concatenado la capacitación se convierte en un proceso ineludible y que como parte de la ética del auditor debe ser entendida como un beneficio para el colectivo. De igual forma es importante señalar los planteamientos esbozados por Méndez (1997) quien considera que la capacitación es una forma efectiva de elevar la productividad, ya

INDICIUM – 2013


que conduce a la especialización y a un mejor manejo de los recursos. El autor alude que los puestos que exigen pocas habilidades son rápidamente reemplazados por otros que requieren aptitudes técnicas, personales y de solución de problemas, debido a que la meta primaria de la capacitación es contribuir a las metas generales de la organización. Resulta oportuno indicar que la capacitación se convierte en una

cliente sin tener intereses personales de ningún cliente ni ningún otro elemento que ponga en tela de juicio la calidad de sus servicios, por lo que este deberá estar en formación continua para aumentar su capacitación y así reconocer su alcance en cuanto a sus conocimientos evitando sobrestimación personal en algún auditado por supuesto estos conocimientos deberán evolucionar con el desarrollo de las

estrategia indispensable e ineludible, es una forma de impulsar, valorar y blindar al auditor para su visión y pueda responder positivamente ante los cambios que puedan surgir en el entorno.

tecnologías informáticas a fin de atenuar las adversidades que pudiera enfrentar y engrosar la confianza del auditado en base a transparencia y calidad de su actividad profesional, asumiendo con objetividad todos los procesos con una visión prospectiva ante un entorno cada vez más complejo y competitivo.

Dadas las condiciones que anteceden, la profesionalización es un camino ineludible hacia la permanencia de las organizaciones, es la capacitación la que permitirá expandir la visión de la organización y minimizar el margen de error que pudieran presentar, tomando en cuenta las características complejas de la sociedad actual y a los avances tecnológicos que sin duda alguna determinan el éxito o fracaso de las mismas. Para finalizar, la actividad del auditor debe estar siempre orientada a conducir el máximo provecho de su

REFERENCIAS Arias, J (1998). Integración de Recursos Humanos. México: Editorial Trillas Primera Edición, S.A. CISA ® Review Manual. 2010. ISACA. Editorial ISACA 2010

Méndez, M. (1997). Economía y la Empresa. Ediciones McGraw-Hill Interamericana, S.A Quinta

INDICIUM – 2013


Edición. Santa Fe de Bogotá. Colombia. http://www.isacavalencia.org/index.php? option=com_content&view=article&id=1 49&Itemid=81#sthash.vI1pZeDl.dpuf

INDICIUM – 2013


UNA VISIÓN GENERAL DE LA AUDITORIA TELEMÁTICA

LCDA. LISBETH PRIMERA C.I.- 14027481

En los últimos años, el papel desarrollado por las Tecnologías de la Información y Comunicación se ha visto incrementado de manera notoria en nuestras vidas, llegando a estar presente en un gran número de situaciones cotidianas como el trabajo, investigación, ocio y entretenimiento, entre otros. Las TIC´s han cambiado nuestra manera de relacionarnos, hasta el punto de que muchos no pueden prescindir de ellas. La informática hoy en día está inmersa en la gestión integral de la empresa, por eso las normas y estándares propiamente informáticos deben estar, sometidos a los estándares generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado la gestión de la empresa la cual ayuda a la toma de decisiones, pero no decide por sí

misma. Es por ello que debido a su importancia en el funcionamiento de una empresa es que se emplea la Auditoria Informática. Es oportuno señalar que el término Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas, ahora bien; Según lo señalado por Canaves (2003) el concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, entre otros.

La Auditoria Temática es definida porBuandes (2002) como un conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio telemático en la empresa, por lo que comprende un examen metódico, puntual y

INDICIUM – 2013


discontinuo del servicio telemático, con vistas a mejorar en cuanto a: rentabilidad; seguridad y eficacia. Por su parte, Martínez (2001) indica que la auditoria de seguridad telemática es de tipo interna, ya que tiene como función principal la evaluación y revisión de los sistemas y actividades que se dan en la organización desde el punto de vista de “Control Gerencial”, verificando y comprobando que las directrices y políticas que emanan de la dirección se están aplicando y de forma correcta. Por otro lado, el mismo autorseñala que para iniciar una auditoria de redes se deben considerar ciertos elementos tales como: •

Amenaza: Una persona o cosa

vista como posible fuente de peligro. Vulnerabilidad: La situación

creada, por falta de uno o varios controles, con la que amenaza pudiera acaecer. Riesgo: La probabilidad de que

una amenaza llegue a acaecer por una vulnerabilidad. Exposición o impacto: La evaluación del efecto del riesgo.

Actualmente, en Venezuela no existe un organismo regulador que certifique lacalidad de las tecnologías utilizadas por nuestras empresas de telecomunicaciones y que cumpla con los requerimientos y exigencias del cliente. Lo que traería como consecuencia la pérdida de un valor agregado y el hecho de no tener en óptimas condiciones de instalación, operación y mantenimiento los dispositivos de interconexión de redes lo que pudiera ocasionar disminución en el rendimiento y la eficacia de la red. De acuerdo a lo señalado anteriormente, en Venezuela se hace necesaria la creación de un modelo de gestión auditable para la instalación, operación y mantenimiento de dispositivos de interconexión de redes para garantizar la calidad, seguridad, eficacia y eficiencia de los mismos para las empresas o usuarios que adquieran estos equipos. El objetivo fundamental de una auditoría es la obtención de un juicio objetivo, independiente y desinteresado, Martínez (2001). En el caso concreto de la auditoría de redes es preciso el conocimiento detallado y preciso de las necesidades de la empresa u organización cubierta por la

INDICIUM – 2013


red objeto de auditoría. Dada su importancia de cara al correcto funcionamiento de las organizaciones, la seguridad de estas redes es un factor clave. Ahora bien, sólo con la implantación de las necesarias medidas de seguridad no es suficiente, hay que auditar las redes para comprobar si, efectivamente, se cumplen y, en algunos casos, dentro de esas auditorías habrá que simular ataques a las mismas para detectar posibles fallas en su seguridad. Martínez (2001) señala que en la auditoría de redes se deben revisar, entre otros, los siguientes puntos: • Tipos y redes de conexiones. • Tipos de transacciones. • Información u programas

transmitidos. Uso del cifrado. Tipos de terminales. Protecciones: físicas y lógicas. Protección de fax y voz, en caso

necesario. Transferencia

controles existentes. Conexiones externas a través de

pasarelas (gateway) y encaminadores (routers) y controles existentes. Separación de dominios entre

• • •

de

ficheros

y

• • • • • • • •

Verificación

de

accesos

no

justificados. Utilización del correo electrónico. Protección de programas. Control de las páginas web. Quién puede modificar las páginas web y hasta dónde. Cumplimiento de la LSSI. Cumplimiento de LOPD. Verificación de los accesos a redes exteriores registrados.

Por su parte Piattini y Del Peso (2001), señalan los beneficios que pueden arrojar las auditorias de redes entre las cuales mencionan que: •

Ayuda

a

adecuar

la

disponibilidad y el rendimiento de la red a las necesidades de la empresa. • Proporciona información que maximiza el retorno de las inversiones en redes y TIC (Tecnologías de la Información y Comunicación) de la empresa. • Aumenta la estabilidad y fiabilidad de la red. • Reduce el riesgo potencial de las nuevas implantaciones y actualizaciones en la red, tanto el entorno estrictamente

Internet e Intranet.

INDICIUM – 2013


tecnológico como en los procesos empleados. • Aumenta la satisfacción de los clientes al alcanzar mayores cotas de rendimiento y disponibilidad de la red. Entendiendo el concepto de cliente, en su definición más amplia, que abarca al cliente interno, los usuarios directos de la red (empleados de la entidad u organización) y al cliente externo, aquel que solicita un servicio y es la fuente principal de ingresos. Piattini y Del Peso (2001), señalan que existen diversos tipos de auditorías de redes debido fundamentalmente al grado de escalabilidad y personalización obtenidos. Entre los tipos de auditoria de redes las más relevantes son: La auditoría de rendimiento de redes cuya finalidad principal es proporcionar datos del rendimiento, siendo la utilidad de la misma la generación de recomendaciones en forma de informes que ayuden a determinar las mejoras que precisa la red para garantizar las necesidades de los usuarios de los aplicativos, tanto en el presente como en el futuro.

La auditoría de la disponibilidad de redes cuya finalidad es la comprensión profunda de los requerimientos para alcanzar y mantener la disponibilidad y fiabilidad de la red que la empresa u organización precisa. Metodología recomendada para la auditoria telemática. Una de las metodologías más recomendadas para la auditoria telemática es la sugerida porPiattini y Del Peso (2001), ya que en esta se debe identificar la existencia de unos controles establecidos o estandarizados y se debe evaluar el riesgo como consecuencia de la ausencia de controles o deficiencia de los sistemas.

Como complemento de la auditoria de redes Piattini y Del Peso (2001) recomiendan diversas técnicas que se pueden emplear entre ellas: • Entrevistas • Cuestionarios • Encuestas • Levantamiento de inventario

INDICIUM – 2013


• • • • • • •

Técnicas de observación Técnicas de revisión documental Matriz FODA Listas de chequeo Técnicas de muestreo Trazas o Huellas Modelos de simulación

Seguridad Informática. Universidad de Castilla - La Mancha. Obtenido el 23 de junio de 2013 enhttp://alarcos.infcr.uclm.es/doc/Auditoria/auditoria.htm.

Piattini, M.y Del Peso, E. (2001). Seguridad de Sistemas de Información: Parte 2ª. Introducción. Obtenido el 23 de junio de 2013en http://alarcos.infcr.uclm.es/doc/Auditoria/index.htm.

REFERENCIAS BIBLIOGRÁFICAS

Buandes, G. (2002). Auditoría Informática. Ingeniería del Software III. Universidad de les Illes Balears. Obtenido el 23 de junio de 2013 en http://dmi.uib.es/~bbuades/auditoria/ind ex.htm. Canaves, P. (2003). Auditoria Informática. Obtenido el 23 de junio de 2013 en http://gestiopolis.com/recursos/docume ntos/fulldocs/fin/auditoriainformatica.ht m Martínez, A. (2001). Introducción a la Auditoría de los S.I. Auditoría y

INDICIUM – 2013

Revista auditoria  

una revista documental en materia tecnológica

Read more
Read more
Similar to
Popular now
Just for you