You are on page 1of 40

AUDITORIA

INFORMATICA
INDICE

Introducción

1. Auditoria

2. Auditoria y Consultoria

3. Auditoria Interna y Auditoria Externa

4. Tipos de Auditorias

5. Normas generales sobre auditorias contenidas en


la .........resolución técnica Nro 7 (FACPCE)

6. Evaluación de los controles para definir


naturaleza, .........alcance y oportunidad de los procedimientos
de auditoria

7. Metodología de Trabajo de Auditoria Informática

8. Principales Herramientas y Técnicas para la


Auditoria .........informática

9. Normas referidas a informes de Auditorias


Generales .........contenidas en la resolución técnica Nro 7
(FACPCE)

10. Conducta profesional

11. Conclusiones

12. Bibliografía

2
Introducción

La palabra auditoria proviene del latín auditorius, y de esta proviene


la palabra auditor, que se refiere a todo aquel que tiene la virtud de
oír.

Por otra parte, el diccionario Español Sopena lo define como:


Revisor de Cuentas colegiado. En un principio esta definición carece
de la explicación del objetivo fundamental que persigue todo auditor:
evaluar la eficiencia y eficacia.

El instituto mexicano de contadores define: “La auditoria no es una


actividad meramente mecánica que implique la aplicación de ciertos
procedimientos, cuyos resultados, una vez llevados a cabo son de
carácter indubitable”

De todo esto sacamos como deducción que la auditoria es un


examen crítico pero no mecánico, que no implica la preexistencia de
fallas en la entidad auditada y que persigue el fin de evaluar y
mejorar la eficacia y eficiencia de una sección o de un organismo.

El auditor informático ha de velar por la correcta utilización de los


amplios recursos que la empresa pone en juego para disponer de un
eficiente y eficaz Sistema de Información.
Claro está, que para la realización de una auditoria informática
eficaz, se debe entender a la empresa en su más amplio sentido, ya
que una Universidad, un Ministerio o un Hospital son tan empresas
como una Sociedad Anónima o empresa Pública. Todos utilizan la
informática para gestionar sus "negocios" de forma rápida y eficiente
con el fin de obtener beneficios económicos y reducción de costes.

Por eso, al igual que los demás órganos de la empresa (Balances y


Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas
Informáticos están sometidos al control correspondiente, o al menos
debería estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aquí algunos:

3
Las computadoras y los Centros de Proceso de Datos se
convirtieron en blancos apetecibles no solo para el espionaje, sino
para la delincuencia y el terrorismo. En este caso interviene la
Auditoria Informática de Seguridad.

Las computadoras creadas para procesar y difundir resultados o


información elaborada pueden producir resultados o información
errónea si dichos datos son, a su vez, erróneos. Este concepto
obvio es a veces olvidado por las mismas empresas que terminan
perdiendo de vista la naturaleza y calidad de los datos de entrada a
sus Sistemas Informáticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este
caso interviene la Auditoria Informática de Datos.

Un Sistema Informático mal diseñado puede convertirse en una


herramienta harto peligrosa para la empresa: como las maquinas
obedecen ciegamente a las órdenes recibidas y la modelización de
la empresa está determinada por las computadoras que materializan
los Sistemas de Información, la gestión y la organización de la
empresa no puede depender de un Software y Hardware mal
diseñados. Estos son solo algunos de los varios inconvenientes que
puede presentar un Sistema Informático, por eso, la necesidad de la
Auditoria de Sistemas.

Resumiendo: El auditor debe evaluar los controles de los sistemas


de información, ya sea que estos estén relacionados al:
- Sistema de información para el procesamiento de datos
- Sistema para información gerencial
- Sistema para toma de decisiones
- Sistemas expertos que permiten evaluaciones de casos y
situaciones.

4
2. Auditoria

La función auditora debe ser absolutamente independiente; no tiene


carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a
cargo de la empresa tomar las decisiones pertinentes. La auditoria
contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones. Aunque pueden aparecer sugerencias y
planes de acción para eliminar las disfunciones y debilidades
antedichas; estas sugerencias plasmadas en el Informe final reciben
el nombre de Recomendaciones.

Las funciones de análisis y revisión que el auditor informático


realiza, puede chocar con la psicología del auditado, ya que es un
informático y tiene la necesidad de realizar sus tareas con
racionalidad y eficiencia. La reticencia del auditado es comprensible
y, en ocasiones, fundada. El nivel técnico del auditor es a veces
insuficiente, dada la gran complejidad de los Sistemas, unidos a los
plazos demasiado breves de los que suelen disponer para realizar
su tarea.

El auditor sólo puede emitir un juicio global o parcial basado en


hechos y situaciones incontrovertibles, careciendo de poder para
modificar la situación analizada por él mismo.

5
3. Auditoria y Consultoria

Conceptualmente la auditoria, toda y cualquier auditoria es la


actividad consistente en la emisión de una opinión profesional sobre
si el objeto sometido a análisis presenta adecuadamente la realidad
que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.”

Sus elementos fundamentales son:

- contenido: una opinión

- condición: profesional

- justificación: sustentada en determinados procedimientos

- objeto una determinada información obtenida en un cierto


soporte

- finalidad: determinar si presenta adecuadamente la


realidad o ésta responde a las expectativas que le son
atribuidas, es decir, fiabilidad.

En todo caso es una función que se acomete a posteriori, en


relación con actividades ya realizadas, sobre las que hay que emitir
una opinión.

La Consultoría consiste en dar asesoramiento o consejo sobre lo


qué se ha de hacer o cómo llevar adecuadamente una determinada
actividad para obtener los fines deseados.”

Sus elementos podrían resumirse en los siguientes:

- contenido: dar asesoramiento o consejo

- condición: de carácter especializado

- justificación: en base a un examen o análisis

6
- objeto: la actividad o cuestión sometida a consideración

- finalidad: establecer la manera de llevarla a cabo


adecuadamente.

Se trata, a diferencia de la Auditoria, de una función a priori con el


fin de determinar cómo llevar a cabo una función o actividad de
forma que obtenga los resultados pretendidos.

Resumiendo:

Elementos de comparación

Auditoria Consultoria
contenido Opinión Asesoramiento o consejo
condición Profesional Carácter especializado
Justificación sustentada en proc. Análisis
Det información en
Objeto Actividad
cierto soporte
Finalidad Fiabilidad Eficacia y Eficiencia

Momento A posteriori A priori

7
4. Auditoria Interna y Auditoria Externa

La Auditoria interna es la realizada con recursos materiales y


personas que pertenecen a la empresa auditada. Los empleados
que realizan esta tarea son remunerados económicamente. Existe
por expresa decisión de la Empresa, o sea, que puede optar por su
disolución en cualquier momento.

Por otro lado, la auditoria externa es realizada por personas afines


a la empresa auditada; es siempre remunerada. Se presupone una
mayor objetividad que en la Auditoria Interna, debido al mayor
distanciamiento entre auditores y auditados.

La auditoria informática interna cuenta con algunas ventajas


adicionales muy importantes respecto de la auditoria externa, las
cuales no son tan perceptibles como en las auditorias
convencionales. La auditoria interna tiene la ventaja de que puede
actuar periódicamente realizando Revisiones globales, como parte
de su Plan Anual y de su actividad normal. Los auditados conocen
estos planes y se habitúan a las Auditorias, especialmente cuando
las consecuencias de las Recomendaciones habidas benefician su
trabajo.

En una empresa, los responsables de Informática escuchan,


orientan e informan sobre las posibilidades técnicas y los costos de
tal Sistema. Con voz, pero a menudo sin voto, Informática trata de
satisfacer lo más adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informática y ésta necesita que su
propia gestión esté sometida a los mismos Procedimientos y
estándares que el resto de aquella. La conjunción de ambas
necesidades cristaliza en la figura del auditor interno informático.

En cuanto a empresas se refiere, solamente las más grandes


pueden poseer una Auditoria propia y permanente, mientras que el
resto acuden a las auditorias externas. Puede ser que algún
profesional informático sea trasladado desde su puesto de trabajo a
la Auditoria Interna de la empresa cuando ésta existe. Finalmente, la
propia Informática requiere de su propio grupo de Control Interno,
con implantación física en su estructura, puesto que si se ubicase

8
dentro de la estructura Informática ya no sería independiente. Hoy,
ya existen varias organizaciones Informáticas dentro de la misma
empresa, y con diverso grado de autonomía, que son coordinadas
por órganos corporativos de Sistemas de Información de las
Empresas.

Una Empresa o Institución que posee auditoria interna puede y


debe en ocasiones contratar servicios de auditoria externa. Las
razones para hacerlo suelen ser:

· Necesidad de auditar una materia de gran especialización,


para la cual los servicios propios no están suficientemente
capacitados.

· Contrastar algún Informe interno con el que resulte del externo,


en aquellos supuestos de emisión interna de graves
recomendaciones que chocan con la opinión generalizada de la
propia empresa.

· Aunque la auditoria interna sea independiente del Departamento


de Sistemas, sigue siendo la misma empresa, por lo tanto, es
necesario que se le realicen auditorias externas como para tener
una visión desde afuera de la empresa.

La auditoria informática, tanto externa como interna, debe ser una


actividad exenta de cualquier contenido o matiz “político” ajeno a la
propia estrategia y política general de la empresa. La función
auditora puede actuar de oficio, por iniciativa del propio órgano, o a
instancias de parte, esto es, por encargo de la dirección o cliente.

5. Tipos de auditorias

9
La Auditoría Informática puede cubrir muchos aspectos, que
vendrán determinados por el objetivo de la auditoría

Habitualmente un proceso de auditoría abarca más aspectos.

- Evaluación del sistema de control interno por parte de la


auditoria interna o evaluación de la auditoría interna e
indirectamente del control interno, por parte de la auditoría
externa.

- Auditoría de cumplimiento: de políticas, estándares y


procedimientos de la propia entidad, de normas legales
aplicables, de acuerdos Inter.-empresas.

- Auditoría de seguridad: lógica, física

- Auditoría operativa, que para algunos es lo mismos que


auditoría de gestión.

Se puede y se debe distinguir entre auditoría operativa, que puede


limitarse a revisión de procedimientos operativos y de operaciones
en general y propiamente auditoría de gestión, que pudiendo incluir
lo anterior, ha de referirse también al análisis y revisión de “ratios” y
estándares de gestión, al cumplimiento de planes y objetivos. En
relación con ellas podríamos hablar de auditorías de eficiencia y
eficacia.

- Como apoyo a la Auditoria de Estados Contables: la


Auditoría Informática puede servir de apoyo a ésta,
garantizando que el proceso de los datos, a lo largo de
todo su ciclo de vida, y los programas que lo manejan son
los adecuados y están razonablemente exentos de error y
de fraude.

- Apoyo a auditorías específicas de aspectos fiscales.

- Auditorías “policiales” referidas a la investigación de algún


delito, siendo los recursos informáticos el medio o el fin.

10
- Auditorias relacionadas con las funciones del personal, sus
riesgos, sus niveles de satisfacción, su rotación,
promoción, condiciones de trabajo y ergonomía.

11
6. Normas generales de Auditoria contenidas en la
Resolución técnica Nro. 7 (FACPCE)

CONDICION BASICA PARA EL EJERCICIO DE LA AUDITORIA


El auditor debe tener independencia con relación al sistema objeto
de la auditoria

NORMAS PARA EL DESARROLLO DE LA AUDITORIA

1. El auditor a través del desarrollo de su tarea, debe obtener


elementos de juicio validos y suficientes que permitan
respaldar las aseveraciones formuladas en su informe. Su
tarea debe ser planificada en función de los objetivos de la
auditoria.

2. El auditor debe conservar, por un plazo adecuado a la


naturaleza de cada circunstancia, los papeles de trabajo que
constituyen la prueba del desarrollo de la auditoria.

3. Los papeles de trabajo deben contener:

• La descripción de la tarea realizada

• Los datos y los antecedentes recogidos durante el desarrollo


de la tarea, ya se tratare de aquellos que el auditor hubiere
preparado o de los que hubiere recibido de terceros

• Las conclusiones particulares y generales

4. El auditor debe realizar su tarea dentro del principio de


economía aplicable a todo control. O sea, para que su labor
sea económicamente útil debe culminar en un lapso y a un
costo razonable. Esas limitaciones de tiempo y de costo deben
ser evaluadas por el auditor a fin de determinar si no
representan un inconveniente para la realización adecuada de
la tarea

12
5. En la aplicación de los procedimientos de auditoria, el auditor
debe tener en cuenta que puede actuar sobre las bases
selectivas, determinadas según criterio exclusivamente o
apoyándolo con el uso de los métodos estadísticos.

13
7. Evaluación de los controles para definir naturaleza,
alcance y oportunidad de los procedimientos de
auditoria

Cada entidad tiene un entorno de control que condicionará en gran


medida la tarea del auditor informático: “ El entorno de control
abarca las actitudes generales, las capacidades, las acciones y los
conocimientos del personal de una entidad y, en particular de su
Dirección, en relación con la importancia del control y el "énfasis
asignado al mismo”. Se intenta que a través de la adecuada
valuación de los controles se determine el riesgo de auditoria,
entendiendo como tal al riesgo inherente, el riesgo de control y el
riesgo de detección

Controles generales

Estos controles son aquellos que hacen a seguridad informática en


general que, por ende afecta a todos los sistemas de aplicación.
Cuanto más fuerte sean estos controles, mayor posibilidad tenemos
de con fiar en le sistema aplicativo.
Al evaluar estos controles debemos considerar:

• Organización del área informática: separación de funciones y


políticas de personal.
Deben estar claramente segregadas las funciones de:

- Operador

- Analista programador

- Soporte técnico

- Oficial de seguridad

Es importante una mínima rotación de tareas para asegurar


que no haya problemas de reemplazo por vacaciones,
enfermedad pero principalmente es una buena medida de
control interno porque evita la concentración de funciones y

14
permite detectar anomalías o deficiencias en las tareas
realizadas la permitir la intervención de otra persona que no lo
hace habitualmente.

• Procedimientos de compra de software, hardware y


contratación de servicios externos según planificación anual
de informática y presupuesto respectivo. Circuito de
autorización.

• Metodología de desarrollos propios. Es importante mantener


claramente separadas las funciones de desarrollo de nuevos
proyectos de aquellas que hacen al mantenimiento

• Régimen de autorizaciones para aprobación de programas y


sus modificaciones

• Políticas de claves de accesos, tarjetas magnéticas, llaves en


equipos etc., Periodicidad en los cambios

• Adecuada asignación de perfiles usuarios para proveer a una


adecuada separación de funciones

• Normas de back ups, deben haber rutinas diarias, semanales,


mensuales de back ups y responsables específicos de su
cumplimiento

• Plan de contingencias: deben existir un plan o normas escritas


que prevean los pasos a seguir en caso de incendio, robo,
derrumbe de edificio, explosión, cortes de energía. No solo
debe existir un plan especifico, con responsables asignados
para su cumplimiento y asistencia, sino también se requiere
que este plan sea periódicamente probado.

Esta evaluación es indispensable en la etapa de la planificación

15
Controles directos

Estos controles son los propios de cada proceso operativo de la


empresa. A tal fin se evalúan los puntos fuertes y débiles de cada
sistema. La función del auditor consiste en identificar toda la
información que nos brinda el sistema para realizar las pruebas.
Estos controles son procedimientos utilizados por la dirección para
poder alcanzar los objetivos del negocio y así controlarlo. Este tipo
de controles proporcionan a la dirección (y por lo tanto, a los
auditores) seguridad en cuanto a la fiabilidad de la información
financiera.
Dichos controles pueden estar incluidos, de un modo intrínseco, en
las actividades recurrentes de una entidad o consistir en una
evaluación periódica independiente, llevada a cabo normalmente por
la dirección. La frecuencia de estas evaluaciones depende del juicio
de la dirección. Mediante estos controles podremos detectar errores
significativos y realizar un control continuo de la fiabilidad y de la
eficacia de los procesos informáticos.

1. CONTROLES DE LAS APLICACIONES

Son un conjunto de procedimientos programados y manuales


diseñados especialmente para cada aplicación con el fin de cumplir
con objetivos específicos de control utilizando una o más técnicas.
Los podemos clasificar en:

· Controles sobre captura de datos: sobre altas de movimientos,


modificaciones de movimientos, consultas de movimientos,
mantenimiento de las bases de datos.

Los datos capturados se pueden cargar

- On line: es la forma más habitual de trabajar, a medida que se


ingresan los datos se actualiza la base de datos respectiva

- Diferido: se mantienen los datos en un almacenamiento


intermedio hasta que se decide actualizar la base de datos

16
- Batch: ya casi esta en desuso, se refiere al ingreso de
comprobantes en lote para su previa verificación, los datos se
ingresan desde una terminal y luego de realizadas las pruebas
de consistencia son procesados

· Controles de proceso de datos: normalmente se incluyen en los


programas. Se diseñan para detectar o prevenir los siguientes tipos
de errores (entrada de datos repetidos, procesamiento y
actualización de ficheros o ficheros equivocados, entrada de datos
ilógicos, pérdida o distorsión de datos durante el proceso).
Los procesamientos de datos pueden ser:

- Centralizados: existe un host o equipo de procesamiento


central del cual se cuelgan las terminales

- Descentralizado: si bien hay un server que administra el


procesamiento, se procesa en los puestos de trabajo y
luego se envía a la base de datos respectiva.

· Controles de salida y distribución: Los controles de salida se


diseñan para asegurarse de que el resultado del proceso es exacto
y que los informes y demás salidas los reciben solo las personas
que estén autorizadas.

Para solucionar deficiencias de control de una aplicación será


necesario retroceder a las etapas iniciales teniendo en cuenta que:

Los controles deben contemplar la secuencia de los procesos


(manuales y programados) de una aplicación para eso se usa la
revisión de los Diagramas de Proceso y de los respectivos
formularios en uso. Muchos controles de aplicación serán
efectuados por personas, pero dependerán del ordenador, siendo
una combinación de procedimientos de control programados y
controles de los usuarios.
Las técnicas aplicadas se diseñan para cubrir toda la vida de una
transacción o documento, desde su inicio hasta su destino final en el
ordenador.
La extensión y rigidez de los controles pueden ser diferentes
dependiendo de que los datos sean permanentes o transitorios.

17
Prestar especial consideración al objetivo verdadero de cada
control, evaluando el coste de operación del control y las pérdidas
que podría generar su omisión.

Totalidad de las entradas

Las técnicas de control utilizadas para asegurar la totalidad


(Integridad) de las entradas son:

- Conciliación de totales. Un ejemplo de conciliación de


totales sería comprobar que el auxiliar de proveedores
coincide con el saldo de proveedores en el sistema
central. Otro ejemplo sería comprobar que el saldo con el
banco según extracto bancario coincide con el saldo
según contabilidad, y si no es así buscar las partidas
conciliatorias.

- Verificación de la secuencia numérica. Comprobar que los


documentos siguen la secuencia numérica de manera
establecida de manera que no falte ningún documento.
Por Ej. Hojas foliadas con programa numerador

- Confrontación de diferentes bases de datos.

Exactitud de la entrada

Las técnicas de control utilizadas para asegurar la exactitud de las


entradas son:

- Conciliación de totales
- Confrontación de bases de datos
- Comprobación uno por uno
- Controles de validación o edición:

- Prueba de existencia: ¿la información introducida


concuerda con información similar existente en un fichero
maestro (como ejemplo de documento maestro de una
empresa tenemos el fichero con los datos de todos

18
nuestros clientes) o de referencia? Por ejemplo se
introduce un Nro de Cuit

- Prueba de pantalla: los detalles correspondientes a un


código o a un número de partida se visualizan en pantalla
para que el usuario pueda comprobar dichos detalles. Por
ejemplo: se contrasta un documento respaldatorio con un
listado emitido por pantalla

- Prueba de dependencia: ¿tienen sentido los datos


introducidos? El ordenador puede comprobar una relación
predeterminada entre los datos. Por Ejemplo Nro, de Cuit
con datos cliente.

- Prueba de sintaxis o de formato: se comprueba que


‘únicamente se introduzcan datos numéricos cuando el
campo sea numérico o datos alfanuméricos, cuando el
campo sea alfanumérico. Por ejemplo imposibilidad de
incorporar un nombre en lugar de un numero

- Prueba de razonabilidad: consiste en verificar si el valor de


un dato está comprendido entre los límites lógicos
previamente definidos. Por ejemplo digito verificador en
el Nro de Cuit

Autorización de las entradas

Las técnicas de control utilizadas para asegurar la autorización de


las entradas son:

Momento de la autorización
Confrontación programada
Autorización manual

Autorización en línea
Los controles sobre las entradas de datos deben contemplar
procedimientos de actuación con las transacciones erróneas que
son rechazadas por los controles preventivos.

19
En sistemas de autorización en línea los errores se detectan en el
momento de su entrada, las medidas correctivas se pueden iniciar
inmediatamente.

Confrontación programada:
Existen, sin embargo, ocasiones en que determinados errores
pueden ser detectados en una fase posterior del proceso. Estos
errores deben ser comunicados, tomándose las medidas correctivas
correspondientes. Por ejemplo Listado de informes de recepción
ingresados con errores.
Con una combinación de procedimientos programados y manuales
se debe garantizar la investigación inmediata de las causas de los
rechazos, la corrección adecuada de los errores, el registro y
seguimiento de las transacciones pendientes de corregir y la
existencia de una nueva autorización de las correcciones hechas a
los datos claves o sensibles. Con todos estos controles
conseguiremos que todos los rechazos vuelvan a entrar en el
ordenador de forma exacta y autorizada.

Totalidad y exactitud de la actualización de las transacciones


generadas por la aplicación

En toda aplicación informática los datos contenidos en las bases de


datos, deben ser tratados por ciertos procesos antes de la emisión
de la información de salida actualizada. Los más comunes son:

· Cálculo: Generación de información utilizando datos de uno o más


ficheros en base a rutinas predeterminadas.

· Resumen: Acumulación de los valores de las transacciones de un


fichero para generar totales.

· Clasificación: Acumulación de totales de un fichero en base al


análisis de cuentas, códigos o campos de las transacciones.

Para este tipo de procesos, la aplicación debe tener controles que


permitan asegurar:

20
· El funcionamiento adecuado y continuo de los programas que
efectúan los procesos

· El proceso de la totalidad de las transacciones.

· La integridad (totalidad y exactitud) de las bases de datos


utilizados en los procesos.

· Que la generación o versión de las bases de datos procesados ha


sido la correcta.

· La comprobación manual de la corrección de la información


generada por los procesos.

1. CONTROLES DE LA TECNOLOGÍA DE LA INFORMACIÓN

Son el conjunto de normas y procedimientos que deben existir en


todo Centro de Proceso de Datos para asegurar la confidencialidad,
integridad y disponibilidad de los datos informatizados.

Aseguran que los procedimientos programados dentro de un


sistema informático se diseñen, implanten, mantengan y operen de
forma adecuada y que solo se introduzcan cambios autorizados en
los programas y en los datos. Dentro de los controles de las
Tecnologías Informática nos encontraremos con distintos tipos de
controles:

· Controles de mantenimiento: Como tendencia general se observa


que las empresas realizan mas tareas de mantenimiento de
sistemas que de desarrollo. Por ende en la mayoría de los casos se
adoptan sistemas ya conocidos y probados internacionalmente en
lugar de hacer desarrollo propio. Esta practica ha caído en desuso y
se reserva para los casos de adaptaciones o interfases que el
proveedor no brinda o lo hace a un costo muy elevado
Basta mencionar a modo de ejemplo los principales sistemas
implantados por las empresas en Argentina y también en el ámbito
internacional:

21
- SAP, J.D., Edwards, SIFAB, para grandes empresas

- Stradivarius, Calypso, para medianas empresas

- Bejerman Flexware, Bs. As software, Tango para empresas


más pequeñas.

Estos controles de mantenimiento están destinados a asegurar que


las modificaciones de los procedimientos programados están
adecuadamente diseñadas, probadas, aprobadas e implantadas.
Las solicitudes para introducir modificaciones en los programas
deben tramitarse de forma adecuada, además de someterse a
pruebas. La documentación técnica debe estar actualizada con el fin
de reflejar las modificaciones de los programas. Este tipo de
controles van a limitar los riesgos que comportan las modificaciones
de las aplicaciones. Algunos de los riegos con los que nos podemos
encontrar son: la pérdida de solicitudes de cambio, que haya
cambios duplicados, cambios que no se ajusten a los requerimientos
del usuario, perder demasiado tiempo en la resolución de
problemas debido a la falta de documentación técnica o la existencia
de cambios no autorizados en las aplicaciones que afecten
negativamente a las operaciones y\o a la integridad de la
información.

Controles respecto de Seguridad La dirección debe asegurar la


implantación de políticas de control de acceso basadas en el nivel
de riesgo que se derivaría del acceso a los programas y a los datos.
El acceso a funciones concretas dentro de las aplicaciones debe
estar adecuadamente restringido para asegurar la segregación de
funciones relevantes y evitar actividades no autorizadas además de
estar restringido el acceso físico a los ordenadores. Este tipo de
controles evitarán el riesgo de fraude o de que información
confidencial o sensible llegue a personas no autorizada dentro o
fuera de la sociedad. Otro riesgo que evitaríamos con la seguridad
física sería el posible daño o destrucción de las instalaciones
informáticas como resultado de incendios, inundaciones o sabotajes
que podrían interrumpir la ejecución de los procesos.

22
· Controles de Seguridad de Programas: destinados a garantizar que
no se puedan efectuar cambios no autorizados en los
procedimientos programados

· Controles de Seguridad de bases de datos: destinados a asegurar


que no se puedan efectuar modificaciones no autorizadas en los
archivos de datos.

· Controles de la Operación Informática: destinados a garantizar que


los procedimientos programados autorizados se aplican de manera
uniforme y se utilizan versiones correctas de los ficheros de datos.
Los procedimientos de operaciones que cubren procesos diferidos o
por lotes que se realizan en momentos específicos deben estar
documentados, programados y mantenidos de forma adecuada. Las
copias d seguridad de los programas y de los datos deben estar
siempre disponibles para casos de emergencia. Las instalaciones
informáticas de los usuarios finales deben ser apropiadas para las
necesidades del negocio y controladas para maximizar la
compatibilidad y apoyar eficazmente al usuario. Con todos estos
controles podremos evitar fallos en los equipos y en el software o
como mínimo tendremos capacidad para recuperarnos de ellos (ya
que la continuidad del negocio puede estar en juego) o sacar poco
rendimiento de los sistemas informáticos.

· Controles de Conversión de Bases de datos: destinados a


garantizar una completa y exacta conversión de los datos de un
sistema antiguo a uno nuevo.

· Controles de Software Sistema: destinados a asegurar que se


implante un software de sistema apropiado y que se encuentre
protegido contra modificaciones no autorizadas.

· Controles de desarrollo e implantación: destinados a asegurar que


los procedimientos programados para los nuevos sistemas son
adecuados y están efectivamente implantados, y que el sistema está
diseñado para satisfacer las necesidades del usuario La dirección
del proyecto debe garantizar que el control del diseño, desarrollo e
implantación de las nuevas aplicaciones es adecuado. Es por eso
que las aplicaciones deben diseñarse de forma adecuada para
alcanzar las exigencias de control de las aplicaciones y del negocio.

23
Y en caso de que implantemos un paquete informático adaptado nos
aseguraremos que cumple con dichas exigencias. En caso de no
existir estos controles nos podemos encontrar con varios problemas:
que los costes estén por encima de los presupuestados por lo que
se podría producir un retraso en la entrega del proyecto, que los
proyectos no se ajusten a los requerimientos del usuario, que haya
errores en las aplicaciones, que conviertan de forma errónea los
datos o que las aplicaciones se infrautilicen o se utilicen
incorrectamente debido a la ausencia de documentación técnico y
de formación.

Si los sistemas informáticos de la sociedad estuviesen funcionando


inadecuadamente y esta situación pudiese influir en la fiabilidad de
los datos o poner en peligro otros objetivos de control, ¿ tendría
conocimiento de ello la alta dirección?
A diferencia de los controles de supervisión de las aplicaciones, los
controles de supervisión informáticos están relacionados con
entornos informáticos que generalmente cubren varias aplicaciones.
Por ejemplo, los controles utilizados para supervisar la seguridad de
los sistemas generalmente serán los mismos para el ciclo de ventas
y para el ciclo de compras.

24
8. Metodología de Trabajo de Auditoria Informática

El método de trabajo del auditor pasa por las siguientes etapas:

• Definir Alcance y Objetivos de la Auditoria Informática.

El alcance de la auditoria expresa los límites de la misma. Debe


existir un acuerdo muy preciso entre auditores y clientes sobre las
funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para


ambas partes expresar las excepciones de alcance de la auditoria,
es decir cuales materias, funciones u organizaciones no van a ser
auditadas.

Por Ej. *Control de validación de errores:


Se corrobora que el sistema que se aplica para detectar y corregir
errores sea eficiente.

Tanto los alcances como las excepciones deben figurar al comienzo


del Informe Final.

Las personas que realizan la auditoria han de conocer con la mayor


exactitud posible los objetivos a los que su tarea debe llegar. Deben
comprender los deseos y pretensiones del cliente, de forma que las
metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos específicos), éstos se


añadirán a los objetivos generales y comunes de a toda auditoria
Informática: La operatividad de los Sistemas y los Controles
Generales de Gestión Informática.

• Estudio inicial del entorno auditable.

Toda estrategia de auditoria para ser eficiente y eficaz debe estar


realizada con un conocimiento completo de la empresa, del
negocio de la empresa y del mercado en el cual se desenvuelve
la misma. Es a partir de esta base que se pueden aplicar

25
procedimientos adecuados en pruebas de cumplimiento de
controles.

• Determinación de los recursos necesarios para realizar la


auditoria.

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos


son proporcionados por el cliente. Las herramientas software
propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y
horas de uso entre el auditor y cliente.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las


características y perfiles del personal seleccionado depende de la
materia auditable.

Es igualmente reseñable que la auditoria en general suele ser


ejercida por profesionales universitarios y por otras personas de
probada experiencia multidisciplinaria.

• Elaboración del plan y de los Programas de Trabajo.

Una vez asignados los recursos, el responsable de la auditoria y sus


colaboradores establecen un plan de trabajo. Decidido éste, se
procede a la programación del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los
siguientes:
En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la
revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.

26
Una vez elaborado el Plan, se procede a la Programación de
actividades. Esta ha de ser lo suficientemente flexible como para
permitir modificaciones a lo largo del proyecto.

• Actividades propiamente dichas de la auditoria.

Técnicas de Trabajo:

- Análisis de la información recabada del auditado.

- Análisis de la información propia.

- Cruzamiento de las informaciones anteriores.

- Entrevistas.

- Simulación.

- Muestreos.

Herramientas:

- Cuestionario general inicial.

- Cuestionario Checklist.

- Simuladores (Generadores de datos).

- Paquetes de auditoria (Generadores de Programas).

• Confección y redacción del Informe Final.

La función de la auditoria se materializa exclusivamente por escrito.


Por lo tanto la elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes
parciales previos al informe final, los que son elementos de
contraste entre opinión entre auditor y auditado y que pueden
descubrir fallos de apreciación en el auditor.

27
Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditoria y la


fecha de redacción del mismo. Se incluyen los nombres del equipo
auditor y los nombres de todas las personas entrevistadas, con
indicación de la jefatura, responsabilidad y puesto de trabajo que
ostente.

Definición de objetivos y alcance de la auditoria.

Enumeración de temas considerados:


Antes de tratarlos con profundidad, se enumerarán lo más
exhaustivamente posible todos los temas objeto de la auditoria.

Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
- Situación actual. Cuando se trate de una revisión periódica,
en la que se analiza no solamente una situación sino
además su evolución en el tiempo, se expondrá la situación
prevista y la situación real.
- Tendencias. Se tratarán de hallar parámetros que permitan
establecer tendencias futuras.

Puntos débiles y amenazas.

Recomendaciones y planes de acción. Constituyen junto con la


exposición de puntos débiles, el verdadero objetivo de la auditoria
informática.

• Redacción posterior de la Carta de Introducción o


Presentación

La carta de introducción tiene especial importancia porque en ella ha


de resumirse la auditoria realizada. Se destina exclusivamente al
responsable máximo de la empresa, o a la persona concreta que
encargo o contrato la auditoria.

28
9. Principales Herramientas y Técnicas para la Auditoria
Informática:

Cuestionarios:

Las auditorias informáticas se materializan recabando información y


documentación de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de campo
del auditor consiste en lograr toda la información necesaria para la
emisión de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados también evidencias.
Para esto, suele ser lo habitual comenzar solicitando la
cumplimentación de cuestionarios preimpresos que se envían a las
personas concretas que el auditor cree adecuadas, sin que sea
obligatorio que dichas personas sean las responsables oficiales de
las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos para cada
situación, y muy cuidados en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de
modo que tal análisis determine a su vez la información que deberá
elaborar el propio auditor. El cruzamiento de ambos tipos de
información es una de las bases fundamentales de la auditoria.
Cabe aclarar, que esta primera fase puede omitirse cuando los
auditores hayan adquirido por otro medios la información que
aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuación las relaciones personales con el


auditado. Lo hace de tres formas:

- Mediante la petición de documentación concreta sobre


alguna materia de su responsabilidad.

29
- Mediante "entrevistas" en las que no se sigue un plan
predeterminado ni un método estricto de sometimiento a un
cuestionario.

- Por medio de entrevistas en las que el auditor sigue un


método preestablecido de antemano y busca unas
finalidades concretas.

La entrevista es una de las actividades personales más importante


del auditor; en ellas, éste recoge más información, y mejor matizada,
que la proporcionada por medios propios puramente técnicos o por
las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre
auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a sí
mismo. El auditor informático experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversación correcta y lo
menos tensa posible, el auditado conteste sencillamente y con
pulcritud a una serie de preguntas variadas, también sencillas. Sin
embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparación muy elaborada y sistematizada, y que es diferente para
cada caso particular

Checklist:

El auditor profesional y experto es aquél que reelabora muchas


veces sus cuestionarios en función de los escenarios auditados.
Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son
vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas
preguntas estereotipadas que no conducen a nada. Muy por el
contrario, el auditor conversará y hará preguntas "normales", que en
realidad servirán para la cumplimentación sistemática de sus
Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que
consideran que leerle una pila de preguntas recitadas de memoria o
leídas en voz alta descalifica al auditor informático. Pero esto no es

30
usar Checklists, es una evidente falta de profesionalismo. El
profesionalismo pasa por un procesamiento interno de información a
fin de obtener respuestas coherentes que permitan una correcta
descripción de puntos débiles y fuertes. El profesionalismo pasa por
poseer preguntas muy estudiadas que han de formularse
flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya
que superan en riqueza y generalización a cualquier otra forma.
Según la claridad de las preguntas y el talante del auditor, el
auditado responderá desde posiciones muy distintas y con
disposición muy variable. El auditado, habitualmente informático de
profesión, percibe con cierta facilidad el perfil técnico y los
conocimientos del auditor, precisamente a través de las preguntas
que éste le formula. Esta percepción configura el principio de
autoridad y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas
muy sistematizadas, coherentes y clasificadas por materias, todavía
lo es más el modo y el orden de su formulación. Las empresas
externas de Auditoria Informática guardan sus Checklists, pero de
poco sirven si el auditor no las utiliza adecuada y oportunamente.
No debe olvidarse que la función auditora se ejerce sobre bases de
autoridad, prestigio y ética.
El auditor deberá aplicar el Checklist de modo que el auditado
responda clara y escuetamente. Se deberá interrumpir lo menos
posible a éste, y solamente en los casos en que las respuestas se
aparten sustancialmente de la pregunta. En algunas ocasiones, se
hará necesario invitar a aquél a que exponga con mayor amplitud un
tema concreto, y en cualquier caso, se deberá evitar absolutamente
la presión sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada
sector, deben ser repetidas. En efecto, bajo apariencia distinta, el
auditor formulará preguntas equivalentes a las mismas o a distintas
personas, en las mismas fechas, o en fechas diferentes. De este
modo, se podrán descubrir con mayor facilidad los puntos
contradictorios; el auditor deberá analizar los matices de las
respuestas y reelaborar preguntas complementarias cuando hayan
existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomará las notas imprescindibles

31
en presencia del auditado, y nunca escribirá cruces ni marcará
cuestionarios en su presencia.
Los cuestionarios o Checklists responden fundamentalmente a dos
tipos de "filosofía" de calificación o evaluación:

1. Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango


preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más
negativa y el 5 el valor más positivo)

Ejemplo de Checklist de rango:

Se supone que se está realizando una auditoria sobre la seguridad


física de una instalación y, dentro de ella, se analiza el control de los
accesos de personas y cosas al Centro de Cálculo. Podrían
formularse las preguntas que figuran a continuación, en donde las
respuestas tiene los siguientes significados:

1 : Muy deficiente.

2 : Deficiente.

3 : Mejorable.

4 : Aceptable.

5 : Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas


deben sucederse sin que parezcan encorsetadas ni clasificadas
previamente. Basta con que el auditor lleve un pequeño guión. La
cumplimentación del Checklist no debe realizarse en presencia del
auditado.

-¿Existe personal específico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende además otra


instalación adyacente.

32
Puntuación: 1

-Para la vigilancia interna del edificio, ¿Hay al menos un vigilante


por turno en los aledaños del Centro de Cálculo?

-Si, pero sube a las otras 4 plantas cuando se le necesita.

Puntuación: 2

-¿Hay salida de emergencia además de la habilitada para la entrada


y salida de máquinas?

-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las
quitan.

Puntuación: 2

-El personal de Comunicaciones, ¿Puede entrar directamente en la


Sala de Computadoras?

-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su


gente salvo causa muy justificada, y avisando casi siempre al Jefe
de Explotación.

Puntuación: 4

El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4


= 2,25 Deficiente.

2. Checklist Binaria

Es la constituida por preguntas con respuesta única y excluyente: Sí


o No. Aritméticamente, equivalen a 1(uno) o 0(cero),
respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se está realizando una Revisión de los métodos de


pruebas de programas en el ámbito de Desarrollo de Proyectos.

33
-¿Existe Normativa de que el usuario final compruebe los resultados
finales de los programas?

Puntuación: 1

-¿Conoce el personal de Desarrollo la existencia de la anterior


normativa?

Puntuación: 1

-¿Se aplica dicha norma en todos los casos?

Puntuación: 0

-¿Existe una norma por la cual las pruebas han de realizarse con
juegos de ensayo o copia de Bases de Datos reales?

Puntuación: 0

Obsérvese como en este caso están contestadas las siguientes


preguntas:

-¿Se conoce la norma anterior?

Puntuación: 0

-¿Se aplica en todos los casos?

Puntuación: 0

Los Checklists de rango son adecuados si el equipo auditor no es


muy grande y mantiene criterios uniformes y equivalentes en las
valoraciones. Permiten una mayor precisión en la evaluación que en
los checklist binarios. Sin embargo, la bondad del método depende
excesivamente de la formación y competencia del equipo auditor.

34
Los Checklists Binarios siguen una elaboración inicial mucho más
ardua y compleja. Deben ser de gran precisión, como corresponde a
la suma precisión de la respuesta. Una vez construidas, tienen la
ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genérico del <sí o no> frente a la mayor riqueza del
intervalo.

No existen Checklists estándar para todas y cada una de las


instalaciones informáticas a auditar. Cada una de ellas posee
peculiaridades que hacen necesarios los retoques de adaptación
correspondientes en las preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informático debe verificar que los


programas, tanto de los Sistemas como de usuario, realizan
exactamente las funciones previstas, y no otras. Para ello se apoya
en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a través del
programa.
Muy especialmente, estas "Trazas" se utilizan para comprobar la
ejecución de las validaciones de datos previstas. Las mencionadas
trazas no deben modificar en absoluto el Sistema. Si la herramienta
auditora produce incrementos apreciables de carga, se convendrá
de antemano las fechas y horas más adecuadas para su empleo.
No obstante la utilidad de las Trazas. El auditor informático emplea
preferentemente la amplia información que proporciona el propio
Sistema: Así, los ficheros de contabilidad, en donde se encuentra la
producción completa de aquél, y los Log* de dicho Sistema, en
donde se recogen las modificaciones de datos y se pormenoriza la
actividad general.
Del mismo modo, el Sistema genera automáticamente exacta
información sobre el tratamiento de errores de maquina central,
periféricos, etc.
La auditoria financiero-contable convencional emplea trazas con
mucha frecuencia. Son programas encaminados a verificar lo
correcto de los cálculos de nóminas, primas, etc.

*Log:

35
El log vendría a ser un historial que informa que fue cambiando y
cómo fue cambiando (información). Las bases de datos, por
ejemplo, utilizan el log para asegurar lo que se llaman las
transacciones. Las transacciones son unidades atómicas de
cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transacción, y todo lo que va haciendo la
Aplicación (grabar, modificar, borrar) dentro de esa transacción,
queda grabado en el log. La transacción tiene un principio y un fin,
cuando la transacción llega a su fin, se vuelca todo a la base de
datos. Si en el medio de la transacción se cortó por x razón, lo que
se hace es volver para atrás. El log te permite analizar
cronológicamente que es lo que sucedió con la información que está
en el Sistema o que existe dentro de la base de datos.

Software de Interrogación:

Hasta hace ya algunos años se han utilizado productos software


llamados genéricamente “paquetes de auditoria”, capaces de
generar programas para auditores escasamente cualificados desde
el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de
muestreos estadísticos que permitieran la obtención de
consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los productos Software especiales para la auditoria
informática se orientan principalmente hacia lenguajes que permiten
la interrogación de ficheros y bases de datos de la empresa
auditada. Estos productos son utilizados solamente por los auditores
externos, por cuanto los internos disponen del software nativo propio
de la instalación.

36
10. Normas generales referidas a informes de auditoria
contenidas en la resolución técnica Nro 7 (FACPCE)

NORMAS SOBRE INFORMES

1. Los informes deben cumplir con los requisitos o características


de la información. En especial, se deben evitar los vocablos o
expresiones ambiguas o que pudieran inducir a error a los
interesados en el informe.

2. Los informes deben ser escritos. Si las circunstancias lo


aconsejaran pueden ser orales, recomendándose en este caso
su ratificación posterior

3. Los informes escritos deben contener:

• La identificación del objeto del examen

• La indicación de la tarea realizada

• La opinión que ha podido formarse el auditor a través de


la tarea realizada, claramente separada de cualquier otro
tipo de información.

• Los elementos adicionales necesarios para su mejor


comprensión.

37
11. Conducta profesional

Es imprescindible que la conducta profesional se rija por la ética


profesional relacionadas con la integridad. Así Los auditores
informáticos deberán:

1. Fomentar el establecimiento y cumplimiento de estándares,


procedimientos y controles adecuados, en los sistemas de
información.

2. Servir con diligencia, lealtad y honradez los intereses de sus


empleadores, accionistas, clientes y público en general. No
participarán conscientemente en ninguna actividad ilegal o impropia.

3. Garantizar la confidencialidad de la información obtenida en el


ejercicio de sus funciones. No usarán dicha información en beneficio
propio, ni dejarán que llegue a terceros no pertinentes.

4. Cumplir sus funciones de forma objetiva e independiente,


evitando actividades que pongan en entredicho (o lo parezca) su
independencia.

5. Mantener su competencia en los campos interrelacionados de la


auditoria y los sistemas de información, mediante su participación en
actividades de desarrollo profesional.

6. Aplicar el debido cuidado para obtener y documentar pruebas


objetivas suficientes, en que basar sus conclusiones y
recomendaciones.

7. Informar a las partes interesadas sobre los resultados del trabajo


de auditoria efectuado.

8. Fomentar la formación de directivos, clientes y público en


general, para que mejore su entendimiento delo que son la auditoria
y los sistemas de información.

9. Mantener altos estándares de conducta y comportamiento


personal en sus actividades, tanto profesionales como privadas.

38
12. CONCLUSIONES

La información es uno de los activos más importantes de las


entidades, y de modo especial en algunos sectores de actividad. Es
indudable que cada día las entidades dependen en mayor medida
de la información y de la tecnología, y que los sistemas de
información están más soportados por la tecnología, frente a la
realidad de hace pocas décadas.
La automatización de los procesos rutinarios de negocios implicara
la necesidad de depositar mayor confianza en los controles
programados y en las aplicaciones. Ello requerirá un mejor
entendimiento por parte del auditor de la seguridad y los respaldos
de las transacciones. Los procesos de auditoria en si mismos
seguirán siendo conceptualmente los tradicionales, pero la forma de
implementarse sin duda, cada vez mas automatizada, aprovechando
los recursos informaticos disponibles en la misma empresa,
desarrollando recursos propios y utilizando software de apoyo
disponible.

39
13. Bibliografía

1.- Cano Pérez y Asociados. Auditoría de Sistemas de


Información. Mimeografiado.Valencia. 1987

2.- Fitzgerald, Jerry. Controles Internos para sistemas de


Computación. Limusa Wiley.California 1982

3.- Thierauf. Robert J. Auditoría Administrativa. Limusa Wiley.


México. 1986

4.- Volonte C. Maria. D&G Profesional y empresaria. Tomo II


Nro 21 “ Riesgo informatico en auditoria”. Errepar. Argentina.
2001

5.- Volonte C. Maria. D&G Profesional y empresaria,. Tomo III


Nro 29 “ Riesgo informatico en auditoria, segunda parte”.
Errepar. Argentina. 2002

6.- Federación Argentina de Consejos Profesionales de


Ciencias Económicas, Resolución Técnica Nro 7

40