Auditoria Informatica
42
INSTITUTO TECNOLÓGICO SUPERIOR DE PEROTE C A R R E R A INGENIERÍA INFORMÁTICA M A T E R I A AUDITORIA INFORMATICA C A T E D R A T I C O Lic. JOSÉ MANUEL DÍAZ RIVERA P R E S E N T A LUIS ENRIQUE MÉNDEZ AGUILA
-
Upload
kike-mendez-aguilar -
Category
Documents
-
view
216 -
download
1
description
Investigación
Transcript of Auditoria Informatica
INSTITUTO TECNOLÓGICO SUPERIOR DE PEROTE
C A R R E R A
INGENIERÍA INFORMÁTICA
M A T E R I A
AUDITORIA INFORMATICA
C A T E D R A T I C O
Lic. JOSÉ MANUEL DÍAZ RIVERA
P R E S E N T A
LUIS ENRIQUE MÉNDEZ AGUILA
I N D I C E
Contenido Página
Planteamiento del Problema III
Justificación III
Objetivo General III
Objetivos Específicos III
Introducción IV
1. Introducción a la auditoría Informática
1.1. Definición y clasificación.……………………….………………………. 5
1.2. Tipos de auditoría y su relación con la auditoría en
Informática……………………………………….……………………………….. 8
1.3. Normas y procedimientos de auditoría….……….….…………………. 10
1.4 Planeación y supervisión del trabajo de auditoría…………………….. 12
1.5 Técnicas asistidas por computadora…………………………………... 14
1.6 Responsabilidad del auditor en el descubrimiento de errores y
desviaciones……………………………………………………………………… 16
1.7 Importancia relativa y riesgo de auditoría……………………………… 18
1.8 Documentación de la auditoría………………………………………….. 19
1.9 Evidencia Comprobatoria………………………………………………… 19
1.10 Control interno…………………………………………………………….. 22
1.11 Resumen…………………………………………………………………... 23
1.12 Metodologia para el desarrollo e implantación de auditoria…………. 26
1.13 Informe final de la audotoría…………………………………………….. 26
Conclusión 28
Bibliografía 30
1. PLANTEAMIENTO DEL PROBLEMA
Definir el concepto de auditoria en informática y conocer los diversos tipos de
auditoria.
2. JUSTIFICACIÓN
Aprender el proceso de auditoría en el campo de las aplicaciones informáticas,
permitiéndoles tener una visión integral del control interno informático en una
organización. Se revisan estándares internacionales que establecen buenas prácticas en
la gestión de la seguridad de la información, análisis de riesgos desde el punto de vista
tecnológico y gestión continuidad de negocios. Además aprender a utilizar una aplicación
de análisis de datos para realizar las pruebas de auditoría. Es importante para
complementar un enfoque global de la auditoría en una organización considerando la vital
de garantizar una seguridad razonable de la información de la misma.
3. OBJETIVO GENERAL
Desarrollo de criterios prácticos y teóricos para la auditoría en el campo de las aplicaciones informáticas, permitiéndoles tener una visión integral del control interno informático en una organización.
4. OBJETIVOS ESPECIFICOS
• Analizará los conceptos de auditoria e informática.
• Describirá las habilidades fundamentales que debe tener todo auditor de informática.
I N T R O D U C C I Ó N
La Auditoría juega un papel fundamental en el mantenimiento de las empresas, ya que
implica el control de los recursos de los cuales ellas disponen, a su vez la calidad de las
Auditorías es uno de los temas más importantes a perfeccionar en esta rama, pues de esto
depende la confiabilidad de los estados de control de las empresas.
La Supervisión de las Auditorias constituye un aspecto de vital de importancia según las
tendencias actuales, por cuanto significa la comprobación y seguridad de que éstas se hayan
realizado cumpliendo con los principios y normas establecidos para el ejercicio de la
Auditoria y permiten evaluar la correspondencia del dictamen emitido por el grupo de
auditores con la situación real de la entidad auditada. Este tema ha constituido una
necesidad identificada a nivel internacional y en el contexto nacional se ha pronunciado el
Ministerio de Auditoria y Control por diseñar un procedimiento que permita determinar la
confiabilidad y calidad del trabajo realizado por entidades fiscalizadoras.
A nivel mundial se han presentado situaciones que han puesto en crisis el criterio y el trabajo
realizado por auditores que generan un deterioro del prestigio del auditor y su independencia
causados por la corrupción y otros tipos de fraudes de los cuales no deja de estar exento
ningún país.
1.1 Definición y clasificación
Definición de Auditoría
La palabra auditoría viene del latín AUDITORIUS, y de esta proviene auditor, que tiene la
virtud de oír, y el diccionario lo considera revisor de cuentas colegiado pero se asume que
esa virtud de oír y revisar cuentas está encaminada a la evaluación de la economía, la
eficiencia y la eficacia en el uso de los recursos, así como al control de los mismos.
La auditoría puede definirse como «un proceso sistemático para obtener y evaluar de manera
objetiva las evidencias relacionadas con informes sobre actividades económicas y otros
acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia
del contenido informativo con las evidencias que le dieron origen, así como establecer si
dichos informes se han elaborado observando los principios establecidos para el caso.
Por otra parte la auditoría constituye una herramienta de control y supervisión que contribuye
a la creación de una cultura de la disciplina de la organización y permite descubrir fallas en
las estructuras o vulnerabilidades existentes en la organización.
Otro elemento de interés es que durante la realización de su trabajo, los auditores se
encuentran cotidianamente con nuevas tecnologías de avanzada en las entidades, por lo que
requieren de la incorporación sistemática de herramientas con iguales requerimientos
técnicos, así como de conocimientos cada vez más profundos de las técnicas informáticas
más extendidas en el control de la gestión.
Clasificación de las Auditorías.
De acuerdo con la filiación del auditor, las auditorías se clasifican:
Auditoría Externa, que comprende la auditoría estatal (General o Fiscal) y la auditoría
independiente.
Auditoría Interna, que incluye la auditoría de gestión u operacional, financiera o de
estados financieros, especial y fiscal
Auditoría Externa:
Es el examen o verificación de las transacciones, cuentas, informaciones, o estados
financieros, correspondientes a un período, evaluando la conformidad o cumplimiento de las
disposiciones legales o internas vigentes en el sistema de control interno contable. Se
practica por profesionales facultados, que no son empleados de la organización cuyas
afirmaciones o declaraciones auditan.
Además, examina y evalúa la planificación, organización, dirección y control interno
administrativo, la economía y eficiencia con que se han empleado los recursos humanos,
materiales y financieros, así como el resultado de las operaciones previstas a fin de
determinar si se han alcanzado las metas propuestas.
Fiscal: Se denomina fiscal a la Auditoría externa que se efectúa por el Ministerio de Finanzas
y Precios, sus dependencias u otras entidades expresamente facultadas por éste, con el
objetivo de determinar si los tributos al fisco, se efectúan en la cuantía debida y dentro de los
plazos y formas, establecidos. (Corresponde a la Oficina Nacional de Administración
Tributaria – ONAT ejercer estas funciones).
Auditoría Interna:
Se denomina Auditoría interna al control que se desarrolla como instrumento de la propia
administración y consiste en una valoración independiente de sus actividades; que
comprende el examen de los sistemas de control interno, de las operaciones contables y
financieras y de la aplicación de las disposiciones administrativas y legales que corresponda;
con la finalidad de mejorar el control y grado de economía, eficiencia y eficacia en la
utilización de los recursos; prevenir el uso indebido de éstos y coadyuvar al fortalecimiento
de la disciplina en general. De acuerdo con los objetivos fundamentales que se persigan, las
Auditorías pueden ser:
De gestión u operacional: Consiste en el examen y evaluación que se realiza a una entidad
para establecer el grado de economía, eficiencia y eficacia en la planificación, control y uso
de los recursos y comprobar la observancia de las disposiciones pertinentes, con el objetivo
de verificar la utilización más racional de los recursos y mejorar las actividades y materias
examinadas.
Especial: Consiste en la verificación de asuntos y temas específicos, de una parte de las
operaciones financieras o administrativas, de determinados hechos o situaciones especiales
y responden a una necesidad específica. Así mismo, comprenden trabajos de investigación,
y la auditoría que se realiza con el objetivo de conocer en qué medida se ha erradicado las
deficiencias detectadas con anterioridad. Estos casos comúnmente se identifican como
Auditorías Recurrentes o de Seguimiento.
Fiscal: Consiste en el examen de las operaciones relacionadas con los tributos al fisco, a los
que está obligada la entidad estatal o persona natural o jurídica del sector no estatal, con el
objetivo de determinar si se efectúan en la cuantía que corresponda, dentro de los plazos y
formas establecidas, y proceder conforme a derecho.
1.2 Tipos de auditoría y su relación con la auditoría Informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: la contratación de bienes y servicios, documentación de los
programas, etc.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las
medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis
de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta.
También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes,
etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Importancia de la Auditoria Informática
La auditoría permite a través de una revisión independiente, la evaluación de
actividades, funciones específicas, resultados u operaciones de una organización, con el fin
de evaluar su correcta realización. Este autor hace énfasis en la revisión independiente,
debido a que el auditor debe mantener independencia mental, profesional y laboral para
evitar cualquier tipo de influencia en los resultados de la misma.
La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios
formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y
licenciados en derecho especializados en el mundo de la auditoría.
En la realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:
Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen
obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez
de la información.
Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante
el análisis de la muestra. Proporciona evidencias de que los controles claves existen y
que son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
Observación
Realización de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadístico
Flujogramas
Listas de chequeo
1.3 Normas y procedimientos de auditoría
Normas, técnicas y procedimientos de auditoría en informática.
El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y
procedimientos de auditoría. Para nuestro caso, estudiaremos aquellas enfocadas a la
auditoría en informática.
Es fundamental mencionar que para el auditor en informática conocer los productos
de software que han sido creados para apoyar su función aparte de los componentes de la
propia computadora resulta esencial, esto por razones económicas y para facilitar el
manejo de la información.
El auditor desempeña sus labores mediante la aplicación de una serie de
conocimientos especializados que vienen a formar el cuerpo técnico de su actividad. El
auditor adquiere responsabilidades, no solamente con la persona que directamente
contratan sus servicios, sino con un número de personas desconocidas para él que van a
utilizar el resultado de su trabajo como base para tomar decisiones.
La auditoría no es una actividad meramente mecánica, que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo son
de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional,
sólido maduro, para juzgar los procedimientos que deben seguirse y estimar los
resultados obtenidos.
Normas.
Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad
del auditor, al trabajo que desempeña y a la información que rinde como resultado de este
trabajo.
Las normas de auditoría se clasifican en:
a. Normas personales.
b. Normas de ejecución del trabajo.
c. Normas de información.
Normas personales
Son cualidades que el auditor debe tener para ejercer sin dolo una
auditoría, basados en un sus conocimientos profesionales así como en un
entrenamiento técnico, que le permita ser imparcial a la hora de dar sus
sugerencias.
Normas de ejecución del trabajo
Son la planificación de los métodos y procedimientos, tanto como papeles
de trabajo a aplicar dentro de la auditoría.
Normas de información
son el resultado que el auditor debe entregar a los interesados para que se
den cuenta de su trabajo, también es conocido como informe o dictamen.
Procedimientos.
Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias
que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan
el nombre de procedimientos de auditoría en informática.
En General los procedimientos de auditoría permiten:
Obtener conocimientos del control interno.
Analizar las características del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditoría.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o
procedimiento de auditoría serán los más indicados para obtener su opinión.
1.4 Planeación y supervisión del trabajo de auditoría
El auditor deberá planificar su trabajo con el fin de identificar los objetivos de la auditoria a
realizar y de determinar el método para alcanzarlos de forma económica, eficiente y eficaz.
La planificación de un trabajo de auditoría consiste en la elaboración de un plan global
en función de los objetivos del mismo. La naturaleza y las características de la planificación
varían según la naturaleza del organismo a auditar, del conocimiento de su actividad, de su
entorno operativo, de la calidad del control interno y del tipo de auditoría a efectuar.
Las normas que desarrollan el principio de planificación contemplan, en consecuencia:
la prioridad, los objetivos, el plan global, los programas, el calendario y la memoria de
planificación.
El organismo auditor deberá dar prioridad absoluta a aquellas fiscalizaciones
legalmente obligatorias, atender las peticiones parlamentarias y establecer un orden de
prioridad para aquéllas que discrecionalmente le corresponda realizar.
En el caso de auditorias de regularidad, los objetivos se dirigirán a obtener una
razonable seguridad de que la información del ente auditado se presenta conforme a los
principios contables que le son aplicables y de que cumple las disposiciones legales.
En la elaboración de cada programa deberá tenerse en cuenta:
a) La asignación de tareas concretas a los componentes de cada equipo.
b) El desglose del programa en función de los objetivos marcados, habida cuenta de la
evaluación previa del control interno y de los sistemas operativos del ente auditado.
c) La previsión de la colaboración que se espera del organismo auditado y la posible
participación de expertos o auditores externos.
d) La revisión sucesiva del programa y, en su caso, su variación a medida que avanza el
trabajo de auditoria.
Se deberá estimar el tiempo necesario para realizar las distintas fases de la auditoria,
a fin de asegurar el cumplimiento del calendario previsto.
La estimación del tiempo debe incluir un desglose por categorías del personal del
equipo auditor.
La realización de la estimación del tiempo de trabajo es imprescindible, incluso
aceptando la posibilidad de imprevistos que obliguen a rehacer las previsiones iniciales.
El contenido íntegro de la planificación deberá incluirse en una memoria, la cual
deberá ser aprobada por el responsable de la auditoria antes de comenzar el resto del
trabajo.
En el caso de producirse cambios importantes en el alcance del trabajo en las fases
posteriores a la planificación, deberán incorporarse tales cambios en una memoria
complementaria.
El auditor deberá valorar las disposiciones adoptadas por el ente fiscalizado como
consecuencia de las conclusiones y recomendaciones de informes anteriores, así como
proveer la realización de comprobaciones posteriores sobre la auditoria planificada.
La supervisión del trabajo realizado por todos y cada uno de los miembros del equipo
es esencial para asegurar el cumplimiento de los objetivos de la auditoria y el mantenimiento
de la calidad del trabajo.
Las normas que desarrollan este principio se refieren al sujeto que en cada caso debe
supervisar, al trabajo que debe ser supervisado y a los fines que se quieren lograr con la
supervisión.
1.5 Uso de técnicas asistidas por computadora
Las técnicas de auditoría asistidas por computadora son de suma importancia para el auditor,
cuando realiza una auditoría. CAAT (Computer Audit Assisted Techniques) incluyen distintos
tipos de herramientas y de técnicas, las que más se utilizan son los software de auditoría
generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. Se
pueden utilizar para realizar varios procedimientos de auditoría incluyendo:
Probar controles en aplicaciones
Seleccionar y monitorear transacciones
Verificar datos
Analizar programas de las aplicaciones
Auditar centros de procesamiento de información
Auditar el desarrollo de aplicaciones
Técnicas:
Datos de Prueba: Las técnicas de datos de prueba se usan para conducir los
procedimientos de auditoria cuando se registran los datos en el sistema de cómputo de
una dependencia (por ejemplo, una muestra de transacciones), y los resultados obtenidos
se comparan con los resultados determinados previamente. He aquí algunos ejemplos de
estos usos:
1. Datos de prueba que se hayan usado para verificar los controles específicos en los
programas de cómputo, como son la clave de acceso en línea y los controles para el
acceso a datos.
2. Transacciones de prueba seleccionadas a partir de transacciones anteriores o creadas
por el auditor para verificar las características específicas de procesamiento del
sistema de cómputo de una dependencia. En general, estas transacciones se
procesan fuera del procesamiento normal que utilice la dependencia.
Análisis de Bitácoras: Hoy en día los sistemas de cómputo se encuentran expuestos a
distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que
se hacen más complejos, el número de ataques también aumenta, por lo anterior las
organizaciones deben reconocer la importancia y utilidad de la información contenida en
las bitácoras de los sistemas de cómputo así como mostrar algunas herramientas que
ayuden a automatizar el proceso de análisis.
El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo
generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que
pueden ser de gran ayuda ante un incidente de seguridad, así como para el auditor.
Una bitácora puede registrar mucha información acerca de eventos relacionados con
el sistema que la genera los cuales pueden ser:
Fecha y hora
Direcciones IP origen y destino
Dirección IP que genera la bitácora
Usuarios
Errores
Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya
que están teniendo mucha relevancia, como evidencia en aspectos legales.
Simulación paralela: Técnica muy utilizada que consiste en desarrollar programas o
módulos que simulen a los programas de un sistema en producción. El objetivo es
procesar los dos programas o módulos de forma paralela e identificar diferencias entre los
resultados de ambos.
Ventajas de su uso en términos generales:
1. Incrementan el alcance y calidad de los muestreos, verificando un gran número de
elementos.
2. Se puede ver como los recursos han sido utilizados y detectar parámetros de uso o
desviaciones en cuanto a los procedimientos y políticas de la empresa.
3. Recuperar información ante incidentes de seguridad, detección de comportamiento
inusual, información para resolver problemas, evidencia legal.
4. Es de gran ayuda en las tareas de cómputo forense.
5. Incrementan la confiabilidad y calidad permitiendo realizar pruebas que no pueden
efectuarse manualmente.
1.6 Responsabilidad del auditor en el descubrimiento de
errores y desviaciones
El auditor debe aceptar toda la responsabilidad por sus actos, pero no debe aceptar el
asumir las responsabilidades que corresponden a la gerencia de la empresa cliente, pues el
es un regulador de los actos de la gerencia y no parte de ella.
La responsabilidad del auditor se puede dividir en 4 partes:
1. Responsabilidad por incumplimiento de contrato
2. Responsabilidad por negligencia
3. Responsabilidad por fraude
4. Responsabilidad con las leyes de regulación.
Responsabilidad del auditor frente al descubrimiento de fraudes u otras
irregularidades.
Es norma internacionalmente establecida que los estados financieros representan
manifestaciones de la dirección de la compañía, no obstante que el auditor pueda cooperar
en su preparación y en la de las notas a los mismos. La función del auditor es examinar los
estados financieros y expresar su opinión profesional e independiente sobre dichos estados.
El examen normal de los estados financieros no tiene como objetivo expreso descubrir
fraudes y no puede depender del mismo para ello.
Sin embargo, al planificar y efectuar su examen y al emitir su opinión sobre la
responsabilidad de los estados financieros, el auditor debe tener en cuenta la posibilidad de
que puedan existir irregularidades (incluyendo desfalco y otros semejantes), así como
también el hecho de que en algunos casos el fraude o irregularidad sea de tal magnitud que
afecte la presentación justa de la posición financiera o de los resultados de operaciones.
El examen, hecho de acuerdo con normas de auditoria generalmente aceptadas considera
esta posibilidad.
Papeles de trabajo.
· Fuente de datos de referencia (por ejemplo discusión de asuntos relacionados con el
negocio del cliente, asuntos impositivos, etc.)
Principios generales que se deben tener en cuenta en la elaboración de los papeles de
trabajo:
Destreza.
Experiencia.
Adecuada supervisión.
1.7 Importancia relativa y riesgo de auditoría
El auditor deberá considerar la importancia relativa y el riesgo en la auditoria cuando
planifica, selecciona la metodología, determina los sondeos a efectuar y los procedimientos a
aplicar, especialmente cuando decide introducir una salvedad sobre un punto dado.
Se entiende por importancia relativa el criterio por el cual se valora la incidencia de
una omisión o el carácter inexacto de una información que, teniendo en cuenta las
circunstancias concurrentes, probablemente conducirá a una persona razonable, apoyada en
esta información, a modificar su juicio.
Los juicios sobre la importancia relativa se formularán teniendo en cuenta el medio, y
suponen necesariamente la toma en consideración de los factores tanto cuantitativos como
cualitativos.
La consideración del riesgo en auditoria supone la valoración del error que puede
cometerse por la falta de evidencia respecto a una determinada partida, o por la obtención de
una evidencia deficiente o incompleta de la misma.
Para la evaluación del riesgo deberá considerarse el criterio de importancia relativa, y
viceversa, al ser elementos interdependientes para la formación de juicio del auditor.
Para las auditorias del sector público, el nivel de riesgo aceptado puede ser menor
que el de auditorias similares en el sector privado, porque existe en aquél la obligación de
rendir cuenta y de cumplir obligaciones legales reglamentarias, así como por el carácter
particular de los programas, actividades y funciones del sector público.
1.8 Documentación de la auditoría
Carta de Presentación del Informe Final
– Resumen en 3 ó 4 folios del contenido del informe final
– Incluye fecha, naturaleza, objetivos y alcance de la auditoría
– Cuantifica la importancia de las áreas analizadas
– Proporciona una conclusión general, concretando las áreas de gran debilidad
– Presentar las debilidades en orden de importancia
Carta de Manifestaciones
– La Dirección de la empresa auditada confirma que se han mostrado
transparente y han proporcionado toda la información necesaria para la
auditoría
– En papel con membrete de la empresa auditada
– Firman los responsables de los áreas relacionados con la auditoría: Presidente,
Consejero Delegado, Director General.
1.9 Evidencia Comprobatoria
Mediante los procedimientos de Auditoría, el auditor debe obtener evidencia comprobatoria
suficiente y competente en el grado que requiera para suministrar una base objetiva que
permita su opinión.
Debe entenderse por evidencia comprobatoria, los elementos que comprueben la
autenticidad de los hechos, la evaluación de los procedimientos contables empleados, la
razonabilidad de los juicios efectuados, de ahí que la documentación contable por sí sola no
represente toda la evidencia que el auditor requiere para apoyar su opinión profesional.
Pronunciamientos normativos.
Para obtener la evidencia comprobatoria que respalda las aseveraciones hechas en
los estados financieros por la administración, el auditor debe establecer los objetivos
específicos de auditoría que confirmen la razonabilidad de dichas aseveraciones.
Las aseveraciones hechas en los estados financieros, que están relacionados con los
objetivos de auditoria son declaraciones de la administración que se incluyen como parte
integrante de los mismos y que por su naturaleza, pueden ser explícitas o implícitas y se
refieren a lo siguiente:
Existencia u ocurrencia.
Significa que los activos y pasivos de la entidad existen a una fecha específica y que
las transacciones registradas han ocurrido durante cierto periodo.
Integridad.
Significa que todas las transacciones y saldos que deben presentarse en los estados
financieros se han incluido.
Derechos y obligaciones.
Significa que los activos representan los derechos de la entidad y los pasivos las
obligaciones de la misma, a una fecha determinada.
Valuación.
Significa que los conceptos del activo, pasivo, capital, ingresos y gastos, han sido
incluidos en los estados financieros por los importes apropiados.
Presentación y revelación.
Significa que los renglones particulares de los estados financieros están
adecuadamente clasificados, descritos y revelados.
Para obtener la evidencia que soporta las aseveraciones hechas en los estados
financieros, el auditor establece objetivos específicos de auditoría a la luz de esas
aseveraciones. La evidencia comprobatoria debe ser suficiente y competente para que el
auditor pueda fundamentar sus conclusiones sobre la validez de las aseveraciones de la
administración, contenidas en cada rubro de los estados financieros.
La mayor parte del trabajo del auditor, al formular su opinión sobre los estados
financieros, consiste en obtener y evaluar la evidencia relativa a las aseveraciones hechas en
dichos estados. La medida de validez de dicha evidencia descansa en el juicio del auditor,
cabe recalcar que la evidencia en auditoría difiere de la evidencia legal, la cual esta
circunscrita a reglas rígidas.
La calidad, su objetividad y su oportunidad soportan la competencia de la evidencia
comprobatoria. Será suficiente y competente cuando se refiere a hechos, circunstancias o
criterios que realmente tienen relevancia cualitativa dentro de lo examinado y las pruebas
realizadas, ya sea por los resultados de una sola o por la concurrencia de varias, son válidas
y apropiadas para que el auditor llegue a adquirir la certeza moral (grado de seguridad y
confianza para emitir su opinión sobre los estados financieros) de que los hechos que está
tratando de probar los criterios cuya corrección está juzgando, han quedado
satisfactoriamente comprobados.
La confiabilidad de la evidencia comprobatoria se ve influenciada por su fuente,
interna o externa y por su naturaleza visual, oral o documental.
La evidencia obtenida de fuentes independientes fuera de la entidad, proporciona
mayor seguridad que la obtenida en la entidad.
La contabilidad y los estados financieros elaborados bajo condiciones satisfactorias de
control interno, son más confiables que las elaboradas bajo condiciones poco satisfactorias.
El conocimiento directo del auditor obtenido a través de exámenes físicos,
observación, cálculos e inspección, es más conveniente que la información obtenida
indirectamente.
La evidencia en forma de documentos y confirmaciones escritas es más confiable que
las confirmaciones verbales.
1.10 Control interno
El auditor, para determinar la naturaleza y la extensión de la auditoria a efectuar, deberá
estudiar y valorar el control interno existente.
A estos efectos, el sistema de control interno comprende los métodos y los
procedimientos establecidos por la dirección del organismo para garantizar razonablemente
el logro de los objetivos específicos fijados.
La necesidad de valorar los procedimientos de control interno y los puntos sobre los
que debe centrarse esta evaluación, varían según los objetivos de la auditoria.
El examen recaerá sobre los dispositivos establecidos para proteger los activos y los
recursos y asegurar que los apuntes contables se efectúen de forma adecuada.
Auditoria de cumplimiento de la legalidad
Se valorarán los métodos y procedimientos establecidos para ayudar a los gestores en
el cumplimiento de las leyes y reglamentos.
Auditoria operativa
Se deberán valorar los sistemas y procedimientos establecidos que sirvan de apoyo para
que el ente auditado realice sus actividades de forma eficaz, eficiente y económica. Para
dicha valoración es importante asegurarse de que el control interno analiza:
1.11 Resumen
El nacimiento de metodología en el mundo de la auditoria y el control informático se puede
observar en los primeros años de los ochenta, naciendo a la par con la informática.
La cual utiliza la metodología en disciplinas como la seguridad de los sistemas de
información, la cual la definimos como la doctrina que trata de los riesgos informáticos.
En donde la auditoria se involucra en este proceso de protección y preservación de la
información y de sus medios de proceso.
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos.
Mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la
organización y utiliza eficiente mente los recursos. Es una herramienta enfocada a la
adecuada gestión de los Sistemas de la Información.
Básicamente todos los cambios que se realizan en una organización someten a una
gran tensión a los controles internos existentes. Cuando un auditor profesional se somete a
auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos
que se llevan en la misma.
Para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se
empieza a trabajar internamente.
Por ello es cada vez más necesario un completo análisis del tráfico de:
· Los correos electrónicos corporativos.
· Las páginas Web que se visitan desde los ordenadores de la empresa.
El control interno informático controla diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos, estándares y
normas fijados por la dirección de la organización y/o la dirección informática.
La función del control interno informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.
Como principales objetivos podemos indicar los siguientes:
· Controlar que todas las actividades se realicen cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
· Asesorar sobre el conocimiento de las normas.
· Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias
externas al grupo.
· Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del
graso adecuado del servicio informático.
Las organizaciones informáticas forman parte de la gestión de la empresa.
La Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por sí misma. Debido a su importancia en el funcionamiento de una empresa, existe
la Auditoría Informática.
La auditoría es un examen crítico pero no mecánico, que no implica la preexistencia
de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar
la eficacia y eficiencia de una sección o de un organismo.
Los Sistemas Informáticos están sometidos al control correspondiente, o al menos
debería estarlo.
Objetivos de la auditoria informática
Los principales objetivos que constituyen a la auditoría Informática son:
- El control de la función informática.
- El análisis de la eficiencia de los Sistemas Informáticos.
- La verificación del cumplimiento de la Normativa general de la empresa.
- La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
La importancia de llevar un control de esta herramienta se puede deducir de varios
aspectos:
Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos
apetecibles no solo para el espionaje, sino para ladelincuencia y el terrorismo. En este caso
interviene la Auditoría Informática de Seguridad.- Las computadoras creadas para procesar y
difundir resultados o información elaborada pueden producir resultados
o información errónea si dichos datos son, a su vez, erróneos. En este caso interviene
la Auditoría Informática de Datos.
1.12 Metodología para el desarrollo e implantación de auditoría
1. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)
2. Realizar el Estudio Inicial del entorno a auditar
3. Determinar los Recursos necesarios para realizar la auditoría
4. Elaborar el Plan de Trabajo
5. Realizar las Actividades de Auditoría
6. Realizar el Informe Final
7. Carta de Presentación y Carta de Manifestaciones
1.13 Informe final de la Auditoría
Título o Identificación del Informe
– Distinguirlo de otros informes
Fecha de Comienzo
Miembros del Equipo Auditor
Entidad auditada
Identificación de destinatarios
Finaliza con
– Nombre, Dirección y Datos Registrales del Auditor
– Firma del Auditor
– Fecha de emisión del informe
Objetivos y Alcance de la Auditoría
– Estándares, especificaciones, prácticas y procedimientos utilizados
– Excepciones aplicadas
Materias consideradas en la auditoría
– Situación actual
• Hechos importantes
• Hechos consolidados
– Tendencias, de situación futura
– Puntos débiles y amenazas (hecho = debilidad)
• Hecho encontrado
• Consecuencias del hecho
• Repercusión del hecho (influencias sobre otros aspectos)
• Conclusión del hecho
– Recomendaciones
– Redacción de la Carta de Presentación
Función de opinión del auditor respecto a los objetivos de la auditoría
Favorable o sin salvedades: trabajo realizado
– Sin limitaciones de alcance y sin incertidumbre
– De acuerdo con la normativa legal y profesional
Con salvedades
Desfavorable
– Identificación de irregularidades
– Incumplimiento de la normativa legal y profesional que afecte a
significativamente a los objetivos estipulados
Denegada
– Limitaciones al alcance
– Incertidumbres significativas
– Irregularidades
– Incumplimiento de normativa lega y profesional
– Limitaciones al alcance
– El auditor no puede aplicar los procedimientos de auditoría requeridos
por la normativa legal y profesional o según su juicio profesional
– Provenientes de la propia entidad auditada
– Considerar la naturaleza y magnitudes del efecto potencial de los
procedimientos omitidos y su importancia relativa
– Incertidumbres
– Desenlace que no se puede estimar por depender de que suceda, o no,
algún otro hecho: litigios, juicios, etc.
C O N C L U S I Ó N
La Auditoría Informática, hoy en día es de vital importancia para las empresas modernas con
visión de futuro, sobre todo inmersas en el mundo globalizado, porque si no se prevee los
mecanismos de control, seguridad y respaldo de la información dentro de una institución se
ver ásumida a riesgos lógicos, físicos y humanos, que conlleven a fraudes no solamente
económicos sino de información, es decir, pérdidas para la empresa.
La auditoria de sistemas de información deberá comprender no sólo la evaluación de
los equipos de cómputo de un sistema o procedimiento específico, sino que ademas habrá
de evaluar los sistemas de información en general desde sus entradas, procedimientos,
controles. En la mayoría de empresas existe una constante preocupación por la presencia
ocasional de fraudes, sin embargo, muchos de estos podrían prevenirse.
Evitar fraudes es responsabilidad de todos los empleados, por ello es importante crear
una cultura empresarial encaminada a minimizar el riesgo de fraude.
Las auditorias informáticas se conforman obteniendo información y documentación de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor consiste
en lograr obtener toda la información necesaria para emitir un juicio global objetivo, siempre
amparando las evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan
en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la información necesaria para auditar.
Toda empresa, pública o privada, que posean Sistemas de Información medianamente
complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia.
Hoy en día, la mayoría de las empresas tienen toda su información estructurada en
Sistemas Informáticos, de aquí, la vital importancia que los sistemas de
información funcionen correctamente.. El éxito de una empresa depende de la eficiencia de
sus sistemas de información. Una empresa puede contar con personal altamente capacitado,
pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa
nunca saldrá a adelante.
La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal
hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente
económicas.
En conclusión la auditoria informática es la indicada para evaluar de manera profunda,
una determinada organización a través de su sistema de información automatizado, de aquí
su importancia y relevancia.
B I B L I O G R A F Í A
• Audinet : http://www.audinet.org
• Sans Institute : http://www.sans.org • AUDITORIA INFORMATICA. Un enfoque práctico
Mario Piatini – Emilio del Peso Ed. Rama
• AUDITORIA DE LOS SISTEMAS DE INFORMACIÓN Rafael Bernal y Óscar Coltell – Univ.
Politécnica de Valencia
• Normas de Auditoría Generalmente Aceptadas, Instituto Mexicano de Contadores
Públicos.
• Normas de Información Financiera, Instituto mexicano de Contadores Públicos
