Académique Documents
Professionnel Documents
Culture Documents
FUNDAMENTOS DE AUDITORIA
Y AUDITORIA INFORMÁTICA
Prof. Ramón Castro L.
Concepto de auditoría
• La palabra auditoría proviene del latín
auditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel que tiene la virtud
de oír.
• Por otra parte, el diccionario Español Sopena lo
define como: Revisor de Cuentas colegiado. En
un principio esta definición carece de la
explicación del objetivo fundamental que
persigue todo auditor: evaluar la eficiencia y
eficacia.
Concepto de auditoría
Se entiende por Auditoria “una sistemática
evaluación de las diversas operaciones y
controles de una organización, para
determinar si se siguen políticas y
procedimientos aceptables, si se siguen
las normas establecidas, si se utilizan los
recursos eficientemente y si se han
alcanzado los objetivos de la organización.
(B.Sawyer)”.
Concepto de auditoría
Otra definición es:
27
Cualidades de los Auditores
Personas abiertas, maduras, con sentido común,
tenacidad, realistas y con capacidad de análisis.
Cualidades Personales
Aptitud para ver las situaciones complejas
desde un punto de vista general y con espíritu
cooperativo y comunicativo.
Estudios secundarios, conocimientos
de las normas aplicables, técnicas de
evaluación de pruebas, apreciaciones Formación y experiencia
y de informes. 4 años de experiencia
practica (aseguramiento de la calidad).
Estar al día en el conocimiento de
las normas relativas a los SC y en
Mantenimiento de la aptitud los métodos y procedimientos de
las auditorias.
28
Funciones responsabilidades y tareas de
los auditores
Responsabilidades Funciones
29
Funciones responsabilidades y tareas de
los auditores
Responsable final de todas las fases de la
auditoría; debe preparar el plan y presentar
Responsabilidades el informe de la auditoría .
Participar en la selección de los miembros
del equipo auditor y presentarlos ante el
auditado.
AUDITORES
Actuar con objetividad y limitarse al ámbito de
la auditoria. Respetar la deontología
profesional.
Funciones Recoger y analizar datos para obtener
conclusiones relativas al SC auditado.
31
Funciones responsabilidades y tareas de
los auditores
32
¿Cómo auditar?
Revisión preliminar del SC Documentos de trabajo
auditado - Listas de verificación para cada
-Si el SC no es el adecuado
elemento del SC.
conviene no continuar con
la auditoría. - Formularios para recoger
-Base para preparar la auditoría y observaciones y formularios para
juzgar el SC auditado. consignar evidencias.
PREPARACIÓN
Tareas del equipo DE LA AUDITORIA Plan de la auditoría
auditor
-Conviene asignar a cada auditor - Conocido con antelación.
la auditoría de elementos - Flexible para permitir cambios
Específicos del SC. Esta durante la auditoría.
asignación será hecha por el -Debe incluir: objetivos, identidades
del equipo auditor, fecha y lugar de
auditor jefe.
la auditoría, áreas a auditar...
33
¿Cómo auditar?
Reunión inicial Recogida de evidencias
- Presentación del equipo auditor - A través de entrevistas, examen
y de un resumen de métodos y de documentos y observación de
procedimientos a utilizar. las áreas afectadas.
- Confirmar el horario de reuniones - Anotar los indicios de no
intermedias y final, y la disponibilidad conformidad para su posterior
de medios e instalacio-
investigación.
nes que se precisen. EJECUCIÓN .
DE LA AUDITORIA
Observaciones de Reunión final
la auditoría con el auditado
- Documentar todas las observa- - Presentar: las observaciones de
ciones y determinar las que deben la auditoría a la dirección del
considerarse no conformidades. auditado y asegurarse de su
- Las no conformidades deben comprensión; las conclusiones
referenciar los requisitos que se del equipo auditor relativas al SC.
Incumplen. -Levantar acta de esta reunión.
34
¿Cómo auditar?
Informe de la Auditoría
Es responsabilidad del auditor jefe.
El informe tiene por objeto exponer los
hechos, no analizar las causas, ni
recomendar acciones correctoras.
En caso de duda sobre alguna situación
auditada, no considerarla.
Debe contener: objetivo y alcance de la
auditoría, observaciones de no
conformidad, capacidad del SC para
alcanzar los objetivos definidos, lista de
distribución del informe...
35
El auditor debe tener
Comportamiento del auditor
36
La auditoria informática
El auditor informático pasa a ser auditor y consultor del
ente empresarial, en el que va a ser analista, auditor y
asesor en:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnología informática
Continuidad de operaciones
Gestión de riesgos
37
Elementos del Plan de Auditoria
Informática
Establecer Objetivos y alcances
Obtener información de apoyo sobre las actividades que
se auditan
Comunicación con los involucrados
Determinación de actividades a auditar
Cuando serán auditadas
Tiempo estimado de la auditoria
A quien se le comunicarán los resultados
38
Elementos del Plan de Auditoria
Informática
Inspección física (Plano físico, ubicación y características del hardware,
ubicación y características del software y personal que labora en este)
Identificar el área o áreas
Identificar actividades
Identificar controles actuales
Elaborar el programa de Auditoria Informática (MicroSoft Project)
Evaluación administrativa del área de procesos electrónicos
Evaluación de los sistemas y procedimientos
Evaluación de los equipos de cómputo
Evaluación del proceso de datos (software, hardware, redes, BDs, y
comunicaciones)
Evaluación de la Seguridad y confiabilidad de la información
Evaluación de los aspectos legales de los sistemas de información
Recomendaciones
Conclusiones
Anexos 39
Ubicación jerárquica de la función de
informática.
La alta dirección de cualquier organización tiene que estar
consciente de que la función de auditoría se debe ejercer con el
criterio básico de independencia personal jerárquica, es decir,
que el desempeño de las actividades profesionales en el proceso
de evaluación y control no debe verse afectado por aspectos
emocionales ni de autoridad emanados de los responsables e
involucrados en el momento de la auditoría.
40
Tipos de estructuras donde se ubica la auditoría en
informática.
La auditoría en informática se debe considerar en un alto nivel
organizacional, de igual manera que cualquier otra rama de la auditoría
tradicional.
La ubicación deseable es subordinada jerárquicamente a una dirección o
subdirección, ya sea una dirección administrativa o de informática.
El objetivo primordial para la alta dirección del negocio es asegurar que el
desempeño de las actividades de auditoría en informática se ejecuten
oportuna y eficientemente, de manera que se logre que los auditores
cuenten con:
Independencia funcional.
Libertad de acción.
Facultad para la toma de decisiones
Negociación con los niveles gerenciales
Involucramiento en proyectos de alto impacto en el negocio
41
Funciones de la auditoría en informática.
Evaluación y verificación de los controles y procedimientos
relacionados con la función de informática dentro de la
organización.
43
Metodología para la realización de la auditoría de la función de
informática.
Estudio inicial.-Para realizar dicho estudio ha de examinarse las funciones y
actividades generales de la informática.
Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña
y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
Organigrama: El organigrama expresa la estructura oficial de la organización a
auditar.
Departamentos: Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor describirá brevemente las
funciones de cada uno de ellos.
3) Relaciones jerárquicas y funcionales entre órganos de la organización:
El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas
previstas por el organigrama.
4) Revisión de Flujos de información.
Los flujos de información entre los grupos de una organización son necesarios para
su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio
organigrama. Otras veces, la aparición de flujos de información no previstos
obedece a afinidades personales o simple comodidad. Estos flujos de información
son indeseables y producen graves perturbaciones en la organización.
44