viernes, 3 de octubre de 2014

1.1 Definición y Clasificación

Tema 1.1

CONCEPTO Y DEFINICIÓN

La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la auditoría externa. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.


En su sentido más general, se puede entender a la auditoria como la investigación, consulta, revisión, verificación, comprobación y obtención de evidencia, desde una posición de independencia, sobre la documentación e información de una organización, realizadas por un profesional, el auditor, designado para desempeñar tales funciones. El auditor, cuando actúa como tal, no es responsable ni de la operación del organismo ni del control de su funcionamiento. Tales funciones son responsabilidad de los órganos directivos del organismo auditado. La función del auditor es la de examinar e informar sobre la documentación elaborada por los órganos directivos.

PRINCIPALES OBJETÍVOS QUE CONTRIBUYEN A LA AUDITORÍA INFORMATICA

* El control de la función informática.
* El análisis de la eficacia del Sistema Informático.
* La verificación de la implantación de la Normativa.
* La revisión de la gestión de los recursos informáticos.

El objetivo fundamental de un trabajo de auditoría es permitir que el auditor llegue a estar en condiciones de informar fundamentalmente sobre la fidelidad y razonabilidad de la situación que refleja la documentación aportada por la empresa. El auditor está obligado a establecer de forma inequívoca, según su criterio, si la imagen de la empresa es fiel y razonable en la documentación aportada. Si no ha podido confirmar estos términos, debe calificar su informe justificando las razones que le han llevado a considerar las desviaciones de fidelidad y razonabilidad, y en qué aspectos, y en qué medida, se ha incurrido en una formulación errónea. El auditor debe expresar con independencia su opinión.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De esta forma la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de auditoría. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software.

Fuente


https://sites.google.com/site/aisadith/unidad-1

1.2 Típos de Auditoría y su Relación con la Auditoría en Informática


POR EL SUJETO QUE LA EFECTÚA:


La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.

Auditoria Interna: Está a cargo de empleados de la propia empresa, encuadrados en un departamento directamente dependiente de la dirección general.

Auditoria Externa: Está a cargo de auditores profesionales, ajenos a la empresa y totalmente independientes.

POR SU CONTENIDO Y FINES

Auditoría de gestión: Afecta a la situación global de la empresa.

Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la adecuada, según las necesidades y problemas de la misma.

Auditoría operacional: Para determinar hasta qué punto una organización, una unidad o función dentro de una organización, está cumpliendo los objetivos establecidos por la gerencia; así como identificar las condiciones que necesiten mejora.

Auditoría financiera: Examen y verificación de los estados financieros de la empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos estados.

Auditoría contable: Analiza la adecuación de los criterios empleados para recogerlos hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.

Auditoría informática: Examen y verificación del correcto funcionamiento y control del sistema informático de la empresa.

POR SU AMPLITUD

Auditoría total: Afecta a todos los elementos de la empresa.

Auditoría parcial: Se concentra en determinados elementos de la empresa.

POR SU FRECUENCIA

Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.

Auditoría ocasional: Se realiza de forma esporádica.

BENEFICIOS DE LA AUDITORIA

Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan información correcta y auténtica sobre la situación y actividades de la misma.

1.3 Normas y Procedimientos de Auditoría

libros

El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y procedimientos de auditoría. Para nuestro caso, estudiaremos aquellas enfocadas a la auditoría en informática. Es fundamental mencionar que para el auditor en informática conocer los productos de software que han sido creados para apoyar su función aparte de los componentes de la propia computadora resulta esencial, esto por razones económicas y para facilitar el manejo de la información.



Normas
Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo. Las normas de auditoría se clasifican en:


Normas personales:
Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.

Normas de ejecución del trabajo:
Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.

Normas de información:
Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.

Técnicas:
453sdf9 (1)
Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtenerla evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias.


Procedimientos
Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el nombre de procedimientos de auditoría en informática. La combinación de dos o más procedimientos, derivan en programas de auditoría, y al conjunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría. El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea.


En General los procedimientos de auditoría permiten:desarrollo_social[1]
  • Obtener conocimientos del control interno.
  • Analizar loas características del control interno.
  • Verificar los resultados de control interno.
  • Fundamentar conclusiones de la auditoría.
Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedimiento de auditoría serán los mas indicados par obtener su opinión.


1.4 Planeación y Supervición de Trabajo de Auditoría

Parte importante de la auditoria es la planeación y supervisión. La planeación, en un sentido general, es la determinación de los objetivos y la elección: en un sentido general, es la determinación de los objetivos y la elección de los recursos para lograrlos, con base en la investigación y la elaboración de un esquema detallado que habrá de realizarse en un futuro.
Genelralidades
20110315154433-68992831-1-aurumsystems-empresa-de-informatica-comunicaciones-electronica-abre-sus-puertas-en-machala-brisas-del-mar
La auditoría de estados financieros al igual que otras actividades profesionales lleva a cabo sus objetos en la forma más eficiente posible.
Alcance y limitación
Se refiere a la planeación y supervisión que deberá ejercer el contador público sobre cualquier trabajo endiente a expresar una opinión profesional, esta norma señala que: “el trabajo de auditoria debe ser planeado adecuadamente y si se usara ayudantes estos deben ser supervisados de manera apropiada”
Objetivo
Establecer y explicar los procedimientos para la aplicación práctica de los pronunciamientos relativos a la planeación y supervisión del trabajo de auditoria.
Pronunciamientos normativos relativos a la planeación de la auditoria
Para planear el trabajo de auditoria se deben de conocer:

informe-semanal-redes-sociales1
  • Los objetos, condiciones y limitaciones del trabajo concreto que se va a realizar.
  • Las características particulares de la empresa cuya información financiera se examina.
  • La planeación implica prevé los procedimientos de auditoria van a emplearse, la extensión oportuna en que van a ser utilizados. La información se debe planear de diversa maneras, y se destacan las siguientes:
  • Entrevistas con el cliente para determinar el objetivo, las condiciones y limitaciones del trabajo, el tiempo a emplear, los honorarios y todo aquello que por naturaleza y las condiciones generales.
  • Visitar a las instalaciones y observar las operaciones para conocer las características operativas de la empresa y su sistema de control interno.
  • Entrevistas con los funcionarios para obtener información sobre las políticas generales de la empresa tanto de aspecto comercial, financiero y referente.
  • Lectura de algunos documentos que se relacionan con la situación jurídica de la empresa.
  • Lectura de los estados financieros para obtener información básica sobre el volumen y la naturaleza de las operaciones de la empresa.

1.5 Uso de Técnicas Asistidas por Computadora

Definición de TAAC’s
-desktop

Cualquier técnica o herramienta de software que permita al auditor el acceso a los datos corporativos de una manera eficaz y eficiente. No es necesario que haya sido desarrollado para propósitos de auditoría, incluye software que permite la consulta, extracción, selección, clasificación, estratificación, vuelco, análisis, etc. de datos, así mismo incluye software tales como planilla electrónica, base de datos, graficador, etc.
Otra definición: Cualquier técnica automatizada de auditoría, como el software de auditoría de propósitos generales, el software utilitario, los datos de prueba, el rastreo y registro del software de aplicaciones y los sistemas expertos de auditoría.
Software de Auditoría de Propósitos Generales.

-desktop
Un programa o serie de programas computadorizados diseñados para desempeñar ciertas funciones automatizadas. Estas funciones comprenden la lectura de archivos computarizados; la selección, manipulación, clasificación y resumen de datos; la realización de cálculos, la selección de muestras y la impresión de informes o cartas en un formato especificado por el auditor de SI. Esta técnica incluye el software adquirido o escrito para auditoría y el software incorporado en los sistemas de producción.
Datos de Prueba.
Transacciones simuladas que pueden utilizarse para probar la lógica, los cálculos y los controles de procesamiento efectivamente programados en las aplicaciones computadorizadas. Pueden probarse los programas individuales o todo el sistema. Esta técnica incluye las Instalaciones de Prueba Integradas y las Evaluaciones Básicas de Sistema
Software Utilitario.

windows-7-software-icon31
Programas computarizados suministrados por un fabricante de hardware o un proveedor de software y utilizados en la ejecución del sistema. Esta técnica puede utilizarse para examinar las actividades de procesamiento, probar las actividades y los procedimientos operacionales de los programas y el sistema, evaluar las actividades del archivo de datos y analizar los datos de registro de tareas.
Uso de Técnicas de Auditoría Asistida por Computadora
  • Relevar el ambiente de procesamiento
  • Relevar los controles existentes
  • Determinar la confiabilidad de la información almacenada
  • Analizar la normativa aplicable a la información administrada
  • Obtener el entendimiento del negocio
Beneficios de la utilización de TAAC’s:
  • Mejora la eficacia y eficiencia.
    folder__carpeta__amarillo_2_psd_by_gianferdinand-d4tmnjb
  • Aumenta el alcance de la auditoría.
  • Mejora la calidad de las actividades realizadas.
  • Incremento de costo-eficacia a través del uso y extensión de técnicas computarizadas.
  • Mejora la integración de técnicas de auditoría financiera y de sistemas de información.
  • Mayor oportunidad para desarrollar nuevos enfoques.
  • Incrementa la independencia de Auditoría de la función de SI y aumenta su credibilidad dentro de la organización
  • Mejora las pruebas de controles existentes en una aplicación
  • Promueve un mejor entendimiento de cómo funcionan actualmente las aplicaciones
  • Estudio de: Características técnicas, Bases de Datos, Archivos

Fuente: http://auditoriadesistemasi.blogspot.mx/2012/06/tecnicas-de-auditoria-asistidas-por.html

1.6 Responsabilidad del Auditor en el Descubrimiento de Errores y Desviaciones


El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades: 
magnifying-glass-transparent-png-hi
  • Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
  • Análisis de la administración de Sistemas de Información,desde un punto de vista de riesgo de seguridad,administración y efectividad de la administración.
  • Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.
  • Auditoría del riesgo operativo de los circuitos de información
  • Análisis de la administración de los riesgos de la información y de la seguridad implícita.
  • Verificación del nivel de continuidad de las operaciones.
  • Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.

Organización de la función de Auditoría Informática

La función de la auditoría informática se haconvertido en una función que desarrolla un trabajo más acorde con la importancia que para lasorganizaciones tienen los SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor de empresas en materias de:

MCj04396070000[1]
  • Seguridad
  • Control interno operativo
  • Eficiencia y eficacia
  • Tecnologías de Información
  • Continuidad de operaciones
  • Administración de riesgos

Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista unacoordinación lógica entre ambos departamentos), con independencia de objetivos, planes de formación y presupuestos.
Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demás tecnología,que depende de la misma persona que la auditoría interna (Director General o Consejero).

La dependencia debe ser del máximo responsable dela organización, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar eltrabajo de auditoría y ofrecer conclusiones y recomendaciones. Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formación en auditoría y organización y con perfil informático (especialidades).


Fuente: https://sites.google.com/site/aisadith/unidad-1

1.7 Importancia Relativa y Riesgo de Auditoría


El objetivo de una auditoría de estados financieros es hacer posible al auditor expresar una opinión sobre si los estados financieros están preparados, respecto de todo lo importante, de acuerdo con un marco de referencia para informes financieros identificado. La evaluación de qué es importante es un asunto de juicio profesional. Imagen-Mundo-Divisas
Al diseñar el plan de auditoría el auditor establece un nivel aceptable de importancia relativa a modo de detectar en forma cuantitativa las representaciones erróneas de importancia relativa. Sin embargo necesitan considerarse tanto el monto (cantidad) y la naturaleza (calidad) de las representaciones. Ejemplos de representaciones erróneas cualitativas serían la descripción inadecuada e impropia de una política de contabilidad cuando es probable que un usuario de los estados financieros fuera guiado equivocadamente por la descripción, y el dejar de revelar la infracción a requisitos reguladores cuando es probable que la imposición consecuente de restricciones regulatorias hará disminuir en forma importante la capacidad de operación.
El auditor necesita considerar la posibilidad de representaciones erróneas de cantidades relativamente pequeñas que, acumulativamente podrían tener un efecto importante sobre los estados financieros. Por ejemplo, un error en un procedimiento de fin de mes podría ser una indicación de una representación errónea de importancia relativa si ese error se repitiera cada mes.0002855311
El auditor considera la importancia relativa tanto al nivel global del estado financiero como con relación a saldos de cuentas particulares, clases de transacciones y revelaciones. La importancia relativa puede ser influida por consideraciones como requerimientos legales y reguladores y consideraciones que se refieren a saldos de una cuenta de los estados financieros y sus relaciones con otras cuentas. Este proceso puede dar como resultado diferentes niveles de importancia relativa dependiendo del aspecto de los estados financieros que está siendo considerado.
La importancia relativa debería ser considerada por el auditor cuando:
a) determina la naturaleza, oportunidad y alcance de los procedimientos de auditoría.
b) evalúa el efecto de las representaciones erróneas.
Hay una relación inversa entre la importancia relativa y el nivel de riesgo de auditoría, que es que mientras más alto el nivel de importancia relativa, más bajo el riesgo de auditoría y viceversa. El auditor toma en cuenta la relación inversa entre importancia relativa y riesgo de auditoría. Por ejemplo, si, después de planificar procedimientos de auditoría específicos, el auditor determina que el nivel de importancia relativa aceptable es más bajo, el riesgo de auditoría aumenta. El auditor compensará esto:
  1.  reduciendo el nivel evaluado de riesgo de control, cuando esto sea factible, y apoyando el nivel reducido desarrollando pruebas de control extensas o adicionales.
  2. reduciendo el riesgo de detección al modificar la naturaleza, oportunidad y alcance de los procedimientos substantivos planeados.