Beruflich Dokumente
Kultur Dokumente
1 DEFINICION Y CLASIFICACION
DEFINICION
Disciplina incluida en el campo de la auditora que se refiere al anlisis de las
condiciones de una instalacin informtica por un auditor externo e independiente
que realiza un dictamen sobre diferentes aspectos.
Conjunto de procedimientos y tcnicas para evaluar y controlar, total o
parcialmente, un sistema informtico, con el fin de proteger sus activos y recursos,
verificar si sus actividades se desarrollan eficientemente y de acuerdo con la
normativa informtica y general existentes en cada empresa y para conseguir la
eficacia exigida en el marco de la organizacin correspondiente.
CLASIFICACION
Auditora Interna y Auditora Externa:
La auditora interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna existe por expresa decisin de
la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.
1.
2.
3.
4.
ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen
una gran importancia para el auditor.
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una
auditora, se les dan el nombre de procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora,
y al conjunto de programas de auditora se le denomina plan de auditora, el cual
servir al auditor para llevar una estrategia y organizacin de la propia auditora.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
1.4 Planificacin y supervisin del trabajo de la auditora Informtica
Como todo proyecto implantado dentro de una organizacin, el proyecto de auditora
informtica debe iniciar con una fase de planeacin en la cual participen todas las
reas de la organizacin para identificar los recursos necesarios que permitirn
llevar a cabo este proyecto.
Auditoria
Apoyo en la definicin, implantacin y seguimiento de polticas, controles y
procedimientos de auditoria, relacionadas directa o indirectamente con la tecnologa
de informtica (sistemas de informacin, equipos de cmputo, comunicaciones,
etc.).
Planes de capacitacin en el uso y entendimiento de software de auditora,
herramientas de productividad (hojas electrnicas, procesadores de palabras,
graficadores, diagramadores, etc.), base de datos (consulta de informacin, por
ejemplo), equipos de cmputo (micros, terminales, porttiles, etc.); otros de inters
para los auditores.
Informtica
Apoyo en la definicin, implantacin y seguimiento de polticas, controles,
procedimientos y estndares relativos a la organizacin y administracin de
informtica, el proceso de planeacin, la evaluacin y adquisicin de nueva
tecnologa, la evaluacin y adquisicin de servicios, el desarrollo e implantacin de
soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas estratgicos,
multimedia, etc.) y otros de inters para informtica.
Objetivos de la Planificacin de una auditoria
El proceso de planeacin de la auditoria tiene como objetivo fundamentar el
establecimiento y definicin de diferentes tpicos nombrados a continuacin:
Metodologa a ser usada
Polticas y reglas a seguir
Seguridad
Eficiencia y eficacia
Tecnologas de Informacin
Continuidad de operaciones
Administracin de riesgos
La dependencia debe ser del mximo responsable dela organizacin, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda sospechar
que existe sesgo al momento de realizar eltrabajo de auditora y ofrecer
conclusiones y recomendaciones. Los recursos humanos con los que debe contar
el departamento debe ser una mezcla equilibrada de personas con formacin en
auditora y organizacin y con perfil informtico (especialidades).
1.7 Importancia relativa y riesgo de auditoria
El auditor deber considerar la importancia relativa y su relacin con el riesgo de
auditora cuando conduzca una auditora.
Importancia relativa
El objetivo de una auditora de estados financieros es hacer posible al auditor
expresar una opinin sobre si los estados financieros estn preparados, respecto
de todo lo importante, de acuerdo con un marco de referencia para informes
financieros identificado. La evaluacin de qu es importante es un asunto de juicio
profesional.
El auditor deber considerar la posibilidad de representaciones errneas de
cantidades relativamente pequeas que, acumulativamente podran tener un efecto
importante sobre los estados financieros. Por ejemplo, un error en un procedimiento
de fin de mes podra ser una indicacin de una representacin errnea de
importancia relativa si ese error se repitiera cada mes.
Evaluacin del efecto de representaciones errneas
Al evaluar la apropiada presentacin de los estados financieros, el auditor deber
evaluar si el valor acumulado de las representaciones errneas no corregidas que
han sido identificadas durante la auditora, es de importancia relativa.
Si la administracin se niega a ajustar los estados financieros y los resultados de
los procedimientos de auditora ampliados no capacitan al auditor para concluir que
el valor acumulado de las representaciones errneas no corregidas no es de
importancia relativa, el auditor deber considerar la modificacin apropiada de su
dictamen de acuerdo con la NIA El Dictamen del Auditor sobre Estados
Financieros.
1.8 Documentacin de la auditoria.
Es el principal registro de los procedimientos de la auditoria aplicables, evidencia
obtenida, y conclusiones alcanzadas en la participacin. La documentacin de la
auditoria debera incluir toda la informacin que el auditor considere necesaria para
realizar la auditoria de forma correcta y proporcionar el apoyo para el informe de
auditora. La documentacin de la auditoria tambin podra referirse a los papeles
de trabajo. Ha ido la manera en que la documentacin de la auditoria se mantiene
en archives de computadora.
Servir de anticipo del documento original, permitiendo a los usuarios decidir sobre
la conveniencia o no de consultar el texto original.
Determina, por tanto, su pertinencia e inters.
Actualizar los conocimientos del especialista sobre los desarrollos habidos en su
campo terico, ahorrndole tiempo y esfuerzo.
Facilitar el aprendizaje.
La estructura del resumen representa el contenido del original y consta de las
siguientes partes:
REFERENCIA: La norma UNE 50-104-94 establece los criterios a seguir para la
elaboracin de referencias bibliogrficas. Hay que indicar los siguientes elementos:
autor, ttulo, fuente y fecha de publicacin y pginas.
CUERPO DEL RESUMEN: Se aconseja presentarlo en un solo prrafo y tiene que
recoger los siguientes indicadores: objetivos y alcance (propsito del documento);
metodologa (Si es un trabajo experimental debe indicar las tcnicas y mtodos
utilizados en la investigacin. Si es un trabajo no experimental las fuentes de datos
y su manejo), los resultados (descubrimientos e interpretacin) y las conclusiones
(implicaciones de los resultados y su relacin con el propsito de la investigacin).
Procesos
1. Personales: se refiere a la persona del contador pblico como auditor independiente; ste debe
ser: experto en la materia, siendo profesional a su actuacin y observando siempre principios ticos.
a. Entrenamiento tcnico y capacidad profesional: el auditor debe tener conocimientos tcnicos
adquiridos en Universidades o Institutos superiores del pas, habiendo culminado sus estudios con
recepcin profesional de Contador Pblico, adems se requiere que el joven profesional adquiera
una adecuada prctica o experiencia, que le permita ejercer un juicio slido y sensato para aplicar
los procedimientos y valorar sus efectos o resultados.
b. Cuidado y diligencia profesional: todo profesional forma parte de la sociedad, gracias a ella se
forma y a ella debe servir. El profesional de la Contadura Pblica, al ofrecer sus servicios
profesionales debe estar consciente de la responsabilidad que ello implica. Es cierto que los
profesionales son humanos y que por lo tanto se encuentra al margen de cometer errores, estos se
eliminan o se reducen cuando el contador pblico pone a su trabajo (cuidado y diligencia profesional).
c. Independencia mental: Para que los interesados confen en la informacin financiera este debe
ser dictaminado por un contador pblico independiente que de antemano haya aceptado el trabajo
de auditora , ya que su opinin no este influenciada por nadie, es decir, que su opinin es objetiva,
libre e imparcial.
2. Relativas a la ejecucin del trabajo. Estas normas se refieren a elementos bsicos en el que el
contador pblico debe realizar su trabajo con cuidado y diligencia profesionales para lo cual exigen
normas mnimas a seguir en la ejecucin del trabajo.
a. Planeacin y supervisin: antes de que el contador pblico independiente se responsabilice de
efectuar cualquier trabajo debe conocer la entidad sujeta a la investigacin con la finalidad de planear
su trabajo, debe asignar responsabilidades a sus colaboradores y determinar que pruebas debe
efectuar y que alcance dar a las mismas, as como la oportunidad en que sern aplicadas.
b. Estudio y evaluacin del control interno: el contador pblico independiente debe analizar a la
entidad sujeta a ser auditada, esto, es evaluar y estudiar el control interno, con la finalidad de
determinar que pruebas debe efectuar y que alcance dar a las mismas, as como, la oportunidad
en que sern aplicadas.
c. Obtencin de la evidencia suficiente y competente: el contador pblico al dictaminar Estados
Financieros adquiere una gran responsabilidad con terceros, por lo tanto, su opinin debe estar
respaldada por elementos de prueba que sern sustentables, objetivos y de certeza razonables, es
decir, estos hechos deben ser comprobables a satisfaccin del auditor.
3. Relativas a la informacin: el objetivo de la auditora de Estados Financieros es que el contador
Pblico independiente emita su opinin sobre la razonabilidad de los mismos, ya que, se considera
que el producto terminado de dicho trabajo es el dictamen.
a. Normas de dictamen e informacin: el profesional que presta estos servicios debe apegarse a
reglas mnimas que garanticen la calidad de su trabajo.
b. Debe aclarar que el contador pblico independiente: al realizar cualquier trabajo debe
expresar con claridad en que estriba su relacin y cul es su responsabilidad con respecto a los
estados financieros.
c. Base de opinin sobre estados financieros: con la finalidad de unificar criterios, el IMCP por
medio de su comisin de principios de contabilidad, ha recomendado una serie de criterios, a los que
los profesionales se deben de apegar y as, eliminar discrepancias, al procesar y elaborar la
informacin.
Auditora financiera.
Auditora Administrativa.
Auditora ocupacional.
Auditora integral.
Auditora gubernamental.
De acuerdo a lo anterior, existe una clasificacin de los tipos de auditoria, con el fin de identificar
criterios, caractersticas, y especificaciones de esta disciplina profesional. Sin embargo para esta
investigacin solo se trataran los tipos de auditoria por su lugar de aplicacin, los cuales se
desarrollan a continuacin.
AUDITORIA INTERNA
Segn Carmen Heredero (2008), Es realizada por una entidad funcional perteneciente a la propia
estructura organizacional de la empresa y como contraprestaciones reciben una remuneracin
econmica.
Por otro lado Muoz Carlos (2000), refiere la auditoria interna con el objetivo de obtener un dictamen
interno sobre las actividades de toda la empresa, que permita diagnosticar la actuacin
administrativa, operacional y funcional de empleados y funcionarios de las reas que auditen.
Principal
ventaja
de
la
auditoria
interna:
Debido a que el auditor permanece conoce las problemtica, funciones, actividades, reas
y operaciones.
Por otra parte el coste ser menor puesto que los recursos solo son internos para
organizacin, por lo tanto no representan ninguna erogacin adicional.
El informe que rinde el auditor, independientemente del resultado, es solo de carcter interno
y por lo tanto no sale de la empresa, ya que nicamente le sirve a las autoridades de la institucin.
desventaja
de
la
auditoria
interna:
posible falta de objetividad de las personas que la llevan a cabo, puesto que pueden estar
directamente implicados en el propio sistema de informacin, al laborar en la misma empresa donde
realiza la auditoria, puede presentar presiones, compromisos y ciertos intereses al realizar la
evaluacin.
Su veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede haber
injerencias por parte de las autoridades de la institucin sobre la forma de evaluar y emitir informes.
Se pueden presentar vicios de trabajo del auditor con relativa frecuencia, ya sea en las
formas de utilizar las tcnicas y herramientas para aplicar la auditoria, como en la forma de evaluar
y emitir su informe sobre la misma.
Segn
Gonzalo
Rivas
(1988)
los Objetivos
de
la
auditoria
interna
son:
Jos Lpez (2008), dice que se realiza por personas ajenas a la empresa, ya que esta contrata un
servicio para auditar su sistema de informacin por personas externas a la empresa.
Muoz Carlos (2000), expreso que es la revisin independiente que realiza un profesional de la
auditoria, con total libertad de criterio y sin ninguna influencia, con el propsito de evaluar el
desempeo de las actividades, operaciones y funciones que se realizan en la empresa que lo
contrata, as como de la razonabilidad en la emisin de sus resultados financieros.
ventaja
de
la
auditoria
externa
Alto grado de objetividad que se consigue en comparacin con los auditores internos, dado
que es realizada por un personal ajeno a la empresa, puesto que no tendr condicionantes de
dependencia jerrquica o vinculaciones de otro tipo con la empresa.
En su realizacin, estas auditoras pueden estar apoyadas por una mayor experiencia por
parte de los auditores externos, debido a que utiliza tcnicas y herramientas que ya fueron probadas
en otras empresas con caractersticas similares.
Sus dictmenes pueden ser vlidos para las autoridades impositivas, y con ello pueden
satisfacer requerimientos de carcter legal, siempre que sean realizadas por auditores de prestigio
que tengan el reconocimiento pblico.
El
principal
inconveniente
de
la
auditoria
externa
Gonzalo
Rivas
(1988)
los Objetivos
de
la
auditoria
Externa
son.
Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos
examinados para garantizar que han quedado significativamente probados.
Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio, teniendo en cuenta
la previsible evolucin de la empresa.
ataques.
NACIONALES
INTERNACIONALES
VENTAJAS
DESVENTAJAS
En su realizacin, estas
auditoras
pueden
estar
apoyadas por una mayor
experiencia por parte de los
auditores externos, debido a
que
utiliza
tcnicas
y
herramientas que ya fueron
probadas en otras empresas
con caractersticas similares.
en el propio sistema de
informacin, al laborar en la
misma empresa donde realiza
la auditoria, puede presentar
presiones, compromisos y
ciertos intereses al realizar la
evaluacin.
Su veracidad, alcance y
confiabilidad
pueden
ser
limitados, debido a que puede
haber injerencias por parte de
las
autoridades
de
la
institucin sobre la forma de
evaluar y emitir informes.
Se pueden presentar vicios de
trabajo del auditor con relativa
frecuencia, ya sea en las
formas de utilizar las tcnicas
y herramientas para aplicar la
auditoria, como en la forma de
evaluar y emitir su informe
sobre la misma.
responsabilidad de llevar a
cabo la auditoria.
No obstante, la profesionalidad
y experiencia de quienes de
quienes asumen la auditoria
deben
superar
estos
inconvenientes para llevar a
cabo un trabajo adecuado.
Depende en absoluto de la
cooperacin que el auditor
pueda obtener de parte de los
auditados.
Su evaluacin, alcances y
resultados pueden ser muy
limitados.
En
algunos
casos
son
sumamente costosas para la
empresa, no solo en el aspecto
numrico, sino por el tiempo y
trabajo
adicional
que
representan.
El primer examen se llev a cabo en 1981, y los registros han crecido cada ao. En la actualidad, el
examen es ofrecido en 11 idiomas y ms de 200 lugares de todo el mundo. En 2005, la ISACA
anunci que el examen se ofrecer en junio y diciembre, y que empezara en 2005. Anteriormente,
el examen slo haba sido administrado anualmente, en junio. Ms de 50 mil candidatos han
conseguido el certificado CISA.
La certificacin CISA es aprobada formalmente por el Departamento de Defensa de los Estados
Unidos en la categora de Aseguramiento de Informacin Tcnica (DoD 8570.01-M). Certified
Information Systems Auditor (CISA)
Es una certificacin para auditores respaldada por la Asociacin de Control y Auditora de Sistemas
de Informacin (ISACA) (Information Systems Audit and Control Association). Los candidatos deben
cumplir con los requisitos establecidos por la ISACA.
Requisitos
*Examen de acuerdo con el Cdigo Profesional de tica de ISACA.
*Cinco aos de experiencia en auditora de sistemas, control interno y seguridad informtica y tener
un programa de educacin continua.
Beneficios
El examen consiste de 200 preguntas de opcin mltiple que deben ser contestadas en 4 horas.
Garantizar que las prcticas de administracin para el desarrollo/adquisicin, pruebas,
implementacin, mantenimiento y eliminacin de activos informticos cubren los objetivos de la
organizacin.
Asegurar la entrega de los niveles de servicio requeridos para cumplir los objetivos de la organizacin
COBIT
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control
COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
Beneficios de Cobit
*Mantener la informacin de alta calidad para apoyar las decisiones de negocio.
*Lograr los objetivos estratgicos y obtener los beneficios de negocio a travs del uso efectivo e
innovador de TI.
*Lograr la excelencia operativa a travs de la aplicacin eficaz y fiable de la tecnologa.
*Mantener riesgos relacionados con TI a un nivel aceptable.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
COSO
AICPA COSO (Comit de Organizaciones Patrocinadoras de la Comisin de normas)
Es un esfuerzo por redefinir el concepto de control interno utilizado por auditores internos y externos,
e intervinieron diversas organizaciones, entre las que se destacan el AICPA, (Asociacin
interamericana de CPA, el AAA Asociacin Americana de Auditores y el IIA, Instituto de Auditores
Internos.
Se desarrolla en cinco ejes principales:
1. Ambiente de control
2. Evaluacin de riesgos
3. Actividades de control
4. Informacin y comunicacin
5. Supervisin y seguimiento
Ventajas de coso
Permite a la direccin de la empresa poseer una visin global del riesgo y accionar los planes para
su correcta gestin.
Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, as como los
riesgos asumidos y los controles puestos en accin.
PDCA
Crculo de Deming.
La ISO/IEC 27001 por lo tanto incorpora el tpico Plan-Do-Check-Act (PDCA) que significa
"Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de
seguridad de la informacin y la seleccin de controles adecuados .
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo
(eficiencia y eficacia) del SGSI.
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta
el SGSI a mximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estndares publicados
por la International Organization for Standardization (ISO) y la International Electrotechnical
Commission (IEC). JJO tambin define normas estandarizadas de distintos SGSI.
Otros SGSI
TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente
reducido
ISM3: Information Security Management Maturity Model (ISM3) (conocida como ISMcubed o ISM3) est construido en estndares como ITIL, ISO 20000, ISO 9001, CMM,
ISO/IEC 27001, e informacin general de conceptos de seguridad de los gobiernos ISM3
puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC
27001 est basada en controles. ISM3 est basada en procesos e incluye mtricas de
proceso.