1

http://usuarios.multimania.es/elsitio10/trab_auditoria.pdf

Unidad 1 Introduccin a la auditoria informtica 1.1 Conceptos Auditoria y Auditoria Informatica La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditora, la expresin se utiliza generalmente para designar a la auditora externa. La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin protege el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los objetivos de la auditora Informtica son: * El control de la funcin informtica * El anlisis de la eficiencia de los Sistemas Informticos * La verificacin del cumplimiento de la Normativa en este mbito * La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad Generalmente se puede desarrollar en alguna o combinacin de las siguientes areas: - Gobierno corporativo - Administracin del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Proteccin y Seguridad - Planes de continuidad y Recuperacin de desastres

1.2 Tipos de Auditoria Auditoria fiscal. Auditoria contable ( de estados financieros ). Auditoria interna. la lleva acabo un departamento dentro de la organizacion y existe una relacion laboral. Auditoria externa. no existe relacion laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria operaciona: es la valoracion independiente de todas las operaciones de una empresa, en forma anlitica objetiva y sistematica, para determinar si se lleva a cabo politicas y procedimientos aceptables, si se siguen las normas establecidas y si se utilizan los recursos de manera eficaz y economica. Auditoria administrativa. (william. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institucion o departemento gubernamental o de cualquier otra entidad y de sus metodos de control, medios de operacin y empleo que de a sus recursos humanos y materiales. Auditoria integral. Es la evaluacion multidisciplinaria, independiente y con enfoque de sistemas del grado y forma de cumplimientos de los objetivos de una organziacin, de la relacion con su entorno, asi como de sus operaciones, con el objeto de proponer alternativas para el logro ms adecuado de sus fines y/o el mejor aprovechamiento de sus recursos Auditoria gubernamental. Auditoria Financiera: Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador publico, cuya conclusin es un dictamen a cerca de la correccin de los estados financieros de la empresa. Auditoria interna: Proviene de la auditoria financiera y consiste en: una actividad de evaluacin que se desarrolla en forma independiente dentro de una organizacin, a fin de revisar la contabilidad, las finanzas y otras operaciones como base de un servicio protector y constructivo para la administracin. En un instrumento de control que funciona por medio de la medicion y evaluacin de la eficiencia de otras clases de control, tales como: procedimientos; contabilidad y demas registros; informes financieros; normas de ejecucin etc.

Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcion o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el area de estudio, con el objeto de asegurar a la administracin, que sus objetivos se cumplan, y determinar que condiciones pueden mejorarse. A continuacin se dan algunos ejemplos de la autoridad de operaciones:
y y

Evaluacin del cumplimiento de polticas y procedimientos. Revisin de practicas de compras.

Auditoria administrativa:Es un examen detallado de la administracin de un organismo social realizado por un profesional de la administracin con el fin de evaluar la eficiencia de sus resultados, sus metas fijadas con base en la organizacin, sus recursos humanos, financieros, materiales, sus metodos y controles, y su forma de operar. Auditoria fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fisico ( SHCP ), direcciones o tesorerias de hacienda estatales o tesorerias municipales. Auditoria de resultados de programas: Esta auditoria la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas, en relacion con el avance del ejercicio presupuestal. Auditoria de legalidad: Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha observado el cumplimiento de disposiciones legales que sean aplicables ( leyes, reglamentos, decretos, circulares, etc ) Auditoria integral: Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economias, eficacia y eficiencia. CLASIFICACION DE LAS NORMAS DE AUDITORIA. Las normas de auditoria de estados financieros se clasifican en normas personales, normas de ejecucin del trabajo y normas de informacin. NORMAS PERSONALES. Las normas personales se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carcter profesional de la auditoria impone, un trabajo de este tipo. Dentro de estas normas existen cualidades que el auditor debe tener preadquiridas antes de poder asumir un trabajo profesional de auditoria y cualidades que debe mantener durante el desarrollo de toda su actividad profesional. Entrenamiento tcnico y capacidad profesional. El trabajo de auditoria, cuya finalidad es la de rendir una opinon profesional independiente, debe ser desempeado por personas que,

teniendo titulo profesional legalmente expedido y reconocido, tengan entrenamiento tcnico adecuado y capacidad profesional como auditores. Cuidado y diligencia profesionales. El auditor esta obligado a ejercitar cuidado y diligencia razonables en la realizacin de su examen y en la preparacin de su dictamen o informe. Independencia. El auditor esta obligado a mantener una actitud de independencia mental en todos los asuntos relativos a su trabajo profesional. NORMAS DE EJECUCIN DEL TRABAJO. Al tratar de las normas personales, se sealo que el auditor esta obligado a ejecutar su trabajo con cuidado y diligencia. Aun cuando es difcil definir lo que en cada tarea puede representar un cuidado y diligencia adecuados, existen ciertos elementos que, por su importancia, deben ser cumplidos. Estos elementos bsicos, fundamentales en la ejecucin de trabajo, que constituyen la especificacin particular, por lo menos al minimo indispensable, de la exigencia de cuidado y diligencia, son los que constituyen las normas denominadas de ejecucin del trabajo. Planeacion y supervisin. El trabajo de auditoria deber ser planeado adecuadamente y, si se usan ayudantes, estos deben ser supervisados en forma apropiada. Estudio y evaluacin del control interno. El auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va depositar en el; asimismo, que le permita determinar la naturaleza, extensin y oportunidad que va dar procedimientos de auditoria. Obtencin de evidencia suficiente y competente. Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia comprobatoria suficiente y competente en el grado que requiera suministrar una base objetiva para su opinin. NORMAS DE INFORMACIN. El resultado final del trabajo del auditor es su dictamen o informe. Mediante el, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinin que se ha formado a traves de su examen. El dictamen o informe del auditor es en lo que va a reposar la confianza de los interesados en los estados financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la situacin financiera y los resultados de operaciones de la empresa. Por ultimo es, principalmente, a traves del informe o dictamen, como el publico y el cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la unica parte, de dicho trabajo, que queda a su alcance.

En todos los casos en que el nombre de un contador publico quede asociado con estados o informacin financiera debera expresar de manera clara e inequvoca la naturaleza de su relacion con dicha informacin, su opinin sobre la misma y, en su caso, las limitaciones importantes que haya tenido su examen, las salvedades que se deriven de ellas o todas las razones de importancia por las cuales expresa una opinin adversa o no puede expresar una opinin profesional a pesar de haber hecho un examen.

1.2.1 Auditoria Interna y Externa Auditoria Externa Aplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin examinado con el fin de acompaar al mismo una opinin independiente que le d

autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor. Una auditora debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente experta a cerca de los resultados de auditora, basndose en el hecho de que su opinin ha de acompaar el informe presentado al trmino del examen y concediendo que pueda expresarse una opinin basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigacin. Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinacin de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable. Auditora Interna La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. Cuando la auditora est dirigida por Contadores Pblicos profesionales independientes, la opinin de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del Pblico.

La auditora interna es un servicio que reporta al ms alto nivel de la direccin de la organizacin y tiene caractersticas de funcin asesora de control, por tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin de los que forman parte de la planta de la oficina de auditora interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta direccin toma las medidas necesarias para su mejor funcionamiento. La auditora interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organizacin a la cual presta sus servicios, pues como se dijo es una funcin asesora. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditora Interna y la Auditora Externa, algunas de las cuales se pueden detallar as: En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditora Externa la relacin es de tipo civil. En la Auditora Interna el diagnstico del auditor, esta destinado para la empresa; en el caso de la Auditora Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad legal de dar Fe Pblica.

1.3 CampoAuditoriaInformatica REAS DE APLICACIN DE LA AUDITORIA INFORMTICA Algunos campos de aplicacin de la informtica son las siguientes: Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones: Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera.

Cartografa. Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son: Documentacin cientfica y tcnica. Archivos automatizados de bibliotecas. Bases de datos jurdicas. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades: Contabilidad. Facturacin. Control de existencias. Nminas. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como: Reconocimiento del lenguaje natural. Programas de juego complejos (ajedrez). Instrumentacin y control: Instrumentacin electrnica, electromedicina, robots industriales, entre otos. OTRAS APLICACIONES Otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imgenes. Disponible en la pagina de

1.4 CONTROL INTERNO Definiciones El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. (Auditora Informtica - Aplicaciones en Produccin Jos Dagoberto Pinilla) El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un

sistema para conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G. Plattini) Tipos En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc. Los controles segn su finalidad se clasifican en: Controles Preventivos, para tratar de evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Objetivos principales: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica interna/externa Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informticos. Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades que se realizan. Control interno informtico (funcin) El Control Interno Informtico es una funcin del departamento de Informtica de una organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones especficas estn: Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin

10

Seguridad Informtica Licencias de software Relaciones contractuales con terceros Cultura de riesgo informtico en la organizacin Control interno informtico (reas de aplicacin) controles generales organizativos Son la base para la planificacin, control y evaluacin por la Direccin General de las actividades del Departamento de Informtica, y debe contener la siguiente planificacin: Plan Estratgico de Informacin realizado por el Comit de Informtica. Plan Informtico, realizado por el Departamento de Informtica. Plan General de Seguridad (fsica y lgica). Plan de Contingencia ante desastres. Controles de desarrollo y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones. Controles de explotacin de sistemas de informacin Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del hardware as como los procedimientos de, instalacin y ejecucin del software. Controles en aplicaciones Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestin de base de datos Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informticos sobre redes Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organizacin sean estas centrales y/o distribuidos. Controles sobre computadores y redes de rea local Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como del software de usuario, as como la seguridad de los datos que en ellos se procesan.

11

1.6 Principio Aplicados Auditores Informaticos INCIPIO DE BENEFICIO DE AUDITADO El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima. En ningn caso est justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deber considerarse como no tica. Para garantizar le beneficio del auditado como la necesaria independencia del auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente. La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas intrnsecas. nicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podr proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informtico globalmente contemplado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la que ha sido diseado. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dainas o que generen riesgos injustificados para el auditado. Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del auditor. Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos deberas poder tener acceso a los informes de los trabajos profesionales, stos deberan poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. PRINCIPIO DE CALIDAD En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en el que la precariedad de medios puestos a su disposicin impidan o dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser

12

extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin personal pudiera provocar el incumplimiento parcial o total de la misma. Conviene indicar que en los casos de producirse, por el contrario, una subestimacin de su capacidad de su capacidad profesional, esta circunstancia podra afectar negativamente en la confianza del auditado sobre el resultado final de la auditora. A efectos de garantizar, en la medida de lo posible, la pertinencia de sus conocimientos, el auditor deber procurar que stos evolucionen, al unsono con el desarrollo de las tecnologas de la informacin, en una forma dinmica. Es deseable que se fortalezca la certificacin profesional de la aptitud de los auditores para realizar unos trabajos de ndole tan compleja. Esta certificacin que deber tener a plazo de validez acorde con la evolucin de las nuevas tecnologas de la informacin de la informacin, debera estar validada y garantizada por la metodologa empleada para acreditar dicha especializacin. PRINCIPIO DE CAUTELA El auditor en todo momento debe ser consiente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologas de informacin e informar al auditado de su previsible evolucin, no es menos cierto que deben evitar la tentacin de creer que, gracias a sus conocimientos, puede aventurar, con un casi absoluto grado de certeza. Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la impresin de estar al corriente de una informacin privilegiada sobre el estado real de la evolucin de los proyectos. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios. El comportamiento profesional exige del auditor una seguridad en sus conocimientos tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no solicitadas por l, de profesionales de otras reas, en temas relacionadas o que puedan incidir en el resultado da la auditora. El auditor debe asimismo guardar un escrupuloso respecto por la

13

poltica empresarial del auditado, aunque sta difiera ostentablemente de las del resto el sector en las que desarrolla su actividad. Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos ficticios, encubran comportamientos no profesionales o den publicidad a metodologas propias o ajenas insuficientemente contrastadas y garantizadas. PRINCIPIO DE CONCENTRACION EN EL TRABAJO En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. A este efecto, el auditor deber sopesar las posibles consecuencias de una acumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no tengan tiempo de realizar con las debidas garantas de calidad. Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados como colofn de nuevas auditoras. Por el contrario, si es admisible el que, una vez analizados en profundidad los aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya que este modo de actuar permite detectar posibles omisiones en el estudio. Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa atencin durante la ejecucin de la auditora. PRINCIPIO DE CONFIANZA El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Este principio requiere mismismo, por parte del auditor, el mantener una confianza en las indicaciones del auditado aceptndolas sin reservas como vlidas. El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al nivel de comprensin del auditado, descendiendo y detallando cuando haga falta en su explicacin debiendo solicitar, cuando lo considere necesario, la presencia de alguno de los colaboradores de confianza de su cliente. PRINCIPIO DE CRITERIO PROPIO El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. La defensa a ultranza del propio criterio no es bice para respetar las crticas adversas de terceros, aunque el auditor debe evitar que, si una vez analizadas contina discrepando de las mismas, stas pueden seguir influyendo en su trabajo, ya que la libertad de criterio

14

impone al auditor la obligacin de tica de actuar en todo momento. Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos en que llegue al convencimiento de que la actividad que se solicita, presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora. De igual forma cuando el auditor observe que, de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la continuidad de sus servicios en funcin de las razones y causas que considere puedan justificar dicho proceder. PRINCIPIO DE DISCRECIN El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados. En las recomendaciones y conclusiones realizadas en base a su trabajo deber as mismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados. PRINCIPIO DE FORMACIN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. El auditor como integrante de un grupo profesional beber promover el respeto mutuo y la no confrontacin entre compaeros. En sus relaciones profesionales beber exigir as mismo una reciprocidad en el comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando as se le soliciten. PRINCIPIO DE INDEPENDENCIA Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Esta

15

independencia implica as mismo el rechazo de criterios con los que no este plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que considere pertinentes evitando incluir en el mismo aquellos otros que segn su entender pudieran producir perjuicios al auditado, aunque este as se lo solicite. PRINCIPIO DE INFORMACIN SUFICIENTE Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, como sobre las conclusiones a las que a llegado. Es importante asimismo que la informacin transmitida al auditado ponga de manifiesto una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben estar reidas con los principios de suficiencia informativa y de veracidad evitando recrear los aspectos negativos o los errores humanos detectados que deben quedar reflejados con un cierto tacto profesional. PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas. PRINCIPIO DE LEGALIDAD La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo. PRINCIPIO DE LIBRE COMPETENCIA La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. PRINCIPIO DE NO DISCRIMINACIN El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse. PRINCIPIO DE NO INJERENCIA El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Deber igualmente

16

evitar aprovechar los datos obtenidos de la auditoria para entrar en competencia desleal con profesionales relacionados con ella de otras reas del conocimiento. PRINCIPIO DE PRECISIN Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario. En la exposicin de sus conclusiones deber ser suficientemente critico, no eludiendo poner de manifiesto aquellos aspectos concretos que considere puedan tener una incidencia en la calidad y fiabilidad de la auditoria. Es exigible asimismo del auditor que indique como evaluado nicamente aquello que directamente, o por medio de sus colaboradores, haya comprobado u observado de forma exhaustiva. PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios. PRINCIPIO DE RESPONSABILIDAD El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuacin profesional. La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o perjuicios que pudieran derivarse de una actuacin negligente o culposa. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. Este principio obliga primero a no difundir a terceras personas ningn dato que haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente. Establecimiento de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la informacin documentada, obtenida a lo largo de la auditoria, va a

17

quedar almacenada en entornos o soportes que impidan la accesibilidad a la misma por terceras personas no autorizadas. PRINCIPIO DE SERVICIO PUBLICO La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. Deber poner de manifiesto sus opciones personales cuando entren en contradiccin con la tica social que el auditado pueda presumir que esta implcitamente aceptada por el auditor. Exige una continua elevacin del arte de la ciencia en el campo de la auditoria informtica. PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado debera tener siempre presente la obligacion de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccion, y secreto profesional. El principio de veracidad no debe, sin embargo, considerarse como constreido a expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidad como para ser considerado como veraz mientras no se aporten datos o pruebas que demuestren lo contrario. La aplicacin de este principio exige al auditor, en el marco de su obligacin de informar al auditado sobre el trabajo realizado, comunique a este ultimo sus conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la fundamentacin de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligacin de informar verazmente. 1.7 Responsabilidades De Administradores Y Auditor Recordemos que un auditor informtico es un profesional especializado en ramas de la auditora informtica, principalmente dedicado al anlisis de sistemas de informacin, que tiene conocimientos generales de los mbitos en los que sta se mueve, adems de contar con conocimientos empresariales generales. El auditor puede actuar como consultor con su auditado, dndole ideas de cmo enfocar la construccin de los elementos de control y administracin que le sean propios. Adems, puede actuar como consejero con la organizacin en la que est desarrollando su labor. Un entorno informtico bien controlado puede ser ineficiente si no es consistente con los objetivos de la organizacin. El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben contemplar las siguientes caractersticas de un perfil profesional adecuado y actualizado: 1) Se deben poseer una mezcla de conocimientos de auditora financiera y de informtica en general. En el rea informtica, se debe tener

18

conocimientos bsicos de: Desarrollo de SI (administracin de proyectos, ciclo de vida de desarrollo) Administracin del Departamento de Informtica Anlisis de riesgos en un entorno informtico Sistemas operativos Telecomunicaciones Administracin de Bases de Datos Redes locales Seguridad fsica Operacin y planificacin informtica (efectividad de las operaciones y rendimiento del sistema) Administracin de seguridad de los sistemas (planes de contingencia) Administracin del cambio Administracin de Datos Automatizacin de oficinas (ofimtica) Comercio electrnico Encriptacin de datos 2) Especializacin en funcin de la importancia econmica que tienen distintos componentes financieros dentro del entorno empresarial; Por ejemplo, en un entorno financiero pueden tener mucha importancia las comunicaciones, por lo que se debe tener una especializacin en esa rama. 3) Debe conocer tcnicas de administracin de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4) Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad. Es responsable de realizar las siguientes actividades para la funcin de la Auditora Informtica: Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. Diagnstico del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa Tambin el auditor informtico es responsable de establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo de control interno. Despus de que los objetivos de auditora se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisin para determinar las reas que requieran correcciones o mejoras. Adems de analizar el grado de implantacin y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dndole ideas de cmo establecer

19

procedimientos de seguridad, control interno, efectividad y eficacia, medicin del riesgo empresarial, entre otros. Organizacin de la funcin de Auditora Informtica La funcin de la auditora informtica se ha convertido en una funcin que desarrolla un trabajo ms acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser auditor y consultor de empresas en materias de: Seguridad Control interno operativo Eficiencia y eficacia Tecnologas de Informacin Continuidad de operaciones Administracin de riesgos No solamente de los SI objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial. La organizacin de la auditora informtica debe contemplar los siguientes principios: Su localizacin puede estar ligada a la auditora interna operativa y financiera (aunque exista una coordinacin lgica entre ambos departamentos), con independencia de objetivos, planes de formacin y presupuestos. Debe ser un grupo independiente del de auditora interna, con acceso total a los SI y dems tecnologa, que depende de la misma persona que la auditora interna (Director General o Consejero) La dependencia debe ser del mximo responsable de la organizacin, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de auditora y ofrecer conclusiones y recomendaciones. Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formacin en auditora y organizacin y con perfil informtico (especialidades). La organizacin interna de la funcin podra ser: Jefe de departamento de auditora informtica. Desarrolla el plan operativo, las descripciones de puesto del personal a su cargo, la planeacin a corto plazo, mtodos de administracin de programas de trabajo, evala la capacidad del personal a su cargo Gerente o supervisor de auditora informtica. Trabaja estrechamente con el Jefe de de departamento en las tareas operativas diarias. Ayuda en la evaluacin de riesgos de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. Es responsable junto con su jefe de la obtencin del mejor resultado del trabajo para el auditado. Auditor informtico. Es el responsable de la ejecucin directa del trabajo. Debe tener una especializacin genrica pero tambin una especfica. Obtiene informacin, realiza pruebas, documenta el trabajo y ofrece un diagnstico de resultados. El tamao slo se puede precisar en funcin de los objetivos, pero se debera cubrir lo siguiente: Especialista en el entorno informtico a auditar y en administracin de bases de datos Especialista en

20

comunicaciones y redes Responsable de administracin de riesgo operativo y aplicaciones Responsable de la auditora de SI, tanto en explotacin como en desarrollo Especialista para la elaboracin de programas de trabajo en conjunto con la Auditora Financiera ********************** http://html.rincondelvago.com/auditoria-interna.html

1.4. DIFERENCIA ENTRE AUDITORA INTERNA Y EXTENA

Concepto 1) Sujeto

Auditora Interna Empleado ( Evitar que traslade informacin a otros sitios) Fcn: SALVAGUARDA EMP. Limitada: El auditor interno no se limita exclusivamente a dar un informe de todo sino que se dedica a evaluar las peticiones de la direccin o del consejo. ESTA OBLIGADO A SEGUIR UN PROGRAMA Laboral Examen de gestin ( =Toda actuacin que se realice sobre activos o pasivos de la empresa) El sentido de activo o pasivo debe tomarse como se consideran desde el derecho mercantil.

Auditora Externa Profesional Independiente: se fija solo en la imagen fiel ( legislacin vigente ) Su Fcn es EVALUAR EMP. Total: Est sujeto a las directrices tcnicas de auditora. Penal: El informe del auditor tiene consecuencias jurdicas Examen de la situacin financiera para dar opinin Accionistas o Consejo de Administracin:con carcter obligatorio si lo obliga la ley o con carcter optativo si lo desea la empresa. Se acompaa a las cuentas anuales y se da a conocer en la junta general en junio aproximadamente. Va dirigido a la empresa y al pblico en general. Necesidad para cotizar en bolsa y emitir todo tipo de valores

2) Grados de independencia

3) Responsabilidad

4) Objetivo

5) Informe emitido

Dirigido a la gerencia, direccin y/o Consejo de Administracin. Puede hacerse para cualquier tipo de empresa

6) Uso del Informe

Va dirigido exclusivamente a la empresa ( Su transmisin tiene carcter penal )

HTTP://ES.SCRIBD.COM/DOC/19505290/AUDITORIA-INFORMATICA

HTTP://ES.SCRIBD.COM/DOC/19505290/AUDITORIA-INFORMATICA

21

AU DI TORI A E N I N F ORM ATI C A

auditoria interna y externa

La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,

22

Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico. En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados. Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa. Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa. La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.
P U B L I C A D O P O R A U D I T O R IA S EN 1 4 : 1 5