REPÚBLICA BOLIVARIANA DE VENEZUELA

INSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”

EXTENSIÓN CARACAS

UNIDAD I: AUDITORÍA INFORMÁTICA

Integrante:

Kelly Orta, C.I.: V-17.142.213

Materia:

Auditoría y Evaluación de Sistemas

Caracas, julio de 2015

2

AUDITORÍA INFORMÁTICA

Auditoría La auditoría es la evaluación y/o inspección sistemática que hace una persona o grupo de personas a los procesos de trabajo en una organización con el fin de verificar si la misma ha utilizado de manera eficiente y eficaz sus recursos y reflejar la realidad de su gestión de acuerdo a sus normas y políticas internas. Una auditoría puede ser interna o externa. Auditor El auditor es una persona capacitada con suficiente experiencia y criterio para evaluar los procesos de una organización y corroborar que la información dada por la misma, cumpla realmente con las actividades que desarrolla. Un auditor puede ser interno o externo. Antecedentes Históricos de la Auditoría

1200 1284: Se estima que el verdadero nacimiento de la auditoría fue a finales del siglo XV, cuando nobles, ricos y familias pudientes de España, Inglaterra, Holanda, Francia y los demás países poderosos de ese entonces, recurrían a los servicios de revisores de cuentas, quienes se encargaban de revisar las cuentas manejadas por los administradores de sus bienes, y se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.

1400 1492: El descubrimiento de América contribuyó también al crecimiento de la actividad de la auditoría, pues la Corona envió visitadores a revisar las cuentas y resultados de sus colonias; dichos visitadores supervisaban que el registro y manejo de las cuentas fueran correctos y emitían una opinión sobre la actuación de los encargados. En México, los virreyes representaban a la Corona y los visitadores venían a revisar el manejo de los tesoros, las recaudaciones, los gastos y la forma en que sus encargados gobernaban en la Nueva España. Igual ocurrió en sus otras colonias de América.

1800

Otro posible origen lo representaron los auditores eclesiásticos de la Rota Romana, a través de tribunales pluripersonales, compuestos por 12 eclesiásticos: ocho italianos, dos españoles, un alemán y un francés. A mediados del siglo XIX, la Ley de Empresas del Reino Unido de Inglaterra, que impuso la obligación de ejecutar auditorías a los resultados financieros,

3

el balance general, los registros contables y las actividades financieras de las empresas públicas. Dicha costumbre, aunque no fue de carácter impositivo en Estados Unidos, también se adoptó en las empresas de ese país, y se hizo extensiva a los contadores norteamericanos, quienes tuvieron que admitir una práctica similar, principalmente por los requisitos y disposiciones emitidos por la Comisión de Valores y Bolsa, los cuales solicitaban a los auditores independientes que dictaminaran sobre los estados de resultados de las empresas que cotizaban en la Bolsa de Valores de ese entonces. Algunos antecedentes más recientes aparecen con la Revolución Industrial, a partir de la séptima década de 1800; en ese entonces, algunas empresas habían alcanzado gran auge en las actividades fabriles y mercantiles, lo cual trajo consigo un notable crecimiento en sus operaciones; obviamente, aumentó también la necesidad de registrar las operaciones contables, y con ello se hizo casi indispensable la existencia de la profesión de contador para satisfacer esa creciente necesidad. 1894: se conocieron los auditores de la Marina y Guerra, a quienes se les considera como los responsables del cumplimiento de las leyes y principios de esta disciplina.

1900

1912: en el Instituto de Contadores Públicos de España, surge en forma colegiada la actividad del auditor, la cual tuvo una duración muy efímera. 1932: T. G. Rose, consultor inglés en el Instituto de Administración Industrial, expuso la tesis “[...] Independientemente de la utilidad de la auditoría financiera, también es útil la auditoría administrativa...” 1932: James McKinsey llega a la conclusión de que la empresa tenía que hacer periódicamente una autoauditoría, la cual consistiría en una evaluación de la empresa en todos los aspectos. 1945: el Instituto de Auditores Internos, en Estados Unidos, proporcionó los primeros escritos sobre lo que sería la auditoría de operaciones, tratando en una discusión de “expertos” lo referente al alcance de la auditoría interna de operaciones técnicas. 1950: Jackson Martindell, fundador del American Institute of Management, desarrolló uno de los primeros programas de auditoría administrativa, con un procedimiento de control directo y un sistema de evaluación, el cual se publicó en su libro Apreciación de la gerencia para ejecutores e inversionistas. 1955: Larke A. G. planteó la necesidad de llevar a cabo autoauditorías para las pequeñas empresas, con el fin de evaluar su forma de actuar.

1962: Willian P. Leornard realizó un estudio completo de la auditoría administrativa. En éste trata los métodos para iniciar, organizar, interpretar y presentar una revisión de carácter administrativo. 1968: Rigg F. J., autor británico, desarrolló en su país un moderno enfoque de la auditoría administrativa, cuya aplicación se extendió a través de su

4

obra The Management Audit, the Internal Auditor. 1969: Langenderfer H. Q. y Robertson J. C. exploraron brevemente el problema de la definición y cuestión de una exposición detallada de la auditoría administrativa. Propusieron también una estructura teórica para extender la función de la auditoría a todos los ámbitos de la empresa, buscando con ello abarcar las auditorías independientes de gerencias. 1970: Keith D. y Bloomstrom R. exponen que las auditorías administrativas se han desarrollado a través de los años como una forma de evaluar la eficiencia y la eficacia de varios sistemas de una organización, los cuales van desde la responsabilidad administrativa hasta su preocupación social. 1980: Whitmore G. M. expone que la auditoría administrativa se utiliza para apoyar a los funcionarios públicos y gerentes de empresas privadas. Los aspectos que señala principalmente sobre el uso de esta técnica en el ámbito gubernamental, son las estrategias y los pasos necesarios para la conducción de una auditoría administrativa, haciendo énfasis en sus ventajas. 1983: Spencer Hayden expuso la necesidad de evaluar los procedimientos administrativos y de aplicar las correcciones necesarias para lograr una máxima eficiencia en las actividades futuras. También abundó sobre un procedimiento propio de la auditoría, el tratamiento con detalle del tema de la consultoría administrativa, y enfocó a esta auditoría dentro del camino al cambio organizacional. 1984: Robert J. Thierauf habló sobre la auditoría administrativa como una técnica utilizada para evaluar las áreas operacionales de una organización, enfocando su trabajo desde el punto de vista administrativo.

Clasificación de los Tipos de Auditorías La clasificación que se propone está integrada por el siguiente cuadro:

Auditorías por su lugar de aplicación

• Auditoría externa: Es la revisión independiente que realiza un profesional de la auditoría, con total libertad de criterio y sin ninguna influencia, con el propósito de evaluar el desempeño de las actividades, operaciones y funciones que se realizan en la empresa que lo contrata, así como de la razonabilidad en la emisión de sus resultados financieros. La relación de trabajo del auditor es ajena a la institución donde se aplicará la auditoría y esto le permite emitir un dictamen libre e independiente.

• Auditoría interna: Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la misma, con el propósito de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se desarrollan en la empresa y sus áreas administrativas, así como evaluar la razonabilidad en la emisión de sus resultados financieros. El objetivo final

5

es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.

Auditorías por su área de aplicación

• Auditoría financiera: Es la revisión sistemática, explorativa y crítica que realiza un profesional de la contabilidad a los libros y documentos contables, a los controles y registros de las operaciones financieras y a la emisión de los estados financieros de una empresa, con el fin de evaluar y opinar sobre la razonabilidad, veracidad, confiabilidad y oportunidad en la emisión de los resultados financieros obtenidos durante un periodo específico o un ejercicio fiscal. El propósito final es emitir un dictamen contable sobre la correcta presentación de los resultados financieros a los accionistas, clientes, autoridades fiscales y terceros interesados, en relación con las utilidades, pago de impuestos y situación financiera y económica de la institución.

• Auditoría administrativa: Es la revisión sistemática y exhaustiva que se realiza a la actividad administrativa de una empresa, en cuanto a su organización, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones. Su propósito es evaluar tanto el desempeño administrativo de las áreas de la empresa, como la planeación y control de los procedimientos de operación, y los métodos y técnicas de trabajo establecidos en la institución, incluyendo la observancia de las normas, políticas y reglamentos que regulan el uso de todos sus recursos.

• Auditoría operacional: Es la revisión exhaustiva, sistemática y específica que se realiza a las actividades de una empresa, con el fin de evaluar su existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo de sus operaciones, cualesquiera que éstas sean, tanto en el establecimiento y cumplimiento de los métodos, técnicas y procedimientos de trabajo necesarios para el desarrollo de sus operaciones, en coordinación con los recursos disponibles, como en las normas, políticas, lineamientos y capacitación que regulan el buen funcionamiento de la empresa.

• Auditoría integral: Es la revisión exhaustiva, sistemática y global que realiza un equipo multidisciplinario de profesionales a todas las actividades y operaciones de una empresa, con el propósito de evaluar, de manera integral, el correcto desarrollo de las funciones en todas sus áreas administrativas, cualesquiera que éstas sean, así como de evaluar sus resultados conjuntos y relaciones de trabajo, comunicaciones y procedimientos interrelacionados que regulan la realización de las actividades compartidas para alcanzar el objetivo institucional; dicha revisión se lleva a cabo también a las normas, políticas y lineamientos sobre el uso de todos los recursos de la empresa.

• Auditoría gubernamental: Es la revisión exhaustiva, sistemática y concreta que se realiza a todas las actividades y operaciones de una entidad gubernamental, cualquiera que sea la naturaleza de las dependencias y

6

entidades de la Administración Pública Federal. Esta revisión se ejecuta con el fin de evaluar el correcto desarrollo de las funciones de todas las áreas y unidades administrativas de dichas entidades, así como los métodos y procedimientos que regulan las actividades necesarias para cumplir con los objetivos gubernamentales, estatales o municipales; también se lleva a cabo en la aplicación y cumplimiento de presupuestos públicos, programas, normas, políticas y lineamientos que regulan la participación de los recursos de la entidad en la prestación de servicios a la sociedad.

• Auditoría de sistemas: Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa.

Auditorías especializadas en áreas específicas

• Auditoría al área médica (evaluación médico-sanitaria): Es la evaluación sistemática, exhaustiva y especializada que se realiza a las ciencias médicas y de la salud, aplicada sólo por especialistas de disciplinas médicas o similares, con el fin de emitir un dictamen especializado sobre el correcto desempeño de las funciones y actividades del personal médico, paramédico, técnicos en salud y similares, así como sobre la atención que las dependencias y el personal de esta especialidad prestan a pacientes, familiares y proveedores.

• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería): Es la revisión técnica especializada que se realiza a la edificación de construcciones, cimientos, obra negra, acabados y servicios urbanísticos complementarios de casas, edificios, puentes, caminos, presas y cualquier otro tipo de construcción, ya sea de tipo civil y/o arquitectónico; dicha revisión se realiza también a los planos, presupuestos, adquisiciones, cálculos y programas de obra, así como al cumplimiento y desarrollo de las mismas. Su propósito es emitir un dictamen especializado sobre la correcta aplicación de las técnicas, cálculos, métodos y procedimientos de la ingeniería civil y la arquitectura.

• Auditoría fiscal: Es la revisión exhaustiva, pormenorizada y completa que se realiza a los registros y operaciones contables de una empresa, así como la evaluación de la correcta elaboración de los resultados financieros de un

7

ejercicio fiscal, con el propósito de dictaminar sobre el correcto ejercicio financiero y la razonabilidad en la presentación de los estados de resultados y, como consecuencia de ello, comprobar el correcto pago de los impuestos y demás contribuciones tributarias, tanto de la empresa como de sus empleados, acreedores y compradores.

• Auditoría laboral: Es la revisión y evaluación especializadas que se realizan a las actividades, funciones y operaciones relacionadas con el factor humano de una empresa; su propósito es dictaminar sobre el adecuado cumplimiento en la selección, capacitación y desarrollo del personal, la correcta aplicación de las prestaciones sociales y económicas, el establecimiento de las medidas de seguridad e higiene en la empresa, la elaboración de los contratos colectivos e individuales de trabajo, los reglamentos internos de trabajo, normas de conducta y demás actividades que intervienen en la gestión de personal de una empresa.

• Auditoría de proyectos de inversión: Es la revisión y evaluación que se realizan a los planes, programas y ejecución de las inversiones de los recursos económicos de una institución pública o privada, con el propósito de dictaminar sobre el uso y control correctos de esos recursos, evaluando que su aplicación sea exclusivamente para cumplir el objetivo del proyecto. Dicha revisión se realiza también a la ejecución y control de los presupuestos, a la adquisición y uso de recursos conforme a las normas y al cumplimiento correcto de las demás actividades especializadas del ejercicio presupuestal.

• Auditoría a la caja chica o caja mayor (arqueos): Es la revisión periódica del manejo del efectivo que se asigna a una persona o área de una empresa, y de los comprobantes de ingresos y egresos generados por sus operaciones cotidianas; dicha revisión se lleva a cabo con el fin de verificar el adecuado manejo, control y custodia del efectivo disponible para gastos menores, así como de evaluar el uso, custodia y manejo correctos de los Conceptos generales 21 fondos de la empresa. Por lo general, estas revisiones se realizan en forma periódica y de manera exhaustiva, dependiendo del monto asignado.

• Auditoría al manejo de mercancías (inventarios): Es la revisión física que se realiza a través del conteo (inventarios) de los bienes, productos y materias primas, intermedias o de consumo final de una empresa, los cuales se encuentran almacenados para su consumo final o para su distribución a clientes y terceros; su propósito es verificar que las existencias físicas concuerden con los registros contables, con los justificantes de las salidas y entradas y con las incidencias de éstas, así como verificar el correcto manejo y control de las entradas, salidas, registros y ajustes necesarios que se hacen conforme a las características y políticas de la institución.

• Auditoría ambiental: Es la evaluación que se hace de la calidad del aire, la atmósfera, el ambiente, las aguas, ríos, lagos y océanos, así como de la conservación de la flora y la fauna silvestres, con el fin de dictaminar sobre

8

las medidas preventivas y, en su caso, correctivas que disminuyan y eviten la contaminación provocada por los individuos, las empresas, los automotores y las maquinarias, y así preservar la naturaleza y mejorar la calidad de vida de la sociedad.

• Auditoría de sistemas: Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa.

Auditoría de sistemas computacionales

• Auditoría informática: Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa.

• Auditoría con la computadora: Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes. La principal característica de este tipo de auditoría es que, sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para la evaluación de las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoría.

• Auditoría sin la computadora: Es la auditoría cuyos métodos, técnicas y

9

procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y validez de las transacciones económicas, administrativas y operacionales de un área de cómputo, y en sí de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas computacionales. Es también la evaluación tanto a la estructura de organización, funciones y actividades de funcionarios y personal de un centro de cómputo, así como a los perfiles de sus puestos, como de los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes, programas y presupuestos en dicho centro, así como del uso y aprovechamiento de los recursos informáticos para la realización de actividades, operaciones y tareas. Asimismo, es la evaluación de los sistemas de seguridad y prevención de contingencias, de la adquisición y uso del hardware, software y personal informático, y en sí de todo lo relacionado con el centro de cómputo, pero sin el uso directo de los sistemas computacionales.

• Auditoría a la gestión informática: Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo, tales como la planeación, organización, dirección y control de dicho centro. Esta auditoría se realiza también con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las áreas de sistematización, así como para revisar y evaluar las operaciones del sistema, el uso y protección de los sistemas de procesamiento, los programas y la información. Se aplica también para verificar el correcto desarrollo, instalación, mantenimiento y explotación de los sistemas de cómputo, así como sus equipos e instalaciones. Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa de los sistemas computacionales de una empresa y del propio centro informático.

• Auditoría al sistema de cómputo: Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación del funcionamiento y uso correctos del equipo de cómputo, su hardware, software y periféricos asociados. Esta auditoría también se realiza a la composición y arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, así como al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o paquetería de aplicación institucional que se utiliza en la empresa donde se encuentra el equipo de cómputo que será evaluado. Se incluye también la operación del sistema.

• Auditoría alrededor de la computadora: Es la revisión específica que se realiza a todo lo que está alrededor de un equipo de cómputo, como son sus sistemas, actividades y funcionamiento, haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y

10

almacenamiento de resultados, las actividades de planeación y presupuestación del propio centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de accesos al sistema, la atención a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en sí, a todos aquellos aspectos que contribuyen al buen funcionamiento de un área de sistematización.

• Auditoría de la seguridad de sistemas computacionales: Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así como a las actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los equipos computacionales, las bases de datos, redes, instalaciones y usuarios del sistema. Es también la revisión de los planes de contingencia y medidas de protección para la información, los usuarios y los propios sistemas computacionales, y en sí para todos aquellos aspectos que contribuyen a la protección y salvaguarda en el buen funcionamiento del área de sistematización, sistemas de redes o computadoras personales, incluyendo la prevención y erradicación de los virus informáticos.

• Auditoría a los sistemas de redes: Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes de una empresa, considerando en la evaluación los tipos de redes, arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos, privilegios, administración y demás aspectos que repercuten en su instalación, administración, funcionamiento y aprovechamiento. Es también la revisión del software institucional, de los recursos informáticos e información de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.

• Auditoría integral a los centros de cómputo: Es la revisión exhaustiva, sistemática y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la empresa, así como de la red de servicios de una empresa y el desarrollo correcto de las funciones de sus áreas, personal y usuarios. Es también la revisión de la administración del sistema, del manejo y control de los sistemas operativos, lenguajes, programas y paqueterías de aplicación, así como de la administración y control de proyectos, la adquisición del hardware y software institucionales, de la adecuada integración y uso de sus recursos informáticos y de la existencia y cumplimiento de las normas, políticas, estándares y procedimientos que regulan la actuación del sistema, del personal y usuarios del centro de cómputo. Todo esto hecho de manera global por medio de un equipo multidisciplinario de auditores.

• Auditoría ISO-9000 a los sistemas computacionales: Es la revisión

11

exhaustiva, sistemática y especializada que realizan únicamente los auditores especializados y certificados en las normas y procedimientos ISO-9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos establecidos por esta asociación. El propósito fundamental de esta revisión es evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de una empresa se apegue a los requerimientos del ISO-9000.

• Auditoría outsourcing: Es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar la calidad en el servicio de asesoría o procesamiento externo de información que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad, oportunidad, suficiencia y asesoría por parte de los prestadores de servicios de procesamiento de datos, así como el cumplimiento de las funciones y actividades que tienen encomendados los prestadores de servicios, usuarios y el personal en general. Dicha revisión se realiza también en los equipos y sistemas.

• Auditoría ergonómica de sistemas computacionales: Es la revisión técnica, específica y especializada que se realiza para evaluar la calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que rodea el uso de sistemas computacionales en una empresa. Esta revisión se realiza también con el propósito de evaluar la correcta adquisición y uso del mobiliario, equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que requieren los usuarios de los sistemas de cómputo de la empresa, así como evaluar la detección de los posibles problemas y sus repercusiones, y la determinación de las soluciones relacionadas con la salud física y bienestar de los usuarios de los sistemas de la empresa.

Ventajas y Desventajas de la Auditoría Interna y Externa

Auditoría Interna Auditoría Externa - Debido a que el auditor perte- nece a la empresa, casi siempre conoce integralmente sus acti- vidades, operaciones y áreas; por lo tanto, su revisión puede ser más profunda y con un mayor conocimiento de las actividades, funciones y problemas de la institución. Por esta razón, el contenido de su informe es mucho más valioso. - El informe que rinde el auditor, independientemente del resulta-

- Al no tener ninguna depen- dencia de la empresa, el trabajo de estos auditores es totalmente indepen- diente y libre de cualquier injeren- cia por parte de las autoridades de la empresa auditada. - En su realización, estas audi- torías pueden estar apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herra- mientas que ya fueron proba- das

12

Ventajas

do, es sólo de carácter interno y por lo tanto no sale de la empresa, ya que únicamente le sirve a las autoridades de la institución. - Esta auditoría consume sólo recursos internos, por lo tanto no representa ninguna erogación adicional para la empresa en la cual se realiza. - Es de gran utilidad para la buena marcha de la empresa, ya que permite detectar problemas y desviaciones a tiempo. - Puede llevarse un programa concreto de evaluación en apoyo a las autoridades de la empresa, lo cual ayudará a sus dirigentes en la evaluación y la toma de decisiones.

en otras empresas con carac- terísticas similares. - Estas auditorías tienen gran aceptación en las empresas para certificar registros contables, impuestos y resultados financie- ros. Además, sus dictámenes pueden ser válidos para las autori- dades impositivas, y con ello pueden satisfacer requisitos de carácter legal, siempre que sean realizadas por auditores de prestigio que tengan el reconoci- miento público.

Desventajas

- Su veracidad, alcance y confia- bilidad pueden ser limitados, debido a que puede haber cierta injerencia por parte de las auto- ridades de la institución sobre la forma de evaluar y emitir el infor- me. - En ocasiones la opinión del auditor tal vez no sea absoluta, debido a que, al laborar en la misma empresa donde realiza la auditoría, se pueden presentar presiones, compromisos y ciertos intereses al realizar la evaluación. - Se pueden presentar vicios de trabajo del auditor con relativa frecuencia, ya sea en las formas de utilizar las técnicas y herramientas para aplicar la auditoría, como en la forma de evaluar y emitir su informe sobre la misma.

- La principal desventaja es que, como el auditor conoce poco la empresa, su evaluación puede estar limitada a la información que pueda recopilar. - Dependen en absoluto de la cooperación que el auditor pueda obtener de parte de los audita- dos. - Su evaluación, alcances y resul- tados pueden ser muy limi- tados. - Muchas auditorías de este tipo se derivan de imposiciones fis- cales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan. - En algunos casos son suma- mente costosas para la empresa, no sólo en el aspecto numerario, sino por el tiempo y trabajo adicional que representan.

13

La Auditoría Informática, Alcance e Importancia en las Organizaciones La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuáles materias fronterizas han sido omitidas. Las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

Auditoría de Sistemas de Información Vs. Auditoría Informática

Similitudes

Diferencias

_ No se requieren nuevas normas de

auditoría, ambas aplican las mismas.

_ Los elementos básicos de un buen

sistema de control contable interno

siguen siendo los mismos, por

ejemplo: la adecuada segregación de

funciones.

_ Los propósitos principales del

estudio y evaluación del control

contable interno son la obtención de

evidencia para respaldar una opinión y

determinar la base, oportunidad y

extensión de las pruebas futuras de

auditoría.

_ Se establecen algunos nuevos

procedimientos de auditoría.

_ Hay diferencias en las técnicas

destinadas a mantener un

adecuado control interno contable.

_ Hay alguna diferencia en la

manera de estudiar y evaluar el

control interno contable.

_ El énfasis en la evaluación de los

sistemas manuales está en la

evaluación de transacciones,

mientras que el énfasis en los

sistemas informáticos, está en la

evaluación del control interno.

14

Características y Objetivos de la Auditoría de Informática Objetivos

Ésta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

Deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Características

La información de la empresa y para la empresa siempre importante, se ha convertido en un activo real de la misma, como sus stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

15

Síntomas de necesidad de una auditoria informática dentro de una organización

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: 1. Síntomas de descoordinación y desorganización

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una restructuración fallida de alguna área o en la modificación de alguna Norma importante.

2. Síntomas de mala imagen e insatisfacción de los usuarios

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.

No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

3. Síntomas de debilidades económico-financieras

Incremento desmesurado de costes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas.

Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

16

4. Síntomas de Inseguridad: Evaluación de nivel de riesgos

Seguridad Lógica y/o Seguridad Física: Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]- Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales.

Centro de Proceso de Datos fuera de control, Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Perfil Profesional de un Auditor Informático El Auditor Informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado en las corrientes organizativas empresariales que imperan hoy en día. Se deben de contemplar las siguientes características para mantener el perfil profesional adecuado y actualizado: 1. La persona o personas que integren esta función deben contemplar en su formación básica una mezcla de conocimientos de auditoría financiera y de informática en general .Estos últimos deben contemplar conocimientos básicos de:

Desarrollo informático, gestión de proyectos y del ciclo de vida de un proyecto de desarrollo. Gestión del departamento de sistemas. Análisis de riesgo en un entorno informático. Sistema operativo. Telecomunicaciones. Gestión de base de datos. Seguridad física. Operaciones y planificación informática. Gestión de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la información. Gestión de problemas y de cambios en entornos informáticos. Administración de datos. Comercio electrónico. Encriptación de datos.

A estos conocimientos básicos se les deberá añadir una especialización en función de la importancia económica que distintos componentes financieros puedan tener en un entorno empresarial. Así en un entorno financiero pueden tener mucha importancia las comunicaciones y será necesario que alguien dentro de la función de auditoría informática tenga esta especialización, pero esto mismo puede no ser válido para un entorno productivo en el que las transacciones EDI pueden ser más importantes.

17

El auditor informático debe conocer técnicas de gestión empresarial y sobre todo de gestión del cambio ya que las recomendaciones y soluciones que aporten deben estar en la línea de la búsqueda optima de la mejor solución para los objetivos empresariales que se persiguen y con los recursos que se tienen. El auditor informático debe tener siempre el concepto de calidad total. Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informático sea más reconocida de forma positiva por la organización.