UNIDAD I, INTRODUCCION A LA AUDITORIA INFORMATICA

MATERIA

AUDITORÍA

INFORMÁTICA

UNIDAD I

Introducción a la

Auditoría Informática.

Subtemas:

1.1 Conceptos de Auditoría y Auditoría Informática.

1.2 Tipos de Auditoría.

1.2.1 Auditoría Interna y Externa.

1.3 Campo de la Auditoría Informática.

1.4 Control Interno.

1.5 Modelos de control utilizados en auditoría informática.

1.6 Principios aplicados a los auditores informáticos.

1.7 Responsabilidades de los administradores y del auditor.

Objetivo:

El estudiante conocerá la naturaleza y alcance de la auditoría Informática, los conceptos básicos de la auditoría y distinguirá las responsabilidades del administrador y las del auditor.

Criterios de Evaluación:

Examen 50%

Participación 10%

Trabajos de Investigación 20%

Prácticas o Tareas 20%

Bibliografía

Auditoria Informática. Un enfoque

práctico.(2ª edición ampliada y revisada).

Piattini Velthuis, Mario G., Peso Navarro,

Emilio del

Auditoria Informática

José Antonio Echenique

Mc-Graw Hill.

Antes de empezar…

¿Dónde hemos escuchado la palabra auditoría?

¿Qué entendemos por auditoría?

¿Por qué cree que debemos realizar una auditoría?

¿Cuándo debemos realizar una auditoría? Antes o después de detectar un problema.

¿Alguna vez ha participado en una auditoría?


– Introducción

En su sentido más general, se puede entender a la auditoría como la

investigación, consulta, revisión, verificación, comprobación y obtención de

evidencia, desde una posición de independencia, sobre la documentación e

información de una organización, realizadas por un profesional, el auditor,

designado para desempeñar tales funciones.

El auditor, cuando actúa como tal, no es responsable

ni de la operación del organismo ni del control de su

funcionamiento. Tales funciones son responsabilidad

de los órganos directivos del organismo auditado. La

función del auditor es la de examinar e informar

sobre la documentación elaborada por los órganos

directivos.


– Concepto de Auditoría

Hay diversas definiciones del concepto de Auditoría, entre ellas

podemos tener en cuenta las siguientes:

Norma AENOR X50-109:

Examen metódico de una situación relativa a

un producto, proceso, organización, en materia

de calidad, realizado en cooperación con los

interesados, a fin de verificar la concordancia

de la realidad con lo preestablecido, y la

adecuación al objetivo buscado.


– Concepto de Auditoría:

Ley 19/1988 de Auditoría de Cuenta:

"... la actividad que, mediante la utilización de

determinadas técnicas de revisión, tiene por

objeto la emisión de un informe acerca de la

fiabilidad de los documentos contables auditados;

delimitándose, pues, a la mera comprobación de

que los saldos que figuran en sus anotaciones

contables concuerdan con los ofrecidos en el

balance y en la cuenta de resultados, ...".


– Concepto de Auditoría:

Real Decreto 1636/1990 del Reglamento que desarrolla

la Ley de Auditoria de Cuentas, Artículo 1°:

" 1.- Se entenderá por auditoria de cuentas la actividad,

realizada por una persona cualificada e independiente,

consistente en analizar, mediante la utilización de las

técnicas de revisión y verificación idóneas, la

información económico-financiera deducida de los

documentos contables examinados, y que tiene por

objeto la emisión de un informe dirigido a poner de

manifiesto su opinión responsable sobre la fiabilidad de

la citada información, a fin de que se pueda conocer y

valorar dicha información por terceros".


– Objetivo de la Auditoría:

El objetivo fundamental de un trabajo de auditoría es permitir que

el auditor llegue a estar en condiciones de informar fundadamente

sobre la fidelidad y razonabilidad de la situación que refleja la

documentación aportada por la empresa.

El auditor está obligado a establecer de forma

inequívoca, según su criterio, si la imagen de la empresa

es fiel y razonable en la documentación aportada. Si no

ha podido confirmar estos términos, debe calificar su

informe justificando las razones que le han llevado a

considerar las desviaciones de fidelidad y razonabilidad,

y en qué aspectos, y en qué medida, se ha incurrido en

una formulación errónea. El auditor debe expresar con

independencia su opinión.


– En resumen:

En todas las definiciones anteriores de auditoria

podemos encontrar varios puntos comunes:

• La realización de un examen ordenado y

planificado,

• La comprobación de la calidad de lo

examinado,

• La verificación de la fiabilidad de lo examinado

en cuanto a los hechos reales que refleja, y

• La obligación de informar a terceros con una

opinión fundada.


– Concepto de Auditoría Informática:

Es el proceso de recoger, agrupar y evaluar evidencias para determinar

si un sistema de información salvaguarda los activos, mantiene la

integridad de los datos, lleva a cabo eficazmente los fines de la

organización y utiliza eficientemente los recursos.

De esta forma la auditoría informática sustenta y

confirma la consecución de los objetivos tradicionales

de auditoría.

El auditor evalúa y comprueba en determinados

momentos del tiempo los controles y procedimientos

informativos mas complejos, desarrollando y aplicando

técnicas mecanizadas de auditoría, incluyendo el uso de

software.


– Principales objetivos que constituyen a la Auditoría Informática

El control de la función informática.

El análisis de la eficacia del Sistema

Informático.

La verificación de la implantación de la

Normativa.

La revisión de la gestión de los recursos

informáticos.


La auditoría informática sirve para mejorar ciertas

características en la empresa como:

Eficiencia

Eficacia

Rentabilidad

Seguridad

1.2 Tipos de Auditoría

– Por el sujeto que la efectúa:

La Auditoría puede clasificarse desde diversos puntos de vista,

según el sujeto que la efectúa, según el contenido y los fines,

por su amplitud y por su frecuencia.

• Auditoría interna: Está a cargo de empleados

de la propia empresa, encuadrados en un

departamento directamente dependiente de la

dirección general.

• Auditoría externa: Está a cargo de auditores

profesionales, ajenos a la empresa y totalmente

independientes.


– Por su contenido y fines

• Auditoría de gestión: Afecta a la situación global de la empresa.

• Auditoría organizativa: Analiza si la estructura organizativa de la empresa es la

adecuada, según las necesidades y problemas de la misma.

• Auditoría operacional: Para determinar hasta qué punto una organización, una

unidad o función dentro de una organización, está cumpliendo los objetivos

establecidos por la gerencia; así como identificar las condiciones que necesiten

mejora.

• Auditoría financiera: Examen y verificación de los estados financieros de la

empresa, para emitir una opinión fundada sobre el grado de fiabilidad de dichos

estados.

• Auditoría contable: Analiza la adecuación de los criterios empleados para recoger

los hechos derivados de la actividad de la empresa y su representación, mediante

apuntes contables, en los estados financieros.

• Auditoría informática: Examen y verificación del correcto funcionamiento y control

del sistema informático de la empresa.


– Por su amplitud:

• Auditoría total: Afecta a todos los elementos de la empresa.

• Auditoría parcial: Se concentra en determinados elementos de la

empresa.

– Por su frecuencia:

• Auditoría permanente: Se realiza

periódicamente a lo largo del ejercicio económico.

• Auditoría ocasional: Se realiza de forma

esporádica.


– Beneficios de la Auditoría:

Los beneficiarios de la auditoría son los que tienen relación con

la empresa y necesitan información correcta y auténtica sobre la

situación y actividades de la misma.

• Auditoría externa:

Accionistas o socios.

Consejeros y ejecutivos.

Proveedores, acreedores y otros.

Inversores.

La Banca.

La Hacienda Pública.

Los empleados de la empresa.

Otros organismos públicos e institucionales.

• Auditoría interna:

Es la propia empresa

y todos los órganos

de gobierno y

ejecutivos.


– Diferencia entre Auditoría Interna y Externa:

1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa; mientras

que en la auditoría externa, es un profesional independiente.

2. En la auditoría interna, la independencia está limitada; mientras que en la auditoría

externa, la independencia es total.

3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo

laboral; mientras que en la auditoría externa, es de tipo profesional, que puede

llegar a ser penal.

4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión;

mientras que en la auditoría externa, el objetivo es el examen de los estados

financieros para determinar si representan la situación real de la entidad auditada.

5. En la auditoría interna, el informe emitido es un informe con recomendaciones

para la gerencia; mientras que en la auditoría externa, está dirigido también a

terceros.

6. En la auditoría interna, el uso del informe está restringido al ámbito de la propia

empresa; mientras que en la auditoría externa, el uso trasciende la propia

empresa.

1.3 Campo de la Auditoría Informática

Generalmente se puede desarrollar en alguna o

combinación de las siguientes áreas:

Gobierno corporativo.

Administración del Ciclo de vida de los

sistemas.

Servicios de Entrega y Soporte.

Protección y Seguridad.

Planes de continuidad y Recuperación de

desastres.

1.4 Control Interno

Una de las formas de definir el concepto de control interno es la siguiente

El control interno es un proceso que lleva a

cabo el Consejo de Administración, la dirección

y el resto de los miembros de una entidad, con

el objeto de proporcionar un grado razonable

de confianza en la consecución de objetivos de

fiabilidad de la información financiera, eficacia

y eficiencia de las operaciones y cumplimiento

de las leyes y las normas aplicables.

1.4 Control Interno

La dirección de la organización tiene la responsabilidad de decidir el

alcance adecuado del sistema de control interno. La naturaleza de los

controles depende de la clase de grado de control, distribución

geográfica y estructura de la organización, entre los factores más

importantes.

El control interno tiene limitaciones, puesto

que no garantiza, por si mismo, una

administración eficiente y tampoco puede

evitar el fraude, cuando se da la complicidad

entre los cargos de confianza.

1.4 Control Interno

– Componentes de un Sistema de Control interno:

Tradicionalmente, los principales componentes de un sistema

de control interno han incluido:

(1)la segregación de funciones, (2) la delegación de la

responsabilidad y de la autoridad, (3) existencia de

personal competente y de confianza, (4) el sistema

de autorizaciones, (5) documentación y registros

adecuados, (6) el control físico sobre activos y

registros, (7) la adecuada supervisión de la gestión,

(8) la verificación independiente de las operaciones

y (9) la comparación periódica de los registros

contabilizados con los activos.

1.5 Modelos de control utilizados en Auditoría Informática.

Las metodologías son necesarias para desarrollar cualquier

proyecto que nos propongamos de manera ordenada y eficaz.

La auditoria informática solo identifica el nivel de

“exposición” por la falta de controles mientras el análisis

de riesgos facilita la evaluación de los riesgos y

recomienda acciones en base al costo-beneficio de la

misma. Todas las metodologías existentes en seguridad

de sistemas van encaminadas a establecer y mejorar un

entramado de contramedidas que garanticen que la

productividad de que las amenazas se materialicen en

hechos sea lo mas baja posible o al menos quede

reducida de una forma razonable en costo-beneficio.

1.5 Modelos de control utilizados en Auditoría Informática.

Todas las metodologías existentes desarrolladas y utilizadas en la

auditoría y el control informático, se puede agrupar en dos

grandes familias:

Cuantitativas: Basadas en un modelo matemático numérico que ayuda a

la realización del trabajo, están diseñadas par producir una lista de riesgos

que pueden compararse entre sí con facilidad por tener asignados unos

valores numérico. Estos valores son datos de probabilidad de ocurrencia

de un evento que se debe extraer de un riesgo de incidencias donde el

numero de incidencias tiende al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir

un proceso de trabajo, para seleccionar en base a la experiencia

acumulada. Puede excluir riesgos significantes desconocidos (depende de

la capacidad del profesional para usar el check-list/guía). Basadas en

métodos estadísticos y lógica borrosa, que requiere menos recursos

humanos / tiempo que las metodologías cuantitativas.

TRABAJO DE INVESTIGACIÓN

Realizar una investigación sobre los diferentes modelos de control

aplicados a la auditoría informática.

Estructura del trabajo.

* Márgenes:

Derecho, inferior y superior 3 cm.

Izquierdo 4 cm.

* Letra: Arial 12 para contenido y 14 para título.

* Hoja de presentación.

* Índice.

* Introducción.

* Desarrollo del Tema.

* Conclusión.

* Bibliografía y/o referencias de internet.

1.6 Principios aplicados a los auditores informáticos

– Principio de beneficio de auditado.

– Principio de calidad.

– Principio de capacidad.

– Principio de comportamiento profesional.

– Principio de concentración en el trabajo.

– Principio de confianza.

– Principio de criterio propio.

– Principio de discreción.


– Principio de economía.

– Principio de formación continua.

– Principio de fortalecimiento y respeto a la

profesión.

– Principio de independencia.

– Principio de información suficiente.

– Principio de integridad moral.

– Principio de legalidad.


– Principio de libre competencia.

– Principio de no discriminación.

– Principio de no injerencia.

– Principio de precisión.

– Principio de publicidad adecuada.

– Principio de responsabilidad.– Principio de secreto profesional.

– Principio de servicio público.

– Principio de veracidad.

ACTIVIDAD:

• Integrarse en equipos de 4 personas.

• Leer y comprender “Los principios aplicados

a los auditores”.

• Exponer el tema con ayuda de una lámina o

dispositivas.

TAREA

Desarrollar en un máximo de 3 cuartillas, un ensayo sobre

“Las responsabilidades de los administradores y del

auditor”, el ensayo deberá enviarse al correo electrónico

[email protected] a mas tardar el día miércoles

23 de marzo.

Nota: Coloque una hoja de

presentación para saber quien

elaboró el ensayo.

mailto:[email protected]

UNIDAD I, INTRODUCCION A LA AUDITORIA INFORMATICA

Documents

Transcript of UNIDAD I, INTRODUCCION A LA AUDITORIA INFORMATICA