Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los
riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y
procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que
el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes
basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos temas
en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizar una
disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de
las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Planificación de la auditoría
Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema
eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de
realizar la auditoría así como los riesgos del negocio y control asociado. A continuación se
menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría:
Comprensión del negocio y de su ambiente. Al planificar una auditoría, el auditor de sistemas debe
tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una
comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de
la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe
comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le
exigirá requisitos de integridad de sistemas de información y de control que no están presentes en
una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para
obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material
sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes
financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales.
Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo.
Revisión de informes de auditorías anteriores.
Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener
errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los
riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error
material no se puede evitar que suceda por que no existen controles compensatorios relacionados
que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo
de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor
puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La
palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error
que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de
sistemas de información, la definición de riesgos materiales depende del tamaño o importancia
del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal
comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno
de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente
grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del
riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas
debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error
combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad
en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el
ente en lugar de alguna medida basado en lo monetario.
Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el auditor de
sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor
de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser
auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir
que la gerencia asigne recursos necesarios para la auditoría.
Proveer un resumen que describa como el tema individual de auditoría se relaciona con la
organización global de la empresa así como los planes del negocio.
• Recopilación de datos.
• Procedimientos de seguimiento.
El programa de auditoría se convierte también en una guía para documentar los diversos pasos de
auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente
estructura:
Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de
manera realista, el tiempo teniendo en cuenta el personal disponible.
Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún
mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las
hojas de control de tiempo.
Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se
determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama
de Gantt.
Así mismo las hojas de control de tiempo son generalmente como sigue:
Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de
auditoría y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del
personal para la realización del trabajo de auditoría, como los períodos de vacaciones que estos
tengan, otros trabajos que estén realizando, etc.
Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento
no de acusatoria.
Observación de operaciones y actuación de empleados, esta es una técnica importante para varios
tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para
presentarlo como evidencia de auditoría.
Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software
genérico, especializado o utilitario.
La materialización final del trabajo llevado a cabo por los auditores independientes se documenta
en el dictamen, informe u opinión de auditoría. Además, para aquellas entidades sometidas a
auditoría legal, este documento junto con las cuentas anuales del ejercicio forma una unidad,
siendo obligatorio para proceder al depósito de cuentas anuales en el Registro Mercantil que se
incluya el informe emitido por los auditores de la sociedad, conjuntamente con las cuentas
firmadas por todos los administradores (o la indicación expresa de no suscripción de las cuentas) y
aprobadas por la Junta General de accionistas de la sociedad; para dar más credibilidad a todo el
procedimiento, se exige depositar también una certificación del acta de la Junta General que
aprobó las cuentas, con las firmas de quien la expide legitimadas notarialmente.
El informe de auditoría independiente deberá contener, como mínimo, los siguientes elementos
básicos:
1. El título o identificación.
3. El párrafo de “alcance”.
7. El párrafo de “opinión”.
Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es
utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone
la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante
la auditoría, no existe un formato específico para exponer un informe de auditoría de sistemas de
información, pero generalmente tiene la siguiente estructura o contenido:
Conclusión global del auditor expresando una opinión sobre los controles y procedimientos
revisados.
El título o identificación
El auditor dirigirá su informe a la persona o al órgano de la entidad del que recibió el encargo de la
auditoría. Normalmente, el informe del auditor se dirigirá a los accionistas o socios. En este caso,
cuando el encargo del trabajo ha sido realizado por la Junta General de accionistas y el informe va
dirigido a ésta (a los accionistas), puede omitirse la especificación referente a que el encargo lo
realizó dicha Junta General. En algunas ocasiones el informe se dirige a los administradores o al
comité de auditoría, aunque esto sucederá, normalmente, si se trata de una auditoría voluntaria.
Si la empresa sometió a auditoría, de forma voluntaria, las cuentas anuales del ejercicio anterior,
las indicaciones a dicho informe de auditoría voluntaria pueden ser omitidas.
En este último caso, el auditor deberá requerir de la entidad que identifique como “no sometidas a
auditoría obligatoria” las cifras relativas al ejercicio anterior incluidas en las cuentas anuales a
efectos comparativos.
Cuando la sociedad no haya sometido a auditoría las cuentas anuales del ejercicio precedente y no
hubiera estado obligado a ello, identificará las cifras comparativas como no auditadas. No
obstante, cuando la sociedad hubiera incumplido la obligación de someterse a auditoría en el
ejercicio anterior, este hecho deberá ser mencionado en el informe de auditoría.
El párrafo de énfasis
Mediante los párrafos de énfasis, el auditor pone de manifiesto aquellos hechos que considera
relevantes o de especial importancia, aunque tales hechos no llegan a afectar a la opinión.
Por tanto, cuando en un informe de auditoría aparece un párrafo de énfasis, el auditor pretende
con ello destacar al lector ese hecho en concreto, el cual considera de especial trascendencia para
la sociedad, si bien ello no significa que la opinión de auditoría deba recoger salvedad alguna.
Nunca debe confundirse, por tanto, un párrafo de énfasis con uno de salvedad.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT
consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras
personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los
recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados
para proveer la información pertinente y confiable que requiere una organización para lograr sus
objetivos. Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y
actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para
gerentes y auditores
Usuarios:
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las
mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto
en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio
en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos
con responsabilidades en el campo de la TI en las empresas.
Características
• Orientado al negocio
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria para
dar soporte a los procesos de negocio y considerando a la información como el resultado de la
aplicación combinada de recursos relacionados con las TI que deben ser administrados por
procesos de TI.
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:
Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe
ser proporcionada en forma oportuna, correcta, consistente y utilizable.
Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más
productiva y económica).
Confiabilidad: proveer la información apropiada para que la administración tome las decisiones
adecuadas para manejar la empresa y cumplir con sus responsabilidades.
Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está
comprometida la empresa.
Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con
las expectativas de la empresa.
Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y
la salvaguarda de los recursos y capacidades asociadas a la misma.
Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de
negocio:
Datos: Todos los objetos de información. Considera información interna y externa, estructurada o
no, gráficas, sonidos, etc.
Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales
y sistematizados.
Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de
información.
Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir,
prestar servicios, dar soporte y monitorear los sistemas de Información.
Procesos de TI
La estructura de COBIT se define a partir de una premisa simple y pragmática: "Los recursos de las
Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos
agrupados de forma natural para que proporcionen la información que la empresa necesita para
alcanzar sus objetivos".
• Dominios
• Procesos
• Actividades
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos
procesos están agrupados en cuatro grandes dominios que se detallan a continuación junto con
sus procesos y una descripción general de las actividades de cada uno:
Acta Testimonial y su Contenido
Los usuarios pueden utilizarla como procedimiento previo a una demanda, queja o reclamación
relacionada con el contenido a testimoniar y los prestadores de servicios como garantía sobre las
condiciones ofrecidas a través de Internet (condiciones de venta, contratos,…).
AT en Papel
Recoge los datos de la persona de la Asociación que da testimonio, la fecha y hora en la que se
hace la consulta, el contenido de la página de Internet (hasta un máximo de 10 folios), una captura
gráfica de la primera pantalla de la página en cuestión y un anexo con los datos que figuran en el
registro WHOIS del dominio en el que esta alojado este contenido.
Todas las hojas del AT en papel van selladas y firmadas manualmente por la persona de la
Asociación que realiza el testimonio (se realizan dos copias una para el solicitante y otra para su
archivo en la Asociación).
AT electrónica Se genera un PDF firmado electrónicamente que incluye los siguientes elementos:
Acta Impresa, una captura completa de la página web y datos del registro de WHOIS.
Una de las copias del Acta Testimonial en papel se envían por correo postal o bien pueden
recogerse en las oficinas de la Asociación C/ Navaleno 32, 28033 de Madriden horario de
mañanas.
El solicitante tambien recibirá un correo electrónico con el acta en formado pdf firmada
electrónicamente.
Archivo en la Asociación
De todas las actas emitidas se conservan copias en papel durante un año. Este servicio no incluye
la personación de la Asociación ni la de la persona que la suscribe en los procedimientos y
procesos donde sea utilizada (de ser necesario sería objeto de una valoración para cada caso).
Debido a que puede ser producto de alguna incidencia disciplinaria, es preferible levantar esta
acta testimonial por incumplimiento, ya que puede llegar a consecuencias que repercutan en la
operación normal de la empresa y en sus activos; por eso es recomendable asentar el hecho lo
más claramente posible con lujos y detalles.
REFERENCIAS
Bibliográficas
Electrónicas
• http://www.geocities.com/lsialer/NotasInteresantes1.htm
• http://www.sahw.com/wp/archivos/2007/10/12/informes-de-auditoria-cuando-
la-orientacion-al-negocio-y-al-cliente-lo-significan-absolutamente-todo/