Una de los puntos más importantes de la gestión de la empresas es el que

se centra en las auditorías, ya que estas ayudar a llevar un control de la

empresa que nos ayuda a detectar fallos, promover mejoras para el
desarrollo de la empresa y saber cuál es el estado real de la organización
en general.

¿Qué es una auditoría?

La definición de auditoría se basa en el examen de algún proceso,
mecanismo o sector, para ver cuál es su rendimiento. Las auditorías
siempre se han considerado como el examen y control de la situación
económica de la empresa, para saber qué cosas van mal, qué cosas van
bien y cómo se puede mejorar en cualquiera de los puntos clave de la
empresa. Auditar, se entiende así, como someter las cuentas de una
empresa a examen para saber cómo está actualmente la empresa para
saber hacia dónde debe ir a partir de ese momento.

Sin embargo, ahora son muchos los aspectos que se pueden auditar en una
empresa sin necesidad de realizar un examen general de la empresa. Es
decir, que se pueden realizar controles de algún sector de la empresa
concreto, o de algún ámbito organizacional del que se quiera obtener
una fotografía que represente el momento actual, para saber si se están
haciendo bien las cosas o si se puede mejorar algún aspecto.

También cabe destacar que las auditorías pueden ser externas o

internas, que sean hechas por un auditor independiente o que forme parte
de la empresa. Dependiendo de cada uno de estos aspectos, se auditarán
unas cosas u otras.

Es por esto, que podemos considerar la auditoría como el proceso de

inspección o control de cualquier punto clave de la empresa para
verificar su correcto funcionamiento. De ahí a que existen muchos tipos
de auditoría según el objetivo que se quiera examinar.
 Objetivos de la auditoría
Igual que existen diferentes tipos de auditorías, también existen diferentes
objetivos para cada una de ellas. Pero como comentábamos antes, se
realizan para controlar los diferentes procesos de la empresa y ver cómo se
están desarrollando. Por ello, entre los objetivos de las auditorías podemos
encontrar:

o Conocer la situación actual y exacta de la empresa en general o en algo

concreto
o Dar credibilidad y confianza frente a posibles inversores o entidades
financieras
o Detectar fraudes que se estén cometiendo en la empresa
o Comprobar la legalidad de todos los productos y actuaciones
o Detectar errores técnicos que se estén realizando
o Observar si se el sistema de trabajo de la empresa está siendo eficaz y
eficiente
o Recabar la máxima información posible para tomar decisiones que mejoren el
rendimiento

La importancia de la auditoría
En muchas ocasiones, las empresas no valoran suficientemente la
necesidad y la importancia de realizar auditorías en las organizaciones
empresariales. Y es que auditar te permite estudiar lo que estás haciendo
para saber si estás haciendo bien las cosas, si se están cumpliendo las
normativas legales, si estás adaptando a la actualidad y nuevas tecnologías,
para dirigir y tomar decisiones que nos permitan tener un mayor éxito.
Es muy importante para la dirección de la empresa, poseer información
fiable que le permite analizar y valorar los pasos a seguir.

Además, el control de nuestra gestión empresarial puede ayudarnos

a evitar más de un quebradero de cabeza en referencia a los aspectos
 legales. En ocasiones, podemos estar cometiendo errores que pueden ser
considerados como fraudes, lo que puede conllevar grandes sanciones y
multas. Por ejemplo, si nuestras cuentas no reflejan la realidad de la
empresa, si nuestros ordenadores no poseen las licencias necesarias para
ser utilizados, si nuestra maquinaria no cumple con la normativa, es posible
que tengamos problemas con la ley.

Técnicas de auditoría
Existen diferentes técnicas de auditoría que te permiten analizar de diversas
maneras algún proceso o elemento de la empresa. Se basa en métodos a
través de los cuáles el auditor obtiene las pruebas para realizar el informe
de auditoría, donde plasmará el resultado de la auditoría.

o Estudio general: con esta técnica se observan las características más

generales y destacables de la empresa que luego se profundizarán en el
estudio.
o Análisis: la técnica de análisis se basa en la agrupación de diferentes
elementos sobre una misma cuenta. Existen dos tipos:
o Análisis de movimientos
o Análisis de saldo
o Investigación: consiste en recabar información necesaria a través de
entrevistas con los empleados de la empresa.
o Certificación: se basa en plasmar las declaraciones obtenidas a través de la
investigación.
o Comprobación: consiste en las constatación de los hechos de la empresa a
través de la documentación de la empresa.
o Hechos Posteriores: son aquellos exámenes que se realizan después de
que se haya realizado el balance pero antes de enviar los estados financieros
para que ver que todo está correctamente
o Inspección: esta técnica se basa en corroborar físicamente la existencia de
algunos productos, bienes materiales, documentos, operaciones realizadas.
o Confirmación: se ratifica que son correctos los datos encontrados en los
registros contables y que coinciden con los hechos que ha observado el
auditor.
o Observación: consiste en ver físicamente diferentes situaciones y hechos
para ver si se están cumpliendo los patrones de comportamiento establecidos.
Se utiliza para ver cómo funcionan los procesos productivos.
o Cálculo: se basa en el repaso de las operaciones aritméticas de las cuentas y
de determinadas operaciones para verificar si los resultados que se obtienen
del cálculo son razonables.

Plantilla de auditoría
Las auditorías se realizan con programas de gestión que ayudan a certificar
todos los resultados que se están analizando. Aquí podemos encontrar una
serie de modelos de auditoría en excel que puedes descargar de forma
gratuita. Para hacer tu auditoría tan solo debes pinchar el botón para
descargar las plantillas y rellenar con los datos correspondientes.

¿Qué es una auditoría?

La auditoría juega un papel muy importante en una empresa: refleja su imagen
contable.
Es conveniente llevar al día la contabilidad de cara a una auditoría.En primer lugar,
vamos a definir el concepto de auditar, que es el proceso mediante el cual una empresa o
profesional (auditor) independiente es contratado para recopilar información contable.
Esta información es de valor para verificar que la empresa que está siendo auditada haya
cumplido las normas contables.

La figura del auditor

Por su parte, el auditor es una persona capacitada y con la suficiente experiencia para
revisar y verificar que los datos contables que la empresa auditada facilita se corresponden
realmente con la actividad que ha venido desarrollando.
El auditor tiene que redactar un informe al concluir la auditoría determinando el grado de
veracidad y claridad que la organización posee contablemente.
Es decir, si todos los movimientos contables que ha realizado la empresa se han reflejado
en los libros contables (como, por ejemplo, en el libro diario) y si todo lo que aparece en los
libros contables ha sido realizado por la empresa en el transcurso de su actividad.

Obligaciones de una auditoría

Revisar las cuentas con el objetivo de ver si la empresa ha utilizado sus recursos de forma
eficiente y eficaz.
Revisar y verificar los distintos informes ofrecidos por la empresa sobre su actividad
económica y comprobar que sea una imagen fiel de la misma.
La auditoría y, por tanto, el auditor tiene que ser totalmente independiente. Eso es básico
para legitimar el proceso y reflejar la realidad.
Permitir conocer los problemas que la empresa está teniendo en el momento.

¿Por qué es importante auditar una empresa?

En primer lugar, una empresa tiene que demostrar que el uso de sus recursos es eficiente,
dado que hay personas que dependen de la actividad que realiza (por ejemplo, acreedores
o sus propios trabajadores).
En segundo lugar, las empresas tienen que hacer frente a todas las regulaciones legales como
el pago de impuestos (Impuesto sobre Sociedades) de una manera fiel. Por último, la
auditoría implica dar confianza a futuros acreedores que la empresa pueda tener.
La Auditoría de las Tecnologías de Información, mejor conocida como “Auditoría
de TI” o “Auditoría Informática”, es una actividad de control que comprende la
evaluación de las Tecnologías de Información (TI), así como de la Seguridad de la
Información (SI), dentro de una organización.

Está basada en buenas prácticas y normas nacionales e internacionales, que son

utilizadas para revisar y calificar el diseño, desempeño y cumplimiento de los
controles implementados en el ambiente de TI.

Permite contar con una evaluación objetiva e independiente respecto a los

procesos, servicios, aplicaciones, infraestructura e información, identificando los
principales riesgos de negocio relacionados con TI, resultado de posibles debilidades
de control.
 Principales Beneficios de la Auditoría de TI
 Verificar que los servicios de TI se encuentran al nivel que la organización necesita
para habilitar, potenciar y soportar de manera efectiva y eficiente sus funciones
sustantivas.
 Determinar si el ambiente de control en TI, cumple con las regulaciones y
requerimientos normativos.
 Contar con las recomendaciones necesarias para mitigar posibles riesgos que
pongan en peligro a los activos de información y a la continuidad del negocio.

¿Por qué es importante llevarla acabo?

Actualmente muchas organizaciones invierten recursos significativos en tecnología
para desarrollar sus capacidades de negocio, todas ellas están expuestas a riesgos e
impactos potenciales debido a vulnerabilidades en sus controles,
procesos y proyectos de negocio habilitados por TI.

Por ello la relevancia de hacer una adecuada planeación y verificar que se preserve
el valor generado por negocio y sus inversiones.

Los procesos de auditoría de TI deben realizarse por una persona, departamento

u organización, que mantenga una posición independiente de los auditados, es por
ello que las empresas han optado por contratar los servicios de Consultoras
especializadas en Auditoría de TI y, en algunos casos; han optado por tercerizar de
manera completa o parcial las funciones.

Soluciones Recomendadas
 AI de Controles Generales de TI
 Auditoría de Proyectos de TI
 Auditoría de Aplicaciones e Infraestructura
 AI de Sistemas de Gestión (ISO27001, ISO22301, ISO20000, ISO9000, etc.)
 Pruebas automatizadas de auditoría y monitoreo continuo de controles.
 Evaluaciones de cumplimiento Normativo y Regulatorio
 Outsourcing o Co-Sourcing de AI de Tecnologías de Información
 Due Diligence de TI

¿QUÉ ES LA AUDITORIA DE TECNOLOGIA DE INFORMACIÓN (A.T.I.)?

DEFINICIÓN :
La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente,
(Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el
mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la
acelerada evolución de la tecnología informática de los últimos 10 años. En algunos países
altamente desarrollados es catalogada como una actividad de apoyo vital para el
mantenimiento de la infraestructura crítica de una nación, tanto en el sector público como
privado, en la medida en que la Información es considerada un activo tan o más importante
que cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas,
técnicas y buenas prácticas dedicadas a la evaluación y aseguramiento de la calidad,
seguridad, razonabilidad, y disponibilidad de la Información tratada y almacenada a través
del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la
administración de un ente están manejando dicha Información y todos los recursos físicos
y humanos asociados para su adquisición, captura, procesamiento, transmisión,
distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión
o juicio, para lo cual se aplican técnicas de auditoría de general aceptación y conocimiento
técnico específico.
Tambien desde el punto de vista en cuanto a Especialidad profesional se refiera ,es apoyada
por un conjunto de conocimientos profundos acerca de la tecnología informática, de
técnicas y procedimientos de auditoría y de conocimientos contables suficientes, para
evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, asi como brindar
seguridad razonable acerca de la utilidad de la información almacenada y procesada en
ellos, con el fin de emitir un juicio al respecto. Complementariamente, su trabajo, deberá
permitir la emisión de un juicio u opinión acerca de lo adecuado del control interno
informático. Finalmente, deberá expresar su opinión acerca de el grado de eficiencia,
eficacia y economía con que están siendo usados – administrados todos los recursos de
tecnología informática a cargo de la administración, incluido el factor humano.
ROL DE LA AUDITORIA EN LA EMPRESA :
El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del proceso
de sistematización del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su
proceso de obtención de evidencia y validación de procedimientos de control a través del
uso de C.A.A.T. (computer audit assisted technologies) y del computador.
Los servicios de Auditoría de Tecnología de Información se encuentran orientados al
mercado pro-activo y preventivo, brindándole a nuestros clientes evaluaciones de sus
controles, que sirvan para el fortalecimiento de su seguridad e infraestructura tecnológica.

Auditoría de Tecnología de la Información

 Auditoría de Sistemas
 Outsourcing o Co-Sourcing de Auditorias de Sistemas
 Revisiones de estándar de seguridad del PCI – VISA
 Auditoría de Sistemas especializadas (ACH, Cajeros automáticos (ATM), etc.)
 Certificación-Declaración de Sistemas Contables
  Certificación-Declaración de Sistemas de Almacenamiento Tecnológico
 Sistema de Gestión de Seguridad de la Información (Norma ISO)
 Evaluación y Alineamiento de Tecnología con mejores prácticas Gobierno de TI
OBJETIVOS ESPECIFICOS:
– La información y la tecnología es el activo más valioso de nuevo milenio.
– La información puede constituirse en una ventaja competitiva de la empresa frente a
terceros. Su uso inadecuado puede convertirse en la peor amenaza
– La información es la memoria y el conocimiento de la empresa. Base de su desarrollo y
adaptación futura
– Todo lo que la rodea (la información) y la soporta, debe estar adecuadamente
asegurado y controlado. Hablamos de equipos, personas y programas de computador
– Es necesario determinar si los recursos informáticos están siendo utilizados de la
manera más efectiva, eficiente y económica.
– Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen
involucrados los CONTROLES suficientes que garanticen una información libre de
errores, fraudes, alteración o falta de disponibilidad. Es decir, que dicha información
está realmente segura y protegida del acceso no autorizado, daño intencional o
destrucción por parte de terceros o personal de la empresa
– Se hace necesario mantener servicios de monitoreo de nuevas tecnologías, de forma
que estas se adquieran y utilicen en beneficio de los objetivos de la empresa, generando
ventajas competitivas y beneficios tangibles frente a terceros.
– Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos
años en proyectos de sistematización de todo tipo y el uso de estándares y
metodologías de reconocido valor técnico, garantizan que la tecnología Informática, y la
información en si misma, están siendo adecuadamente utilizadas y aseguradas.

Caracteristicas

La Informática hoy, está integrando en la gestión de la empresa, y por eso las normas y
estándares propiamente informáticos deben estar, sometidos a los generales de la misma.
Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría
Informática. La Auditoría Informática es un examen crítico que se realiza con el fin de
evaluar la eficacia y eficiencia de una empresa.

Los principales objetivos que constituyen a la auditoría Informática son:

  el control de la función informática,
 el análisis de la eficiencia de los Sistemas Informáticos,
 la verificación del cumplimiento de la Normativa en este ámbito

y la revisión de la eficaz gestión de los recursos informáticos.

Las normas mas utilizadas son:

Norma COBIT
La norma COBIT fue lanzado en 1996, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología
informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes
globales prominentes en un recurso crítico para la gerencia, los profesionales de control y
los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las
computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la
filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que requiere
una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado
de objetivos de control para tecnología de información que sea de uso cotidiano para
gerentes y auditores.
Usuarios:
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento
de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su
impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI: para identificar los controles que requieren en sus áreas.
Características:
Orientado al negocio
Alineado con estándares y regulaciones “de facto”
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios: El enfoque del control en TI se lleva a cabo visualizando la información necesaria
para dar soporte a los procesos de negocio y considerando a la información como el
resultado de la aplicación combinada de recursos relacionados con las TI que deben ser
administrados por procesos de TI.
COBIT se divide en tres niveles:
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado
medible.

Norma Técnica Peruana (NTP)

Esta Norma Técnica Peruana establece un marco de referencia común para los procesos del
ciclo de vida del software, con una terminología bien definida a la que puede hacer
referencia la industria del software. Contiene procesos, actividades y tareas para aplicar
durante la adquisición de un sistema que contiene software, un producto software puro o
un servicio software y durante el suministro, desarrollo, operación y mantenimiento de
productos software. El software incluye la parte software del firmware.
Limitaciones
Esta NTP describe la arquitectura de los procesos del ciclo de vida del software, pero no
especifica los detalles de cómo implementar o llevar a cabo las actividades y tareas incluidas
en los procesos.
AUDITORIA INFORMÁTICA
Auditoría de la Gestión de las Tecnologías de Información
La Auditoría de la Gestión de las Tecnologías de Información, es vital para que se pueda
mejorar la gestión de las gerencias de informática y en general de las diversas áreas usuarias
de los servicios de tecnologías de información en las organizaciones.
La auditoria informática comprende la evaluación de la gestión de las tecnologías de
información sobre la base de normas nacionales y/o internacionales, verificándose su
cumplimiento enmarcado en el ciclo de calidad: Planificar, Ejecutar, Evaluar y Actuar (tomar
acciones correctivas). Se explicó brevemente las siguientes normas internacionales: COBIT,
ISO/IEC 12207, ISO/IEC 17799, ITIL (ISO/IEC 20000), y PMBOK, las cuales sirvieron de base
para la Metodología para la Auditoria Integral de la Gestión de las Tecnologías de
Información (MAIGTI). Se explicó, también brevemente las certificaciones que existen
relacionadas a la auditoria informática.