1 Conceptos de Auditoría y

Auditoría Informática.
Introducción

En su sentido más general, se puede entender a la auditoría como la

investigación, consulta, revisión, verificación, comprobación y
obtención de evidencia, desde una posición de independencia, sobre
la documentación e información de una organización, realizadas por
un profesional, el auditor, designado para desempeñar tales
funciones.

El auditor, cuando actúa como tal, no es responsable ni de la

operación del organismo ni del control de su funcionamiento. Tales
funciones son responsabilidad de los órganos directivos del
organismo auditado. La función del auditor es la de examinar e
informar sobre la documentación elaborada por los órganos
directivos
Concepto de Auditoría

Hay diversas definiciones del concepto de Auditoría, entre

ellas podemos tener en cuenta las siguientes:

Norma AENOR X50-109:

Examen metódico de una situación relativa a
un producto, proceso, organización, en materia de calidad,
realizado en cooperación con los interesados, a fin de
verificar la concordancia de la realidad con lo
preestablecido, y la adecuación al objetivo buscado.
Ley 19/1988 de Auditoría de Cuenta:

"... la actividad que, mediante la utilización de

determinadas técnicas de revisión, tiene por objeto la
emisión de un informe acerca de la fiabilidad de los
documentos contables auditados; delimitándose, pues, a
la mera comprobación de que los saldos que figuran en
sus anotaciones contables concuerdan con los ofrecidos
en el balance y en la cuenta de resultados,..."
Real Decreto 1636/1990 del Reglamento que desarrolla
la Ley de Auditoría de Cuentas, Artículo 1°:

" 1.- Se entenderá por auditoría de cuentas la actividad, realizada

por una persona cualificada e independiente, consistente en
analizar, mediante la utilización de las técnicas de revisión y
verificación idóneas, la información económico-financiera deducida
de los documentos contables examinados, y que tiene por objeto la
emisión de un informe dirigido a poner de manifiesto su opinión
responsable sobre la fiabilidad de la citada información, a fin de que
se pueda conocer y valorar dicha información por terceros".
Objetivo fundamental de un trabajo de auditoría: es permitir
que el auditor llegue a estar en condiciones de informar
fundadamente sobre la fidelidad y razonabilidad de la
situación que refleja la documentación aportada por la
empresa.

El auditor está obligado a establecer de forma inequívoca,

según su criterio, si la imagen de la empresa es fiel y
razonable en la documentación aportada. Si no ha podido
confirmar estos términos, debe calificar su informe
justificando las razones que le han llevado a considerar las
desviaciones de fidelidad y razonabilidad, y en qué
aspectos, y en qué medida, se ha incurrido en una
formulación errónea. El auditor debe expresar con
independencia su opinión.
En resumen: En todas las definiciones anteriores de
auditoria podemos encontrar varios puntos comunes:

• La realización de un examen ordenado y planificado,

• La comprobación de la calidad de lo examinado,
• La verificación de la fiabilidad de lo examinado en cuanto a
los hechos reales que refleja, y
• La obligación de informar a terceros con una opinión
fundada.
Concepto de Auditoría Informática: Es el proceso de
recoger, agrupar y evaluar evidencias para determinar si un sistema de
información salvaguarda los activos, mantiene la integridad de los datos,
lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.

El auditor evalúa y comprueba en determinados momentos del tiempo los

controles y procedimientos informativos más complejos, desarrollando y
aplicando técnicas mecanizadas de auditoría, incluyendo el uso de
software.
Principales objetivos que constituyen a la
Auditoría Informática

 El control de la función informática.

 El análisis de la eficacia del Sistema Informático.
 La verificación de la implantación de la Normativa.
 La revisión de la gestión de los recursos
informáticos.
La auditoría informática sirve para mejorar ciertas
características en la empresa como:
Eficiencia – Eficacia – Rentabilidad - Seguridad
1.2 Tipos de Auditoría: La Auditoría
puede clasificarse desde diversos puntos de vista, según
el sujeto que la efectúa, según el contenido y los fines,
por su amplitud y por su frecuencia.

Por el sujeto que la efectúa:

• Auditoría interna: Está a cargo de empleados de la propia
empresa, encuadrados en un departamento directamente
dependiente de la dirección general.
• Auditoría externa: Está a cargo de auditores
profesionales, ajenos a la empresa y totalmente
independientes.
Por su contenido y fines

• Auditoría de gestión: Afecta a la situación global de la empresa

.
• Auditoría organizativa: Analiza si la estructura organizativa de la
empresa es la
adecuada, según las necesidades y problemas de la misma.

• Auditoría operacional: determina hasta qué punto una unidad o

función dentro de una organización, está cumpliendo los
objetivos establecidos por la gerencia; así como identificar las
condiciones que necesiten mejora.

• Auditoría financiera: Examen y verificación de los estados

financieros de la empresa, para emitir una opinión fundada sobre
el grado de fiabilidad de dichos estados.

• Auditoría contable: Analiza la adecuación de los criterios

empleados para recoger
los hechos derivados de la actividad de la empresa y su
representación, mediante apuntes contables, en los estados
financieros.

• Auditoría informática: Examen y verificación del correcto

funcionamiento y control
del sistema informático de la empresa.
Por su amplitud:

• Auditoría total: Afecta a todos los elementos de la

empresa.

• Auditoría parcial: Se concentra en determinados

elementos de la empresa.

Por su frecuencia:
• Auditoría permanente: Se realiza periódicamente a lo
largo del ejercicio económico.
• Auditoría ocasional: Se realiza de forma esporádica.
Beneficios de la Auditoría: son los que tienen
relación con la empresa y necesitan información correcta y
auténtica sobre la situación y actividades de la misma.
• Auditoría interna: Es la propia empresa y todos
los órganos de gobierno y ejecutivos.
• Auditoría externa: Accionistas o socios.
Consejeros y ejecutivos. Proveedores,
acreedores y otros. Inversores. La Banca.
La Hacienda Pública.
Los empleados de la empresa.
Otros organismos públicos e institucionales.
Diferencia entre Auditoría Interna y Externa:

Interna: El sujeto que la realiza es un empleado de

la empresa; mientras que en la externa, es un
profesional independiente.

Interna: La independencia está limitada; mientras

que en la externa, la independencia es total.

Interna: La responsabilidad del sujeto que la realiza

es de tipo laboral; mientras que en la externa, es de
tipo profesional, que puede llegar a ser penal.

Interna: su objetivo es el examen de la gestión; mientras

que en la externa, el objetivo es el examen de los estados
financieros para determinar si representan la situación real
de la entidad auditada.

Interna: el informe emitido es un informe con

recomendaciones para la gerencia; mientras que en la
externa, está dirigido también a terceros.

Interna, el uso del informe está restringido al ámbito de

la propia empresa; mientras que en la externa, el uso
trasciende la propia empresa.
1.3 Campo de la Auditoría
Informática
Generalmente se puede desarrollar en alguna
o combinación de las siguientes áreas:

Gobierno corporativo - Administración del

Ciclo de vida de los sistemas - Servicios de
Entrega y Soporte - Protección y Seguridad -
Planes de y Recuperación de desastres.
1.4 Control Interno: proceso que lleva a
cabo el Consejo de Administración, la dirección y el resto de
los miembros de una entidad, con el objeto de proporcionar
un grado razonable de confianza en la consecución de
objetivos de fiabilidad de la información financiera, eficacia y
eficiencia de las operaciones y cumplimiento de las leyes y
las normas aplicables.
1.4 Control Interno: La dirección de
la organización tiene la responsabilidad de decidir el
alcance adecuado del sistema de control interno. La
naturaleza de los controles depende de la clase de
grado de control, distribución geográfica y
estructura de la organización, entre los factores más
importantes.

Limitaciones control interno: no garantiza, por sí

mismo, una administración eficiente y tampoco
puede evitar el fraude, cuando se da la complicidad
entre los cargos de confianza.
Componentes de un Sistema de Control
interno: han incluido:
(1)la segregación de funciones, (2) la delegación de la
responsabilidad y de la autoridad, (3) existencia de personal
competente y de confianza, (4) el sistema de autorizaciones,
(5) documentación y registros adecuados, (6) el control
físico sobre activos y registros, (7) la adecuada supervisión
de la gestión, (8) la verificación independiente de las
operaciones y (9) la comparación periódica de los registros
contabilizados con los activos.
1.5 Modelos de control utilizados en Auditoría Informática.
Las metodologías son necesarias para desarrollar
cualquier
proyecto que nos propongamos de manera ordenada y
eficaz.
La auditoría informática solo identifica el nivel de
“exposición” por la falta de controles mientras el análisis de
riesgos facilita la
evaluación de
los riesgos y
recomienda acciones en base al costo-
beneficio de la misma.

Todas las metodologías existentes en seguridad de sistemas

van encaminadas a establecer y mejorar un entramado de
contramedidas que garanticen que la productividad de que las
amenazas se materialicen en hechos sea lo mas
baja posible o al menos quede reducida de una forma razonable en
costo-beneficio.
1.5 Modelos de control utilizados
en Auditoría Informática.
Todas las metodologías existentes desarrolladas y
utilizadas en la auditoría y el control informático, se puede
agrupar en dos grandes familias:

Cuantitativas: Basadas en un modelo matemático

numérico que ayuda a la realización del trabajo, están
diseñadas para producir una lista de riesgos que pueden
compararse entre sí con facilidad por tener asignados unos
valores numérico. Estos valores son datos de probabilidad
de ocurrencia de un evento que se debe extraer de un
riesgo de incidencias donde el número de incidencias
tiende al infinito.

Cualitativas: Basadas en el criterio y raciocinio humano

capaz de definir un proceso de trabajo, para seleccionar en
base a la experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del
profesional para usar el check-list/guía). Basadas en
métodos estadísticos y lógica borrosa, que requiere menos
recursos humanos / tiempo que las metodologías
cuantitativa
1.6 Principios aplicados a los
auditores informáticos
De auditado - De calidad - De capacidad - Comportamiento
profesional- De concentración en el trabajo - De confianza -
De criterio propio - De discreción - De economía - De
formación continua - De fortalecimiento y respeto a la
profesión - De independencia - De información suficiente -
De integridad moral - De legalidad De libre competencia -
De no discriminación - De no injerencia - De precisión - De
publicidad adecuada - De responsabilidad
De secreto profesional - De servicio público - De veracidad