CONCEPTOS Y DEFINICIONES

IMPORTANTES EN AUDITORÍA
INFORMÁTICA.
Auditoría
Viene del latín auditorius → auditor → que tiene la virtud de oír,
"revisor de cuentas colegiado“, debe estar encaminado a un
objetivo específico que es el de evaluar la eficiencia y eficacia
con que se está operando para que, por medio de
señalamiento de cursos alternativos de acción, se tomen
decisiones que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuación.
Eficacia → lograr los objetivos.
Eficiencia →lograr lo planeado con los menores recursos
posibles.
"La auditoría no es una actividad meramente mecánica que
implique la aplicación de ciertos procedimientos cuyos
resultados, una vez llevados a cabo, son de carácter
indudable.
La auditoría requiere el ejercicio de un juicio profesional, sólido
y maduro, para juzgar los procedimientos que deben de
seguirse y estimar los resultados obtenidos”.
Existen normas y procedimientos específicos para la
realización de auditorías como parte de una profesión, pueden
estar basadas en las experiencias de otras profesiones pero
con algunas características propias.
La auditoría debe ser más amplia que la simple detección de
errores.
La auditoría debe evaluar para mejorar lo existente, corregir
errores y proponer alternativas de solución.
Es un proceso formal y necesario para las empresas con el fin de
asegurar que todos sus activos sean protegidos en forma
adecuada.La alta dirección espera que de los proyectos de auditoría
surjan recomendaciones para que se lleven a cabo de manera
oportuna y satisfactoria las políticas, controles y procedimientos
definidos formalmente, con objeto de que cada individuo o función de
la organización opere de modo productivo en sus actividades diarias,
respetando las normas generales de honestidad y trabajo aceptadas.
[Hernández, 1997].

Examen metódico de una situación relativa a un producto, proceso u

organización en materia de calidad, realizada en cooperación con los
interesados para verificar la concordancia de la realidad con lo
preestablecido y la adecuación al objetivo buscado.

Actividad para determinar, por medio de la investigación, la

adecuación de los procedimientos establecidos, instrucciones,
especificaciones, codificaciones y estándares u otros requisitos, la
adhesión de los mismos y la eficiencia de su implantación.
Es la investigación, consulta, revisión, verificación, comprobación y
evidencia. Aplicada la empresa es el examen del estado financiero
de una empresa realizada por personal cualificado e independiente,
de acuerdo con normas de contabilidad, con el fin de esperar una
opinión con que tales estados contables muestran lo acontecido en
el negocio. Requisito fundamental es la independencia.

Se define como la acumulación y la evaluación de las evidencias

sobre la información cuantificable de una entidad económica para
determinar y opinar sobre el grado de correspondencia que hay
entre la información y el criterio establecido. [Zamarripa, 2002].

Es un proceso sistemático para obtener y evaluar evidencias de una

manera objetiva respecto a las afirmaciones correspondientes a
actos económicos y eventos para determinar el grado de
correspondencia entre estas afirmaciones y criterios establecidos y
comunicar los resultados a los usuarios interesados.[Kell-Ziegler].
En el ambiente de sistemas, los exámenes de las operaciones que
realiza un sistema de cómputo con la finalidad de evaluar la situación
del mismo. Los auditores deben tener la capacidad de validar los
reportes y de probar la autenticidad y la precisión de los datos y la
información que se maneja. [González].

Representa el examen de los estados financieros de una entidad,

con el objeto de que el contador público independiente emita una
opinión profesional si dichos estados representan la situación
financiera, los resultados de las operaciones, las variaciones en el
capital contable y los cambios en la situación financiera de una
empresa, de acuerdo a los principios de la contabilidad
generalmente aceptados.
Auditoría operacional.-
Es el examen y evaluación que se realiza a una entidad u
organismo, para establecer el grado de eficiencia, efectividad y
economía en su planificación, organización, dirección, control
interno y uso de sus recursos; verificar la observancia de las
disposiciones y recomendaciones tendientes a mejorar las
actividades y materias examinadas; dirigida su atención en forma
selectiva a las actividades y materias consideradas como críticas.”
Auditoría financiera.-
Es el examen de los registros, comprobantes, documentos y otras
evidencias que sustentan los estados financieros de una entidad u
organismo, efectuado por el auditor para formular el dictamen con
respecto a la razonabilidad con que se presentan los resultados
de las operaciones, la situación financiera, los cambios operados
en ella y en el patrimonio; para determinar el cumplimiento de las
disposiciones legales y para formular comentarios, conclusiones y
recomendaciones tendientes a mejorar los procedimientos
relativos a la gestión financiera y al control interno.
Auditoria Gubernamental
Desde la perspectiva de la actitud frente a las autoridades, la
auditoría gubernamental se la identifica como una herramienta
indispensable de apoyo y asesoría, para las diferentes entidades y
organismos del sector público.
Auditoría integral:
Es el examen crítico, sistemático y detallado de los sistemas de información
financiero, de gestión y legal de una organización, realizado con
independencia y utilizando técnicas especificas, con el propósito de emitir
un informe profesional sobre la razonabilidad de la información financiera, la
eficacia eficiencia y economicidad en el manejo de los recursos y el apego
de las operaciones económicas a las normas contables, administrativas y
legales que le son aplicables, para la toma de decisiones que permitan la
mejora de su productividad.
Administración informática.-
Aplicación del proceso administrativo, que comprende la
planeación, organización, dirección y control, expresados en
hardware, software, datos, factor humano y otros recursos
asociados a la automatización las actividades operativas de las
organizaciones.
Auditoría Informática
Es el examen objetivo, crítico, sistemático, posterior y selectivo
que se hace a la administración informática de una organización,
con el fin de emitir una opinión acerca de la eficiencia en la
adquisición y utilización de los recursos informáticos, la
confiabilidad, integridad, seguridad y oportunidad de la
información y la efectividad de los controles en los sistemas de
información.
Es parte de la Auditoría Operacional y consiste en la verificación
y evaluación de los procedimientos de informática, sistemas y
equipos de cómputo, a fin de lograr una utilización más eficiente y
segura, que servirá para una adecuada toma de decisiones.
Examen especial:
Consiste en la verificación, estudio y evaluación de
aspectos limitados o de una parte de las operaciones y
transacciones financieras o administrativas, con
posterioridad a su ejecución, aplicando las técnicas y
procedimientos de la auditoría, de la ingeniería o afines, o
de las disciplinas específicas, de acuerdo con la materia de
examen, con el objeto de evaluar el cumplimiento de
políticas, normas y programas y formular el
correspondiente informe que debe contener comentarios,
conclusiones y recomendaciones.
Revisión selectiva.-
Si de la evaluación del control interno y del examen
selectivo de las transacciones u operaciones, el auditor
gubernamental llega a tener evidencia suficiente y
pertinente sobre la confiabilidad de las mismas, a su
discreción podrá limitar el examen a una parte de ellas.
Auditoría interna.-
Es el examen y evaluación de las transacciones y operaciones de una entidad,
como un servicio a la alta dirección, realizada por auditores organizados en una
unidad administrativa interna; las funciones de estos auditores deben tener el
máximo grado de independencia de las actividades sujetas a su examen. Las
auditorias internas, además de sus funciones específicas, proporcionan la
asesoría técnica administrativa que les sea solicitada.
La función de auditoría es la evaluación y juzgamiento y no participa en los
procesos de administración, aprobación, contabilización o adopción de
decisiones dentro de la entidad y organismo. Su participación en las
actividades de toma de inventarios, entrega recepciones, avalúos, remates,
bajas, etc,, se limita a observarlas, sin aprobar ni firmar documentos, debiendo
informar separadamente.
Los objetivos de un auditor interno no son siempre claros, el auditor interno
debe estar atento a todo tipo de riesgo y sus causas, pocas organizaciones de
auditores internos logran un equilibrio en su trabajo. Esto no es necesariamente
un error; los auditores internos deben responder a los deseos de la alta
gerencia, así como a las necesidades especiales de la propia empresa.Los
conocimientos necesarios para evaluar los diferentes tipos de riesgos pueden
requerir que el personal de auditoría Interna se divida en varias especialidades.
Auditoría Externa.
Aquella que se realiza con auditores que no forman parte
de la organización auditada.
Los objetivos del auditor externo son bastante claros:
evaluar la calidad de los sistemas y otros controles que
pudieran afectar la calidad de la operación.
AUDITORIA INTERNA AUDITORIA EXTERNA

•Propia de la organización •Contratada

•Existente en grandes entidades •Existente en cualquier entidad
•Decisión propia de la entidad. •Especializada
•Es periódica •Compara informes externos
•Menor objetividad •Mayor objetividad
•Visión interna del negocio •Visión externa
•Mecanismo de Protección
REDUCCION DE RIESGO
MEJORAMIENTO CONTINUO
Auditoría de Cumplimiento.-
Es la comprobación o examen de las operaciones de una entidad
para establecer que se han realizado conforme a las normas legales,
reglamentarias, estatuarias y de procedimientos que le son
aplicables.
Se practica mediante la revisión de documentos que soportan las
operaciones para determinar si los procedimientos utilizados y las
medidas de control interno están de acuerdo con las normas que le
son aplicables y si dichos procedimientos están operando de manera
efectiva y son adecuados para el logro de los objetivos de la entidad.
Para los auditores internos, ésta es su función principal.
Se llevan a cabo con auditores externos cuando se quiere predecir el
grado de confiabilidad de los sistemas de la organización y
consecuentemente, reducen el alcance de las pruebas sustantivas
que se efectúan sobre las operaciones.
En pocas organizaciones sus sistemas pueden ser verificados sólo
mediante procedimientos de auditoría sustantivos, en la mayoría de
casos la confianza en los controles es esencial para una auditoría.
Algunos tipos de Auditoría Informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría en el entorno de la computadora
• Auditoría sobre la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo
• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría outsourcing
• Auditoría ergonómica de sistemas computacionales.
Características de la auditoría
• Objetiva, porque el auditor requiere de evidencias para
poder emitir una opinión sobre los procesos auditados.
• Independiente, porque requiere un alto grado de
independencia mental del auditor, con relación a los
funcionarios y actividades de las entidades auditadas.
• Crítica, Se encuentra centrada en la búsqueda de las
fallas y errores
• Sistemática, por cuanto se basa en normas, métodos,
procedimientos y técnicas de auditoría de sistemas.
• Posterior a las actividades, operaciones y decisiones
tomadas por la entidad vigilada.
• Selectiva a través de muestras. El auditor debe
determinar el tamaño de la muestra para poder, si es del
caso, inferir conclusiones generales.
Objetivos de la Auditoría:
• Mejorar la administración mediante la implantación de
recomendaciones;
• Asegurar la ética en la administración, por medio de un eficiente
control posterior;
• Verificar la confiabilidad, oportunidad y pertinencia de la información
financiera y administrativa;
• Poner de manifiesto y corregir las irregularidades, errores,
desviaciones o deficiencias de las operaciones;
• Verificar que los recursos humanos, materiales y financieros hayan
sido debidamente controlados y aplicados a los programas,
actividades y propósitos autorizados y que hayan sido utilizados de
manera eficiente, efectiva y económica;
• Comprobar el cumplimiento de las disposiciones legales referentes
a la gestión administrativa y financiera;
• Determinar si todas las rentas e ingresos resultantes de las
operaciones han sido correctamente determinados, cobrados y
contabilizados; y
• Evaluar los sistemas de control interno y formular recomendaciones
para mejorarlos.
 EVIDENCIA
Es la información utilizada por el auditor para alcanzar las conclusiones en
las que basa su opinión.
El resultado de una auditoría, que se soporta en la calidad o competencia
y suficiencia de la evidencia, posiciona o debilita la imagen de la
organización frente a los resultados obtenidos.
Calidad en relación a su relevancia y confiabilidad.
Suficiente en términos de cantidad, tomando en cuenta la posibilidad de
información errónea, su importancia y el costo.
Se considera competente y suficiente si cumple éstas características:
Relevante - Cuando ayuda al auditor a llegar a una conclusión respecto a
los objetivos específicos de auditoría.
Auténtica - Cuando es verdadera en todas sus características.
Verificable - Es el requisito de la evidencia que permite que dos o más
auditores lleguen por separado a las mismas conclusiones, en iguales
circunstancias.
Neutral - Es requisito que esté libre de prejuicios. Si el asunto bajo estudio
es neutral, no debe haber sido diseñado para apoyar intereses especiales.
 EVIDENCIA
La obtención de evidencia en auditoría es afectada por:
Riesgo inherente. Cuanto mayor sea el nivel de riesgo inherente mayor
será la cantidad de evidencia necesaria.
Riesgo de control.- El control interno y su grado de implementación
proporciona la tranquilidad o desconfianza, susceptible de análisis y
comprobación.
El auditor debe obtener evidencia mediante la aplicación de pruebas y
procedimientos:
Pruebas de control.- Se realizan con el objeto de obtener evidencia sobre
la idoneidad del sistema de control interno y contabilidad.
Pruebas sustantivas.- Consiste en examinar las transacciones y la
información producida por la entidad bajo examen, aplicando los
procedimientos y técnicas de auditoría, con el objeto de validar las
afirmaciones y para detectar las distorsiones materiales contenidas en los
estados financieros.
 Tipos de evidencia
Examen Físico: es la inspección o conteo de un activo tangible. Es un
medio directo para verificar que en realidad existe un activo, se considera
como uno de los tipos más confiables y útiles de evidencias de auditoría.
Ejemplo: inventarios, arqueo de documentos.
Confirmación: es la recepción de una respuesta oral o escrita de una
tercera parte independiente, que verifica la precisión de la información que
ha solicitado el auditor. Ejemplo: confirmación de proveedora, confirmación
de abogados, confirmación de clientes.
Documentación: es el examen que se hace de documentos y archivos
para apoyar la información que es o debe ser incluida en el informe.
Ejemplo: facturas, contratos.
Observación: es el uso de los sentidos para evaluar ciertas actividades.
Es necesario hacer un seguimiento de las impresiones iniciales.
Consulta: es obtener información escrita o verbal del cliente en respuesta
a algunas preguntas del auditor. Por lo general no puede considerarse
como concluyente. Ejemplo: entrevistas.
Desempeño, recálculo: implica verificar de nuevo una muestra de los
cálculos y transferencia de información auditada.
Procedimientos analíticos: se utilizan comparaciones y relaciones para
determinar si los datos son razonables. Ejemplo: cruzar información.
Las Principales pruebas y herramientas para efectuar una
auditoría de sistemas son:

Pruebas clásicas:

Consiste en probar las aplicaciones o sistemas con datos

de prueba, observando la entrada, la salida esperada, y la
salida obtenida. Existen paquetes que permiten la
realización de estas pruebas.
Pruebas sustantivas:

Aportan al auditor informático suficientes evidencias para

que se pueda realizar un juicio imparcial. Se suelen obtener
mediante observación, cálculos, muestreos, entrevistas,
técnicas de examen analítico, revisiones y conciliaciones.
Verifica asimismo la exactitud, integridad y validez de
la información obtenida.
Pruebas de cumplimiento:

Determinan si un sistema de control interno funciona

adecuadamente (según la documentación, según declaran
los auditados y según las políticas y procedimientos de la
organización).
 PROCEDIMIENTOS DE AUDITORIA

Es la instrucción detallada para la recopilación de un tipo de

evidencia, que se ha de obtener en cierto momento durante la
auditoría.
Los procedimientos de auditoría deben estar respaldados por
la evidencia de auditoría y la utilización de una u otra va a
depender del tamaño de la naturaleza de la muestra, la
cantidad de partidas a escoger y de la oportunidad de las
pruebas.
 TÉCNICAS DE AUDITORÍA.
Son los métodos prácticos de investigación y prueba para verificar la
legitimidad de la información, realizando las comprobaciones necesarias
para formar un juicio profesional, pueden ser.
Inspecciones.- Comprende la inspección documental y examen físico.
Observación.- Presenciar un procedimiento realizado por otro.
Entrevista.- Buscar la información en forma individualizada con contacto
personal, sea por escrito u oral.
Confirmación.- Corroborar la información obtenida con terceros
relacionados.
Cálculo.- Comprobar la exactitud aritmética o desarrollar operaciones
independientes comprobatorias.
Procedimientos analíticos.-Consisten en utilizar los índices y tendencias
significativas para determinar la liquidez, posición financiera, capacidad de
endeudamiento, rentabilidad y gestión empresarial; así como, las
fluctuaciones y relaciones inconsistentes en los componentes del balance
general y estado de resultados. A través de esta información se lleva a
cabo una adecuada planificación y desarrollo de la auditoría.
Comprobación.-El auditor dedica la mayor parte de la auditoría a los
asuntos donde es mayor la posibilidad de error o información equivocada.
Un método para determinar estas áreas es la comparación.