Auditoría en Sistemas de la Información

Conceptos Generales de Auditoría

OBJETIVOS
Concepto de Auditoría y Características Generales

Clasificación de los diferentes tipos de Auditoría

Rol de la Auditoría

Impacto de las Tecnologías de la Información

Consultoría

Control de Gestión

¿Qué es la Auditoría? Origen del Término

• Deriva del latín “audire” que significa oír. Los primeros auditores ejercían sus funciones principalmente oyendo,
juzgando la verdad o la falsedad de lo que les era sometido a su verificación

• Cada vez que el propietario de la empresa sospechaba de fraudes o apropiación indebida de fondos, nombraba a
un funcionario para verificar las cuentas. Dicha persona se reuniría con los empleados interesados y escucharía lo
que tuviera que decir en relación con las cuentas. La persona designada para examinar las cuentas se conoció
como el "auditor".

¿Qué es la Auditoría? Algunas Definiciones

• “Auditoría es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo
de obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis”

• “Auditar es efectuar el control y la revisión de una situación pasada. Es observar lo que pasó en una entidad y
contrastarlo con normas predefinidas.”

• ..es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis
presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas”

• Se espera que el auditor de SI siga el proceso de auditoría definido, establezca criterios de auditoría, reúna
evidencia significativa y presente una opinión independiente sobre los controles internos.

• La auditoría implica la aplicación de diversas técnicas para recopilar evidencia significativa y luego realizar una
comparación de la evidencia de auditoría con el estándar de referencia.

¿Por qué la necesidad de una auditoría?

• Siempre han existido dudas sobre la calidad y credibilidad de los informes que los gerentes entregan a los
propietarios. Este informe puede ser:

• Contener Errores

• No revelar fraudes

• Ser inadvertidamente engañoso

• Ser deliberadamente engañoso

• No divulgar información relevante

• No cumplir con las regulaciones

La solución a este problema de credibilidad en los informes y las cuentas radica en nombrar a una persona independiente
llamada auditor para investigar el informe y presentar sus conclusiones.
Claves del Éxito de una Auditoría
• Si las afirmaciones de la administración y el informe del auditor están de acuerdo, puede esperar que los
resultados sean veraces.

• Si las afirmaciones de la gerencia y el informe del auditor no están de acuerdo, eso indicaría una preocupación
que justifica una mayor atención.

• Su clave para el éxito en la auditoría es informar con precisión sus hallazgos, ya sean buenos o malos o
indiferentes.

• Un buen auditor producirá resultados verificables. Nadie debería venir detrás del auditor con un resultado
diferente de los hallazgos.

• El trabajo es informar lo que indica la evidencia.

Objetivos de la Auditoría

Objetivos de la Auditoría

Primario Secundario

Promoviendo Promoviendo Detección de Detección de Prevención Prevención

Eficiencia Exactitud Errores Fraude de Errores de Fraude

Apropiación
Errores Errores de Errores de Malversación Manipulación
indebida de
Materiales Compensación Principios de Fondos de cuentas
bienes

Errores de Errores de
Omisión Comisión

Clases de Auditoría
Se puede clasificar a la auditoría de dos maneras.

• Según el Campo de Actuación

• Según la Relación de Dependencia del Auditor

Clases de Auditoría – Según el Campo de Actuación

 Tipo Objetivo

Contable Examen de los estados financieros de una organización para informar la

veracidad y razonabilidad de su situación patrimonial. Además, certifica
que los mismos sean realizados de acuerdo a los estándares contables

Administrativo / Control de la actividad desarrollada por los administradores de una

Operativa organización. Cumplimiento de metas, uso óptimo de RRHH.

Social Sobre algún campo de acción significativo con repercusión social

Médica Calidad médica de los sistemas de salud

Informática Comprobar la fiabilidad de la herramienta informática y la utilización

que se hace de ella en una organización

Según la Relación de Dependencia - Auditoría Interna

• El sistema de auditoría interna se considera parte del sistema de control de gestión y no simplemente un
asistente del mismo.

• La auditoría interna a menudo difiere en su alcance y énfasis. Es más gerencial que contable.

• La naturaleza y el alcance de la verificación también dependen del tamaño y el tipo de organización empresarial.

• Abarca no solo la auditoría operativa de diversas actividades operativas en la organización, sino que también
incluye la auditoría de la propia gerencia.

• La función de auditoría interna puede considerarse como una parte integral del sistema de control interno.

• La auditoría interna es de naturaleza continua. El trabajo del auditor interno comienza después de que se
completan las transacciones.

• En general, la auditoría interna es realizada por el personal permanente de la organización. En ocasiones, se

puede solicitar a agencias externas que realicen auditorías internas.

• La existencia de auditoría interna es una ayuda para el auditor externo.

Según la Relación de Dependencia -Auditoría Externa

• Es realizada por un auditor externo independiente. Este tipo de auditoría generalmente se realiza para cumplir
con el requisito de las disposiciones de la ley

• El auditor que realiza dicha auditoría es "independiente" de la empresa bajo auditoría. Es un profesional
independiente que no tiene ninguna relación con la empresa que pueda afectar negativamente su capacidad para
formar un juicio objetivo.

• La auditoría externa generalmente es realizada por un auditor calificado independiente.

• En el curso normal, este tipo de auditoría se realiza periódicamente.

• El auditor externo puede trabajar de forma independiente y disfruta de un mejor estado.

• En los casos en que se realiza una auditoría externa debido a una obligación legal, el auditor debe tener una
calificación profesional.

• Este tipo de auditoría se realiza principalmente para salvaguardar el interés de los propietarios, accionistas y otras
partes que no tienen conocimiento del funcionamiento diario de las organizaciones.
Clases de Auditoría – Según la Dependencia del Auditor

Aspecto Auditoría Externa Auditoría Interna

Considerado

Naturaleza Se realiza para informar sobre
la fiabilidad y la equidad de
los estados financieros,
cumplimiento de una ley,
adhesión a un estándar, etc
Se lleva a cabo con el fin de verificar el cumplimiento de las
normas y procedimientos establecidos y proteger los activos
de la organización.

Aptitudes El auditor debe poseer una No se requiere que el auditor interno posea ninguna
calificación específica según calificación específica.
lo prescrito por el estatuto
respectivo.

Alcance de Este tipo de auditoría debe El alcance del trabajo de la auditoría interna está
trabajo ser completa en todos los determinado por la gerencia.
aspectos. Su alcance no
puede ser reducido de
ninguna manera por la
gerencia.

Propósito El objetivo de este tipo de El objetivo básico de la auditoría interna es mejorar el

auditoría es proteger el rendimiento, la eficiencia y la rentabilidad de la empresa.
interés de los propietarios y
otras partes relacionadas con
la empresa.

Nombramiento Los auditores externos El auditor interno es designado por la gerencia.

del auditor generalmente son
nombrados por los
propietarios y, en algunos
casos, por el gobierno.

Estado El auditor es una persona El auditor interno es un empleado de la organización. Está

ajena e independiente. No obligado por las normas y reglamentos de la organización.
está sujeto a ninguna regla ni
reglamento de la
organización.

Continuidad La auditoría externa puede La auditoría interna es de naturaleza continua. Se lleva a cabo
ser periódica o continua. durante todo el año.

Rol del Auditor

Fase de la Auditoría Participación del Auditor de SI

Alcance Apoyo al revisor fiscal en la elaboración de la propuesta, identificando los

procesos de TI y SI relevantes.

Determinar el nivel de complejidad de los sistemas

 Identificar y Evaluar el Riesgo En empresas con sistemas complejos:
de TI
•Evaluar y documentar la efectividad de los CGTI

Diseño de la Respuesta de •Apoyar la discusión del equipo de auditoría

Auditoría
•Establecer conjuntamente objetivos, alcances, estrategias y enfoque de la A. de
S.

Obtener Evidencia de Auditoría Diseñar y ejecutar los procedimientos de auditoría que resulten aplicables. Validar
resultados.

Formar una Opinión Evaluar con el equipo de auditoría los resultados de auditoría (efecto sobre la
opinión)

Informe Preparar el Informe

Rol del auditor – Características que debe tener

• Integridad, objetividad e Independencia: El auditor debe ser directo, honesto y sincero en su enfoque de su
trabajo profesional y debe mantener una actitud imparcial.

• Confidencialidad: El auditor debe respetar la confidencialidad de la información adquirida en el curso de su

trabajo de auditoría.

• Habilidades y competencia: La auditoría debe realizarse y el informe debe ser preparado con el debido cuidado
profesional por personas que tengan la capacitación, experiencia y competencia adecuadas en auditoría.

• Documentación: El auditor debe mantener documentos que son importantes para proporcionar evidencia de que
la auditoría se llevó a cabo de acuerdo con los principios básicos.

• Planificación: El auditor debe planificar su trabajo para permitirle realizar una auditoría efectiva de manera
eficiente y oportuna.

Cualidades de un Auditor
• Un auditor debe poseer la capacidad técnica y el conocimiento necesarios para la auditoría que deba realizar.

• Debe estar familiarizado con las mejores prácticas actuales.

• Debe ser objetivo tanto al formular sus opiniones como al expresarlas sin prejuicios.

• Debe tener integridad. Una vez que ha formado su opinión, debe estar preparado para expresarla claramente sin
temor ni favor.

• Debe ser metódico en su trabajo. Un auditor que deja cabos sueltos se encontrará abierto a acusaciones de
negligencia.

• Debería tener una mente inquisitiva. Un auditor debe reconocer circunstancias sospechosas, y una vez que se ha
despertado su sospecha, tiene el deber de investigar los asuntos hasta el fondo.

• También debe ser discreto y práctico en sus tratos con sus clientes.

• Un auditor debe ser independiente y debe tener cuidado de no comprometer su independencia.

Deficiencias de la Auditoría
• Falta de imagen completa: La auditoría puede no dar una imagen completa. Si las cuentas se preparan con la
intención de defraudar a otros, es posible que el auditor no pueda detectarlas.

• Problemas de dependencia: Algunas veces el auditor tiene que depender de explicaciones, aclaraciones e
información del personal y del cliente. Puede o no obtener información correcta o completa.
 • Examen post mortem: La auditoría es un examen post mortem. No hay uso de dicho examen cuando ya se han
producido eventos.

• Existencia de errores en las cuentas auditadas: En todos los casos, el auditor no puede verificar todas y cada una
de las transacciones de una organización. Como resultado, puede haber un error en las cuentas auditadas incluso
después de la verificación por parte del auditor.

• Falta de experiencia: El auditor tiene que buscar la opinión de expertos sobre ciertos asuntos sobre los cuales
puede no tener conocimiento de expertos. El auditor tiene que depender de dichos informes, que pueden no ser
siempre correctos.

• Situaciones diversificadas: La auditoría se considera un trabajo mecánico. Los auditores pueden no estar en
condiciones de enmarcar el programa de auditoría, que puede seguirse en todas las situaciones.

• Calidad del auditor: El éxito de la auditoría depende de la sinceridad con la que el auditor haya desempeñado sus
funciones. El mismo trabajo de auditoría puede ser realizado por dos auditores diferentes con diferente
sinceridad.

• Existencia de políticas defectuosas: Defectos relacionados con la gestión y el control pueden no ser cubiertos por
el auditor.

Consultoría
Dar asesoramiento o consejo sobre lo que se ha de hacer o cómo llevar adecuadamente una determinada actividad para
obtener los fines deseados.

Posee las siguientes características

Ítem Descripción

Contenido De asesoramiento o consejo

Condición De Carácter Especializado

Justificación En base a un examen o análisis

Objeto Establecer la manera de llevarla a cabo adecuadamente

Consultoría vs Auditoría

Descripción Breve Objetivo Momento Efectividad del Trabajo

Auditoría Revisión de una Controlar el Posterior a los Mejoras recomendadas al sistema

situación pasada Desempeño Eventos de control interno de la empresa y
observándolo contra la seguridad
normas predefinidas

Consultoría Implementar las Optimizar el Previo a los Eventos Se podrá medir a medida que
recomendaciones Desempeño transcurra el tiempo desde la
propuestas en una puesta en práctica de las soluciones
auditoría previa o
por un ejecutivo, con
el objetivo de
mejorar la
productividad de la
empresa
Efecto de las Nuevas Tecnologías en la Auditoría

Humano Computador

Costo de la Alto Bajo

Explotación

Costo de Operación Alto Bajo

Rendimiento Disminuye Constante

Continuado

Consistencia Poca Excelente

Capacidad de Buena Pobre

Cálculo

Reacción ante lo Buena Pobre

Inesperado

Sentido Común Excelente Pobre

Lenguaje Bueno Pobre

Auditoría de Sistemas – Algunas Definiciones

• ...“es el conjunto de técnicas, actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar
en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático de la
empresa, ... con vistas a mejorar en rentabilidad, seguridad y eficacia.” (1)

• ...“conjunto de Procedimientos y Técnicas para evaluar y controlar total o

• parcialmente un Sistema Informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se
desarrollan eficientemente y de acuerdo con la normativa informática y general existente en cada empresa, y
para conseguir la eficacia exigida en el marco de la organización correspondiente.” (2)

Auditoría de Sistemas – Conceptos Claves

• Se la puede denominar también “Auditoría de Recursos Informáticos”

• No se trata de analizar la corrección de los estados financieros

• Se ocupa de verificar la correcta utilización de los recursos informáticos disponibles

• En general se controla el departamento de sistemas de la entidad

• Incluyen la revisión de los programas y procedimientos que automatizan el procesamiento de los datos
pertenecientes a las aplicaciones bajo análisis

• Objetivos Generales
 • Evaluar políticas de orden administrativo

• Evaluar políticas de orden técnico

• Evaluar políticas sobre seguridad física y lógica

• Evaluar políticas sobre recursos informáticos

• Asesorar y recomendar a la gerencia y directivas

Auditoría de Sistemas – Planificación

• Objetivos a corto y a largo plazo.

• Las de corto plazo son las que se deberán tener en cuenta dentro del año en curso

• Las de largo plazo tendrán en cuenta los cambios en la organización de acuerdo a la dirección estratégica
de IT

• Deben ser revisados anualmente

• Otras consideraciones

• Evaluación periódica de los riesgos

• Cambios en las tecnologías

• Problemas con cambios en la privacidad

• Requerimientos regultorios

• Implementaciones de sistemas o fechas límite en actualizaciones

• Tecnologías futuras

• Limitaciones de recursos de sistemas de información