UNIDAD I. AUDITORÍA DE LA FUNCIÓN INFORMÁTICA Fundamentos de la auditoría 3hrs. teóricas
Definición de auditoría Examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad, realizado en cooperación con los interesados para verificar la concordancia de la realidad con lo establecido y la adecuación al objetivo buscado.
Concepto erróneo de auditoría Evaluación cuyo único fin es detectar errores y señalar fallas.
Auditor El que tiene la virtud de oír. Encaminado a un objetivo específico, que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
Eficacia: “Virtud, actividad, fuerza, para poder obrar”. Lograr los objetivos. Eficiencia: “virtud y facultad para lograr un efecto determinado”. Poder lograr lo planeado con los menores recursos posibles.
Informática Información: Serie de datos clasificados y ordenados con un objetivo común. Dato: Se refiere únicamente a un símbolo, signo o a una serie de letras o números, sin un objetivo que dé significado a esa serie de símbolos, signos, letras o números.
¿Qué es auditar? Comprobar si algo es adecuado. ¿Qué es auditoría informática? Es la función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en forma eficaz y eficiente.
Es la verificación de los controles en ls siguientes 3 áreas de la organización (informática): Aplicaciones (programa de producción). Desarrollo de sistemas Instalación del centro de proceso. Revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de información, a fin de que por medio del sañalamiento de cursos alternativos se logra la utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.
Auditoría con informática Auditoría asistida por computadora El auditor debe utilizar la computadora en la ejecución de la auditoría, ya que esta herraienta permitirá ampliar la cobertura del examen, reduciendo el tiempo/costo de las pruebas y procedimientos de muestreo, que de otra manera tendrían que efectuarse manualmente. Una computadora puede utilizarse en: –Transmisión de información de la contabilidad de la organización a la computadora del auditor, para ser trabajada por este, o bien accceso al sistema de red para que el auditor elabore las peubas.
–Verificación de cifras totales y cálculos para comprobar la exactitud de los reportes de salida producidos por el departamento de informática, de la información enviada por medios de comunicación y de la información almacenada. –Pruebas de los registros de los archivos para verificar ña consitencia lógica, la validación de condiciones y la rezonabilidad de los montos de las operaciones. –Clasificación de datos y análisis de la ejecución de procedimientos. –Selección e impresión de datos mediante técnicas de muestreo y confirmaciones. –Llevar a cabo en forma independiente una simulación del proceso de transacciones para verificar la conexión y consistencia de los programas de computadora.
¿Qué no es auditoría? No es auditoría contable: El auditor no investiga la parte de la gestión económica que se hace con computadoras para descubrir fraudes o incorrecciones. No es policía informática: El auditor no busca programas ilegales o delitos cometidos a través de internet.
Resultado de una auditoría Un juicio o una opinión por escrito en el que se dice si el sistema de gestión informática (SGI) de la empresa es correcto o no y por qué. El informe de la auditoría (recoge la opinión de los auditores) va dirigido siempre a los directivos del SGI.
Tipo de auditorías De acuerdo al tipo de síntomas que motivan la auditoría: – Correctiva Trata de determinar si el SGI fue mal planificado, desarrollado o implementado dentro de la empresa. –Detectiva Se trata de determinar si el SGI aún habiendo sido bien instalado está mal gestionado en la actualidad.
… detectiva Si los procedimientos de operación se apartan de las pautas trazadas. Si el personal ignora deliberadamente las directrices que se diseñaron. Si las directrices se han quedado obsoletas y aunque se siguen bien dan lugar a una mala gestión.
–Preventiva Trata de determinar si el SGI, el cual ha sido bien planificado y llevado a la práctica, que actualmente se gestiona con eficacia y se adecua perfectamente a las necesidades de información de la empresa, puede llegar a ser poco operativo si no se introducen ciertas mejoras o cambios.
De acuerdo a la procedencia del personal que realiza la auditoría –Interna Es la realizada con recursos materiales y humanos que pertenecen a la empresa que está siendo auditada. Los auditores informáticos internos son personal de la empresa (remunerados por ésta) ¿Es esto un problema?. No si el equipo de auditoría es un órgano staff de la dirección de la empresa (es decir, sólo debe rendir cuentas a ésta). En caso contrario puede haber problemas debidos a presiones internas. Tipo de auditorías
–Externa Es la realizada por personas ajenas a la empresa auditada. Los auditores informáticos externos no son personal de la empresa. ¿Supone esto un problema? No si en el contrato de auditoria se incluyen las cláusulas de confidencialidad necesarias.