Fundamentos de Auditoría Informática y Control Interno

Parte 1: Auditoría Informática y Control Interno

Definición de Auditoría Informática

Es un proceso llevado a cabo por profesionales especializados, que consiste en recopilar, agrupar y evaluar evidencias para determinar si un sistema de información:

  • Salvaguarda el activo empresarial.
  • Mantiene la integridad de los datos.
  • Cumple eficazmente los fines de la organización.
  • Utiliza eficientemente los recursos.
  • Cumple con las leyes y regulaciones establecidas.

Áreas de Acción de la Auditoría Informática

  • Auditoría Física
  • Auditoría de la Ofimática
  • Auditoría de la Dirección
  • Auditoría de la Explotación
  • Auditoría del Desarrollo

Aspectos de la Auditoría Administrativa Aplicables a la Auditoría Informática

(Para una presentación más detallada, consultar la presentación PowerPoint adjunta).

  • Se detallarán los aspectos en la presentación.

Tipos de Auditoría por Área de Aplicación

Auditoría Financiera (Contable)

Consiste en revisar la correcta y oportuna aplicación de los registros contables y operaciones financieras de las empresas, con el propósito de comprobar que la emisión de los resultados financieros de un ejercicio fiscal cumpla con los principios contables que regulan las actividades del contador público y así poder emitir un dictamen sobre sus resultados financieros.

  • Revisar los principios de contabilidad generalmente aceptados.
  • Crear su propia definición.
  • Investigar posibles hallazgos.

Auditoría Administrativa

Es la revisión sistemática y exhaustiva de la actividad administrativa de una empresa, en cuanto a su organización, las relaciones entre sus integrantes y el cumplimiento de las funciones y actividades que regulan sus operaciones.

  • Crear su propia definición.
  • Investigar posibles hallazgos.

Control Interno en una Organización: Objetivos

El control interno en una organización tiene como objetivos:

  • Ayudar a los directivos a lograr las metas y objetivos institucionales.
  • Integrar y asimilar al personal con las metas de la organización.
  • Ayudar al personal a medir y mejorar su desempeño.
  • Contribuir a evitar fraudes y corrupción interna.
  • Facilitar a los directivos la información sobre la aplicación de recursos y el alcance de objetivos.

Beneficios de los Modelos de Control Interno

  • Mejor alineación basada en una focalización sobre el negocio.
  • Visión comprensible de TI para su administración.
  • Clara definición de propiedad y responsabilidades.
  • Aceptabilidad general con terceros y entes reguladores.
  • Entendimiento compartido entre todos los interesados basado en un lenguaje común.
  • Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.

Principios Deontológicos Aplicables a los Auditores Informáticos

Principio de Discreción

La discreción de cualquier dato, por elemental que parezca, es fundamental en la auditoría. Aun cuando haya transcurrido mucho tiempo del evento, el auditor debe abstenerse de dar a conocer información de los trabajos que haya realizado.

Principio de Criterio Propio

El auditor debe elegir la ejecución de la auditoría con su propio criterio, sin permitir la influencia de otras personas, especialmente para desviarse de la dirección que considere mejor para su cliente.

Conocimientos del Auditor Informático

  • Ofimática
  • Desarrollo de software
  • Gestión de proyectos de software
  • Telecomunicaciones
  • Ciclo de vida de un sistema
  • Gestión de bases de datos
  • Sistemas operativos

Componentes del Modelo COSO

  • Ambiente de Control: Integridad y valores éticos, capacidad de los funcionarios, estilo de dirección y gestión, asignación de autoridad y responsabilidad, estructura organizacional, y políticas y prácticas de personal.
  • Evaluación de Riesgos: Identificación y análisis de los riesgos relevantes para la consecución de los objetivos, y la gestión de los mismos. Incluye la definición, comunicación y análisis de los objetivos de área, su consistencia con los objetivos institucionales, y la clasificación de los riesgos según su relevancia y probabilidad de ocurrencia.
  • Actividades de Control: Políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados y asegurar el cumplimiento de los lineamientos establecidos. Se ejecutan en todos los niveles y etapas de la gestión, partiendo de un Mapa de Riesgos.
  • Información y Comunicación: Identificación, recopilación y propagación de la información pertinente para que cada funcionario cumpla con sus responsabilidades. Requiere una comunicación eficaz en todas las direcciones y ámbitos de la Unidad.
  • Supervisión y Monitoreo: Proceso que verifica la vigencia del Sistema de Control a lo largo del tiempo mediante supervisión continua y/o evaluaciones periódicas.

Misión del Modelo COBIT

Investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información, que sean autorizados, actualizados e internacionales para el uso diario de gestores de negocios y auditores.

Elementos de la Estructura del Modelo COBIT

  • Planificación y Organización: Identificación de cómo la TI puede contribuir al logro de los objetivos del negocio. Planificación, comunicación y administración de la visión estratégica desde diferentes perspectivas. Establecimiento de una organización e infraestructura tecnológica apropiadas.
  • Adquisición e Implantación: Identificación, desarrollo o adquisición, implementación e integración de soluciones de TI en el proceso del negocio. Cambios y mantenimiento de sistemas existentes.
  • Soporte y Servicios: Entrega de los servicios requeridos, desde operaciones tradicionales hasta entrenamiento, seguridad y continuidad. Establecimiento de los procesos de soporte necesarios, incluyendo el procesamiento de datos por sistemas de aplicación.
  • Monitoreo: Evaluación regular de todos los procesos para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

Parte 2: Conceptos Fundamentales

  1. La información: El activo más valioso de una organización.
  2. Controles: Medidas, normas y procedimientos para proteger los recursos contra amenazas y controlar los riesgos.
  3. Sistemas de información: Íntimamente ligados a las operaciones de las empresas.
  4. Definir la organización y sus relaciones: Diferencia entre COSO y COBIT, incluida en el lineamiento de control interno.
  5. Adquirir y mantener software de aplicación: Proceso del dominio «Adquisición e Implementación» del modelo COBIT.