auditoria informática y control interno

Universidad madero campus-papaloapan

Auditoria informática y control interno

Jemima Aponte León

01/10/2010

En los últimos años, el ritmo de la penetración de las tecnologías de la informática y las comunicaciones en las empresas y la sociedad se ha acelerado impresionantemente, por ende es importante realizar Auditoria Informática.


CAPÍTULO I:Problema de Investigación

2


1.1. Descripción del Problema

Los CEO´S (Directores Ejecutivos) de la compañía Azucarera Ingenio

Adolfo López Mateos no emplean por prioridad, ni por reacciones o cifras

preocupantes, a la Auditoria Informática, ya que les implica costos, deben

de tomar en cuenta que teniendo control de sus procesos, control en la

información que es sumamente valiosa para la compañía, podrán optimizar

los recursos de la mejor manera.

1.2. Planteamiento del Problema

¿Si se implementa de manera regular la Auditoría Informática entonces se

tendrá un buen control interno?

1.3. Objetivos de Investigación

Obtener un mejor control interno de la compañía en sus sistemas de

información.

1.4. Hipótesis

Sí se emplea la Auditoria Informática en la compañía entonces el control

interno mejorará y contara con una prevención más eficaz.

1.5. Variables

Implementación de la Auditoría Informática.

Buen Control Interno.

3


1.6. Alcance de la Investigación

El investigador propone una investigación pura porque se está basando solo en el conocimiento teórico de la investigación y su enfoque será cualitativo debido a que trata de explicar ciertas razones en el comportamiento del control interno de la empresa, donde también se aplicara el tipo de estudio descriptivo, puesto que describiremos toda la situación que tenemos planteada. Esta investigación sólo tomará en cuenta el estudio y análisis de la información referente al problema del Control Interno, tomando en consideración aquellos elementos que aporten criterios con los cuales se puedan realizar juicios valorativos respecto al papel que juega la Auditoria Informática ante éste tipo de hechos.

4


CAPÍTULO II:Marco Teórico-Conceptual

5


2.1 Auditoria

2.1.1Definiciones de auditoria

El término de auditoria puede ser interpretado de muy diferente formas. Por eso

es importante analizar cada una de las respuestas o definiciones obtenidas.

La auditoría en general es un examen sistemático de los estados financieros,

registros y operaciones con la finalidad de determinar si están de acuerdo con los

principios de contabilidad generalmente aceptados por las políticas establecidas

por la dirección y con cualquier otro tipo de exigencias legales o voluntariamente

adoptadas.

Es una actividad, por medio de la investigación la adecuación de los

procedimientos establecidos, instrucciones, especificaciones, codificaciones y

estándares u otros requisitos, la adhesión a los mismos y la eficiencia de su

implantación. ANSI N45.2.10.1973

Examen metódico de una situación relativa a un producto, proceso u organización,

en materia de calidad realizada con cooperaciones de los interesados para

verificar la concordancia de la realidad con lo preestablecido y la adecuación al

objetivo buscado. Actividad para determinar, por medio de la investigación, la

adecuación de los procedimientos establecidos, instrucciones, especificaciones,

codificaciones y estándares u otros requisitos, la adhesión a los mismos y la

eficiencia de su implantación.

2.1.1.2 Acepción del diccionario de la real academia de la lengua española

Una de la principales fuentes que podemos consultar para conocer significados,

definiciones es el diccionario, para analizar, comprender de lo que nos engloba

este termino de auditoría. En el caso de Auditoria nos menciona términos:

1. Empleo de Auditor

2. Despacho jurídico

6


3. Auditoría contable: revisión de la contabilidad, de una empresa, sociedad,

etc., realizada por un auditor.

2.1.1.3 Auditoría según AENOR.

La Asociación Española de Normalización, menciona que la auditoría es el

Examen metódico e independiente que se realiza para determinar si las

actividades y los resultados relativos a la calidad satisfacen las disposiciones

previamente establecidas, y para comprobar que estas disposiciones se lleven

realmente a cabo y que son adecuadas para alcanzar los objetivos previstos.

2.1.1.4 Auditoría según la norma técnica UNE81900EX.

Según la norma técnica UNE81900EX, la auditoria seria la evaluación

sistemática, documentada, periódica y objetiva que evalúa la eficacia, efectividad y

viabilidad del sistema de gestión para la prevención de riesgos laborales, así como

si el sistema es adecuado para alcanzar la política y los objetivos de la

organización en esta materia.

2.1.1.5 Auditoría según el reglamento de los servicios de prevención.

La auditoría establecida por el reglamento de los servicios de prevención, sería

aquel instrumento de gestión que incluye una evaluación sistemática,

documentada, periódica y objetiva de la eficacia del Sistema de Prevención.

2.1.1.6 Concepto de auditoría desde el punto de vista técnico.

Entendemos a las auditorías de prevención como un análisis y evaluación

sistemáticos, con el fin de determinar con qué medida se dan las condiciones que

permitan el desarrollo e implantación de un sistema de gestión de prevención en la

empresa.

7


2.1.1.7 Ley 19/1988 de Auditoría de Cuentas.

"... la actividad que, mediante la utilización de determinadas técnicas de revisión,Tiene por objeto la emisión de un informe acerca de la fiabilidad de los documentos contables auditados; delimitándose, pues, a la mera comprobación de que los saldos que figuran en sus anotaciones contables concuerdan con los ofrecidos en el balance y en la cuenta de resultados,…".

2.1.1.8 Real Decreto 1636/1990 del Reglamento que desarrolla la Ley de Auditoría de Cuentas, Artículo 1°:

" 1.- Se entenderá por auditoría de cuentas la actividad, realizada por una persona calificada e independiente, consistente en analizar, mediante la utilización de las técnicas de revisión y verificación idóneas, la información económico-financiera deducida de los documentos contables examinados, y que tiene por objeto la emisión de un informe dirigido a poner de manifiesto su opinión responsable sobre la fiabilidad de la citada información, a fin de que se pueda conocer y valorar dicha información por terceros".

En todas las definiciones anteriores de auditoría podemos encontrar varios puntos comunes:

• La realización de un examen ordenado y planificado.• La comprobación de la calidad de lo examinado.• La verificación de la fiabilidad de lo examinado en cuanto a los hechos reales que refleja. • La obligación de informar a terceros con una opinión fundada.

Debemos de tener en cuenta que la auditoría no es un fin en sí misma, sino que se trata de un instrumento que permite obtener la respuesta a objetivos de calidad y fiabilidad.

2.1.2 Tipos de Auditoria

8


La Auditoría puede clasificarse desde diversos puntos de vista, según el sujeto que la efectúa, según el contenido y los fines, por su amplitud y por su frecuencia.

Por el sujeto que la efectúa:

• Auditoría interna: Está a cargo de empleados de la propia empresa, encuadrados en un departamento directamente dependiente de la dirección general.

• Auditoría externa: Está a cargo de auditores profesionales, ajenos a la empresa y totalmente independientes.

Por su contenido y fines:

Auditoría de gestión: Afecta a la situación global de la empresa. Auditoría organizativa: Analiza si la estructura organizativa de la empresa

es la adecuada, según las necesidades y problemas de la misma. Auditoría operacional: Para determinar hasta qué punto una organización,

una unidad o función dentro de una organización, está cumpliendo los objetivos establecidos por la gerencia; así como identificar las condiciones que necesiten mejora.

Auditoría financiera: Consiste en una revisión exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador público, cuya conclusión es un dictamen a cerca de la corrección de los estados financieros de la empresa.

Auditoría contable: Analiza la adecuación de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representación, mediante apuntes contables, en los estados financieros.

Auditoría informática: Auditoria Informática: Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en:

Rentabilidad Seguridad Eficacia Examen y verificación del correcto funcionamiento y control del sistema

informático de la empresa.

Por su amplitud:

9


• Auditoría total: Afecta a todos los elementos de la empresa.• Auditoría parcial: Se concentra en determinados elementos de la empresa.

Por su frecuencia:• Auditoría permanente: Se realiza periódicamente a lo largo del ejercicio económico.• Auditoría ocasional: Se realiza de forma esporádica.

2.1.3 ¿Qué son Auditores?

Un auditor es el individuo al que se le confía la evaluación, aporta un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno corporativo.

A través del control sistemático sobre las actividades de la organización, el auditor es capaz de evaluar los riesgos de fraude que ésta enfrenta y la eficacia de los mecanismos de gobierno, operaciones y sistemas de información para evitar conductas indeseables.

Como auditor su trabajo es determinar las medidas efectivas de seguridad en su red conduciendo un análisis de riesgo a lo largo y ancho de toda la red. En otras palabras, se te asegura que su red es segura, y que los empleados pueden realizar sus labores diarias sin ningún tipo de traumatismo debido dichas medidas de seguridad.

El auditor debe controlar el proceso de implementación para:

Evitar desviaciones intencionadas que varían los objetivos del programa re estructurador.

Solucionar los problemas que se presenten durante el proceso de implementación.

Asegurar la confiabilidad e integridad de la información financiera y operativa, la eficacia y eficiencia de las operaciones, la protección de los activos de la organización y el cumplimiento de leyes, regulaciones y contratos.

El auditor se abstendrá de expresar una opinión cuando no haya obtenido evidencia suficiente para formarse una opinión sobre los estados financieros. La diferencia entre una opinión con salvedad y una abstención de opinión debido a una limitación en el alcance de la auditoría es un asunto de magnitud. Tal como se indica aquí, la falta de evidencias que respalden los inventarios y las propiedades y equipo es de tal grado importante que el auditor no podría expresar una opinión sobre los estados financieros tomados en conjunto.

10

http://www.materiabiz.com/mbz/capitalhumano/nota.vsp?nid=32616

http://www.materiabiz.com/mbz/economiayfinanzas/nota.vsp?nid=26887


Debido a que el auditor no expresa una opinión sobre los estados financieros, no se proporciona ninguna seguridad en este informe del auditor. La última oración del párrafo introductorio y el párrafo de alcance fueron omitidos del informe porque no le fue posible al auditor obtener evidencias suficientes para respaldar una opinión de que los estados financieros no contienen errores significativos.

Los auditores deberán conocer:

Los métodos y técnicas empleados en auditoria. Los principios y normas contables y presupuestarias. El funcionamiento, organización y características del Sector Público.

Experiencia

La organización de auditoría fijará la experiencia que deberá poseer el personal

auditor para el adecuado cumplimiento de sus funciones. Puesto que la capacidad

profesional es el resultado de la conjunción de la formación y de la experiencia.

Actualización

La actualización permanente de conocimientos es requisito necesario para

mantener la capacidad profesional. La organización de auditoria será responsable

de establecer y ejecutar un programa que garantice el conocimiento, entre otros,

de los nuevos desarrollos en auditoria, contabilidad, muestreo estadístico y

evaluación y análisis de datos.

Independencia

"Durante su actuación profesional, tanto los órganos de control como los auditores

mantendrán una actitud independiente y una posición de objetividad total,

especialmente frente a la propia estructura administrativa".

Este principio centra tanto en el auditor como en la organización de la auditoria la

responsabilidad de conservar su independencia, a través del cumplimiento de las

normas de: imparcialidad, apariencia de imparcialidad y ausencia de

incompatibilidades.

Imparcialidad

11


Las opiniones, conclusiones y recomendaciones del auditor requieren la

consideración objetiva de los hechos y su juicio imparcial.

Apariencia de imparcialidad

El auditor no sólo debe ser imparcial, sino que debe evitar cualquier actitud o

situación que permita a terceros dudar de su independencia.

Ausencia de incompatibilidad

La independencia del auditor puede estar disminuida por incompatibilidades de

orden personal, de orden externo y en sus relaciones con la estructura

administrativa. En caso de producirse alguna de tales limitaciones, el auditor

deberá rehusar la realización de la auditoria o explicar claramente su situación.

2.2 Control Interno

12


2.2.1 ¿Qué es el control interno?

El control interno es una función que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraerán obligaciones sin autorización.

Una segunda definición definiría al control interno como “el sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre sí, tienen por objetivo proteger los activos de la organización.

Entre los objetivos del control interno tenemos:

Proteger los activos de la organización evitando pérdidas por fraudes o negligencias.

Asegurar la exactitud y veracidad de los datos contables y extracontables, los cuales son utilizados por la dirección para la toma de decisiones.

Promover la eficiencia de la explotación. Estimular el seguimiento de las prácticas ordenadas por la gerencia. Promover y evaluar la seguridad, la calidad y la mejora continua.

El control interno consta de cinco componentes que se encuentran interrelacionados entre sí:

Entorno de control: el personal es el núcleo del negocio, como así también el entorno donde trabaja.

Evaluación de riesgos: toda organización debe conocer los riesgos a los que enfrenta, estableciendo mecanismos para identificarlos, analizarlos y tratarlos.

Actividades de control: establecimiento y ejecución de las políticas y procedimientos que sirvan para alcanzar los objetivos de la organización.

Información y comunicación: los sistemas de información y comunicación permiten que el personal capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones.

Supervisión: Para que un sistema reaccione ágil y flexiblemente de acuerdo con las circunstancias, deber ser supervisado.

Dada la interrelación y dinamismo existente entre los diferentes componentes mencionados, nos permite inferir que el sistema de control interno no es un proceso lineal y en serie donde un componente influye exclusivamente al siguiente, sino que es un proceso interactivo y multidireccional, donde cualquier componente influye en el otro.

El control interno puede considerarse "eficaz" cuando la dirección tiene una seguridad razonable de que:

13


Disponen de la información adecuada sobre hasta qué punto se están logrando los objetivos operacionales de la organización.

Los estados financieros son preparados de forma fiable. Se cumplen las leyes y normas aplicables.

La determinación de si un sistema de control interno es "eficaz" o no constituye una toma de postura subjetiva resultante del análisis de si están funcionando eficazmente los cinco componentes en su conjunto. Este funcionamiento proporciona un grado de seguridad razonable de que los objetivos establecidos van a cumplirse.

2.2.2 El papel del control interno dentro de la empresa.

Anteriormente se menciono ¿Qué es el control interno? Pero ahora vamos a un enfoque más profundo y que nos interesa conocer ¿Qué papel desempeña el control interno dentro de la empresa u organización? A que se debe la importancia del control interno.

Hemos leído que el control es un plan en donde se suponen todas las medidas administrativas dentro de la entidad para el logro de los objetivos.

Por consiguiente es decir el control interno es un plan de organización donde se establecen las políticas y procedimientos que persigue la entidad con el fin de salvaguardar los recursos con que cuenta, verificar la exactitud y veracidad de la información para promover la eficiencia en la operaciones y estimular la aplicación de las políticas para el logro de metas y objetivos programados. De aquí que la efectividad del control interno dependa de gran medida de la integridad y de los valores éticos del personal que diseña, administra y vigila el control interno de la entidad.

De acuerdo con las Normas y Procedimientos de auditoria, el control interno debe tener una estructura básica dentro de la organización, basándose en los siguientes elementos; tener un Ambiente de Control, en donde combinara los factores que afectan las políticas y procedimientos de la entidad, de tal manera que evaluara los riesgos, identificando, analizando y administrándolos para que no desvirtúen los objetivos de la entidad, mediante sistemas de información y comunicación que provoquen una cuantificación de la información, estableciendo procedimientos de control con el fin de proporcionar una seguridad razonable de que los objetivos específicos de la entidad se van a lograr de forma eficaz y eficiente.

Teniendo una responsabilidad y papel importante el consejo de administración que se encargara de establecer y mantener los controles internos establecidos, esto mediante una vigilancia concreta y cercana para observar si estos están generando los objetivos establecidos, mediante una operación eficaz en operaciones, evaluando el diseño y los resultados que traen consigo.

14


Sabemos que muchos factores afectan de manera considerable a la empresa, por ello debe de haber controles que regulen, cuando pase algún suceso para que puedan lograr los objetivos de la misma, ya que no ser así se afecta comportamiento interno de la organización o empresa.

Debemos conocer cuáles son sus debilidades y fortalezas, tomar las medidas de control para obtener un buen resultado, el tipo de actividad tiene y como está circulando en el mercado; que impacto tienen los aspectos económicos, también se tomara en cuenta como está estructurada la entidad y el sistema de contabilidad que fue implementado, verificando la oportunidad de la información en su emisión para la toma de decisiones en tiempo reflejado en buenas inversiones y ahorro de costos y las técnicas de control establecidas en el ahorro de estos cuando sean innecesarios, observando también los problemas que pudiese tener el negocio en el exterior e interior con los recursos con que cuenta, tomando este desde lo económico hasta lo humano, que es un factor importante en la existencia de cualquier organización así como con la revolución de la tecnología que hace ahorros de tiempos y agilización de operaciones, y tomando en consideración todo lo aplicable de forma legal que aplica a la entidad para ahorrar contratiempos y costos innecesarios que afecten la operación del negocio.

Por lo tanto podemos observar, analizar que el control interno es de vital importancia para la optimización de la operaciones y el crecimiento del negocio tanto en lo administrativo como en la operación; beneficiando así desde el accionista hasta el propio cliente ya que tendrá este un grado de confianza sobre la entidad y prevalecerá en el tiempo generando utilidades y crecimiento interno en la entidad.

2.2.3 El control interno y la auditoria

Cuando leemos las palabras control interno y la auditoria nuestra mente es bombardeada de sin fin de palabras que a la par suenan lo mismo o pensamos que hacen referencia, puesto que estas acciones están estrechamente ligadas. Es como si dependiera una de la otra para poder realizar su función o acción de una manera más eficaz.

Existe una relación grande en ambas partes ya que, el grado de confianza en el control interno constituye la base fundamental para definir el enfoque y alcance de las pruebas de auditoria. Por su parte las normas de auditoria, relativas a la ejecución del trabajo, exigen que el auditor evalúe y pruebe los controles internos, como punto de partida para definir la extensión de las pruebas.

Así es como se da la importancia del control interno y su auditoria de esta.

15


2.3 Auditoria Informática

2.3.1 Definición de auditoría informática

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular.

El concepto de auditoría:

“Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad.

“Es la revisión, verificación y evaluación con un conjunto de métodos, técnicas y herramientas de los sistemas de información de una organización de forma discontinua y a petición de su dirección y con el fin de mejorar su rentabilidad, seguridad y eficacia”.

“Conjunto de elementos ordenadamente relacionados entre sí de acuerdo con unas ciertas reglas, que aportan a la organización la información necesaria para el cumplimiento de sus fines”.

La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado “gestión de la empresa”. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, desde el momento en que es una herramienta adecuada de colaboración. En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

2.3.2 Objetivos y alcance

La auditoria informática persigue como su objetivo primordial realizar una evaluación de las actividades ejecutadas en la organización a fin de verificar que cada una de ellas cumpla como unidad y todas como un conjunto.

En el plano de la simple auditoría sobre el cumplimiento de las medidas de seguridad, que podría calificarse como de incompleto y considerar que debe ser

16


completada con la auditoria informática, tal y como se establece al hablar de medidas de índole técnica y organizativa.

Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de procedimientos, medidas, estándares de seguridad establecidos por el responsable del tratamiento y el Reglamento de Medidas de Seguridad. Una vez realizado el análisis de todo lo anterior y detectadas las anomalías, el auditor procederá a proponer las medidas correctoras necesarias.

El control de la función informática, El análisis de la eficacia del Sistema Informático, La verificación de la implantación de la Normativa, La revisión de la gestión de los recursos informáticos.

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se completa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidos.

La indefinición de los alcances de la auditoria compromete el éxito de la misma.

Los objetivos generales son los siguientes:

Establecer las directrices generales de los procesos de auditoría en empresas, especializándolo para el campo de la informática.

Determinar los procesos para verificar el control interno de la función informática.

Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes.

Saber eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos.

Enseñar cómo detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos.

2.3.3 Riesgos de la auditoria informática

Siempre debemos tener en cuenta o medir cuales son los riesgos de no llevarse a cabo bien o efectuarse como debe ser un proceso, en nuestro caso el de la auditoria informática. De momento viene a nuestra mente “La

17


incertidumbre de que ocurra un evento que podría tener un impacto en el logro de los objetivos”.

Cuando los riesgos se materializan, se les denominan errores, irregularidades u omisiones, los cuales pueden generar una pérdida de finanzas, en la imagen de la empresa. O el no cumplimiento de una norma externa (ilegal).

Presentados los riesgos podemos obtener una fórmula:

Riesgo = Impacto * Probabilidad

Impacto: es el efecto o consecuencia cuando el riesgo se materializa.

Probabilidad: representa la posibilidad que un evento dado ocurra.

Ahora bien existen muchos varios tipos de riesgos, por mencionar algunos:

Riesgo Inherente: Son aquellos riesgos propios de la materia y/o sus componentes de ésta. Se tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la dirección para mitigar su probabilidad o su impacto. Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno, ambiente interno, procesos, información, etc.

Dentro de los riesgos inherentes existen tipos de riesgos que la componen:

Riesgo de Crédito. Riesgo Financiero. Riesgo Operacional. Riesgo de Tecnología de la Información. Riesgo Calidad de Servicio y transparencia de la Información.

18

auditoria informática y control interno

Documents