MARCO TEORICO DE LA AUDITORIA AUTOMATIZADA

UNIVERSIDAD DE PANAMÁ

CENTRO REGIONAL UNIVERSITARIO DE PANAMÁ OESTE

FACULTAD DE ADMINISTRACIÓN DE EMPRESAS Y CONTABILIDAD

LICENCIATURA EN CONTABILIDAD Y AUDITORIA

I SEMESTRE

AUDITORIA DE SISTEMA

TEMA: MARCO TEORICO DE LA AUDITORIA AUTOMATIZADA

ELABORADO POR:

ALMENDRA, JOHAN

ALVARADO, RICARDO

MONTALVÁN, YOCELYN

VALDÉS, KARITZA

GRUPO:

CCM41

PROFESOR:

EDUARDO ESTRADA

FECHA DE ENTREGA:

INDICE

INTRODUCCIÓN        4

OBJETIVOS GENERALES        5

A. Conceptos Generales        6

1.        Concepto general de la Auditoría        6

2.        Definición de la Auditoría Automatizada        6

3.        Antecedentes        7

4.        Objetivo de la Auditoría        7

5.        Alcance de la Auditoría        7

6.        Finalidad de la Auditoría        8

7.        Tipos de Auditorias        8

8.        Clasificación de los Tipos de Auditoría Automatizada o Auditoría Informática        9

9.        Estándares de Auditoría        10

10.        Importancia de la Auditoría en la empresa        12

11.        Beneficios de realizar una Auditoría        12

12.        Beneficios de realizar una Auditoria Automatizada        12

13.        Ventajas y desventajas de la Auditoría Automatizada        12

14.        La Auditoría Automatizada vs la Auditoría Tradicional        13

B. NORMAS ÉTICO-MORALES QUE REGULA LA ACTUACIÓN DEL AUDITOR        14

1.        Definición de Ética        14

2.        Definición de Moral        15

3.        Decreto que regula la norma ética del contador        15

4.        Principios y valores del Auditor        15

5.        Criterios y responsabilidades del Auditor        19

6.        Normas profesionales del auditor        20

C. CONTROL INTERNO        21

1.        Definición de control interno        21

1.1 Definición de control interno orientada a la auditoria sistematizada:        21

2.        Importancia del control interno dentro de una empresa:        22

3.        Objetivos del control interno        22

4.        Beneficios de tener un adecuado control interno: Entre los beneficios de tener un control interno adecuado se destacan los siguientes:        24

5.        Ciclo de vida del desarrollo de sistemas entorno al control.        24

6.        Elementos y componentes del control interno:        27

7.        El control interno en la auditoria de sistemas:        30

D. Control Interno Informático        32

1.        Función del control interno informático        32

2.        Tipos de control interno informático:        33

3.        Objetivos del control interno informático en la Auditoría        33

4.        Implantación de un sistema de controles internos informáticos        33

E. EVALUACIÓN DE LA AUDITORÍA DE SISTEMA        35

1.        Definición de evaluación        35

2.        Definición e importancia de la auditoría de sistemas        35

3.        Alcance de la auditoria de sistema.        36

4.        Objetivos de los controles del área de informática        36

5.        Controles que implementa el área de informática de una empresa.        37

6.        Beneficios de realizar una evaluación de auditoria de sistema        38

CONCLUSIÓN        40

BIBLIOGRAFÍA        41

ANEXOS        42

A. Conceptos Generales

1. Concepto general de la Auditoría

Auditoria, en su acepción más amplia significa verificar la información financiera, operacional y administrativa que se presenta es confiable, veraz y oportuna.

Es revisar que los hechos, fenómenos y operaciones se den en la forma como fueron planeados; que las políticas y lineamientos establecidos han sido observados y respetados; que se cumplen con obligaciones fiscales, jurídicas y reglamentarias en general.

1. Definición de la Auditoría Automatizada

La Auditoría Automatizada o también conocida como Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

1. Antecedentes

Se sabe qué hace varios siglos ya se practicaban auditorias. Muchos reyes o gente poderosa tenían como exigencia la correcta administración de las cuentas por parte de los escribanos, de modo que se pudieran evitar desfalcos o que alguna persona se aprovechara de las riquezas que en aquella época costaban tanto sudor y sangre conseguir.

Sin embargo, los antecedentes de la auditoria, los encontramos en el siglo XIX, por el año 1862 donde aparece por primera vez la profesión de auditor o de desarrollo de auditoria bajo la supervisión de la ley británica de Sociedades anónimas.

Para evitar todo tipo de fraude en las cuentas, era necesario una correcta inspección de las cuentas por parte de personas especializadas y ajenas al proceso, que garantizaran los resultados sin sumarse o participar en el desfalco.

Desde entonces, y hasta principios del siglo XX, la profesión de auditoria fue creciendo y su demanda se extendió por toda Inglaterra, llegando a Estados Unidos, donde los antecedentes de las auditorias actuales fueron forjándose, en busca de nuevos objetivos donde la detección y la prevención del fraude pasaban a segundo plano y perdía cierta importancia.

En 1940 los objetivos de las auditorias abarcaban, no tanto el fraude, como las posiciones financieras de la empresa o de los socios o clientes que las constituían, de modo que se pudieran establecer objetivos económicos en función de dichos estudios. De manera paralela a dicho crecimiento de la auditoria en América, aparece también el antecedente de la auditoria interna o auditoria de gobierno que en 1921 fue establecida de manera oficial mediante la construcción de la Oficina general de contabilidad.

1. Objetivo de la Auditoría

El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para ello la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas.

Los miembros de la organización a quien Auditoria apoya, incluye a Directorio y las Gerencias.

1. Alcance de la Auditoría

El alcance de una auditoría nos especifica qué actividades concretas de la empresa serán auditadas. El alcance puede definirse por áreas de trabajo, procesos, actividades, requisitos del sistema.

1. Finalidad de la Auditoría

Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos escribir los siguientes:

• Indagaciones y determinaciones sobre el estado patrimonial
• Indagaciones y determinaciones sobre los estados financieros.
• Indagaciones y determinaciones sobre el estado reditual.
• Descubrir errores y fraudes.
• Prevenir los errores y fraudes
• Exámenes de aspectos fiscales y legales
• Examen para compra de una empresa( cesión patrimonial)
• Examen para la determinación de bases de criterios de prorrateo, entre otros.
• Estudios generales sobre casos especiales, tales como:

• Los variadísimos fines de la auditoria muestran, por si solos, la utilidad de esta técnica.

1. Tipos de Auditorias

• Auditoría Financiera: Consiste en una revisión exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador público, cuya conclusión es un dictamen a cerca de la corrección de los estados financieros de la empresa.
• Auditoría interna: Proviene de la auditoría financiera y consiste en: una actividad de evaluación que se desarrolla en forma independiente dentro de una organización, a fin de revisar la contabilidad, las finanzas y otras operaciones como base de un servicio protector y constructivo para la administración. Es un instrumento de control que funciona por medio de la medición y evaluación de la eficiencia de otras clases de control, tales como: procedimientos; contabilidad y demás registros; informes financieros; normas de ejecución etc.
• Auditoría Externa: consiste en el examen de los estados financieros de una entidad, con la finalidad de permitirle al auditor expresar una opinión sobre si dichos estados financieros están presentados razonablemente, en todos sus aspectos substanciales, de conformidad con el marco contable aplicable.
• Auditoría de operaciones: Se define como una técnica para evaluar sistemáticamente de una función o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el área de estudio, con el objeto de asegurar a la administración, que sus objetivos se cumplan, y determinar qué condiciones pueden mejorarse.
• Auditoría administrativa: Es un examen detallado de la administración de un organismo social realizado por un profesional de la administración con el fin de evaluar la eficiencia de sus resultados, sus metas fijadas con base en la organización, sus recursos humanos, financieros, materiales, sus métodos y controles, y su forma de operar.
• Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista físico, direcciones o tesorerías de hacienda estatales o tesorerías municipales.
• Auditoría de resultados de programas: Esta auditoria la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas, en relación con el avance del ejercicio presupuestal.
• Auditoría de legalidad: Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha observado el cumplimiento de disposiciones legales que sean aplicables (leyes, reglamentos, decretos, circulares, etc.)
• Auditoría integral: Es un examen que proporciona una evaluación objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economías, eficacia y eficiencia.
• Auditoría forense: cuando se revisan datos y documentos históricos de empresas y se comparan con el fin de detectar principalmente fraudes, robos, trucos fiscales, trucos contables o cualquier otra situación anómala en la que se investiga a los involucrados intelectuales y materiales del hecho; regularmente se hacen estimaciones en dinero de las cifras malversadas.

1. Clasificación de los Tipos de Auditoría Automatizada o Auditoría Informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

• Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
• Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
• Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
• Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
• Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
• Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
• Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
• Auditoría de las comunicaciones: Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.
• Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

1. Estándares de Auditoría

• Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA): Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

•  The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA): Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas.

• Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO): La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.

• SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA: Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de información es confiable.

• Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI): Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez.
• Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB): Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

Estándares Específicos:

• ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones.

• ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software: Adquisición Suministro Desarrollo Operación Mantenimiento Evolución Soporte.

• ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común.

• ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.

1. Importancia de la Auditoría en la empresa

Las auditorias en los negocios son muy importantes, por cuanto la gerencia sin la práctica de una auditoria no tiene plena seguridad de que los datos económicos registrados realmente son verdaderos y confiables. Es la auditoria que define con bastante razonabilidad, la situación real de la empresa.

...