Clases de Auditoría

Auditoria informática

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos o de redes, así como sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realizara de tal manera a la gestión de informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumos necesarios para el funcionamiento del centro de cómputo.

Auditoria con la computadora

Es la auditoria que se realiza con el apoyo de los equipos de cómputos y sus programas para evaluar cualquier tipo de actividades y operaciones no necesariamente

Computarizadas, pero si susceptibles de ser automatizadas; dicha auditoria se realizara también a las actividades del centro de sistemas y a sus componentes.

La principal característica de este tipo de auditoria es que, sea en un caso o en otro caso, o en ambos, se aprovecha la computadora y sus programas para la evaluación de las actividades a realizar, de acuerdo a las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoria.

Auditoria sin la computadora

Es la auditoria cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y valides de la transacciones económicas, administrativas y operacionales de un área de computo, y en sí de todos los aspectos que afectan a las actividades que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de sistemas computacionales.

Es también la evaluación tanto la estructura de organización, funciones y actividades de funcionarios de personal de un centro de cómputo, así como a los perfiles de sus puestos,

Como el de los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes, programas y presupuestos en dichos centro así como del uso aprovechamientos informáticos para la realización de actividades, operaciones y tareas. Así mismo en la evaluación de los sistemas de actividad y prevención de contingencia de la adquisición y el uso hardware, software y personal informático, y en si en todo lo relacionado con el centro de cómputo, pero sin el uso directos computacionales.

Auditoria de la gestión informática

Es la auditoria cuya aplicación se enfoca exclusivamente a las revisiones de las funciones y actividades de tipo administrativo que se realizaran dentro de un centro de cómputo, tales como la planeación, organización, dirección de dicho centro. Esta auditoria se realizara también con el fin de verificar el cumplimiento de las funciones asignadas a los funcionarios, empleados y usuarios de las tareas de sistematización, así como para revisar y evaluar las evaluaciones de sistemas.

El uso y protección de los sistemas de procesamiento, los programas y la información.

Se aplica también para verificar el correcto desarrollo, instalación, mantenimiento y explotación de los sistemas de cómputo así como sus equipos e instalaciones.

Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa de los sistemas computacionales de una empresa y del propio centro informático.

Auditoria alrededor de la computadora

Es la revisión específica que se realiza a todo lo que está alrededor de un equipo, como son sus sistemas, actividades y funcionamiento.  Haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y almacenamiento de datos, las actividades de planeación y presupuestario del equipo del centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de accesos al sistema, la atención a sus usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas, y en sí , a todos aquellos aspectos que contribuyan al buen funcionamiento de una área de sistematización.

Auditoria de seguridad de sistemas

Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal así como a las actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de sus equipos computacionales las bases de datos, redes, instalaciones y usuarios de los sistemas.

Es también la revisión de los planes de contingencia y medida de protección para la información, los usuarios y los propios sistemas computacionales, en si para todos aquellos aspectos que contribuyen a la protección y salvaguardar en el buen funcionamiento del área de sistematización, sistemas de redes o computadoras personales, incluyendo la prevención y erradicación de los virus informáticos.

Auditoria a los sistemas de redes

Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes de una empresa considerando en la evaluación los tipos de redes, arquitectura, topología, su protocolo de información las conexiones, accesos, privilegios, administración y demás aspectos que repercuten en su instalación, administración, funcionamiento y aprovechamiento.

Es también la revisión del software institucional de los recursos informáticos e información de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.

Introducción (Clases 1 y 2)

Auditoría de Sistemas de Información

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

Definición de base de datos

Una base de datos es una colección de archivos relacionados que permite el manejo de la información de alguna compañía. Cada uno de dichos archivos puede ser visto como una colección de registros y cada registro está compuesto de una colección de campos. Cada uno de los campos de cada registro permite llevar información de algún atributo de una entidad del mundo real.

Ejemplo:

• Para una universidad, las entidades de interés podrían ser: Alumnos, profesores, salones, etc.
• Para la entidad alumno, los atributos importantes podrían ser: Nombre, dirección, teléfono, carrera, matrícula, etc.

 El sistema de control interno y su importancia en la auditoría

El sistema de control interno es un proceso de control integrado a las actividades operativas de los entes, diseñado para asegurar en forma razonable la fiabilidad de la información contable; los estados contables constituyen el objeto del examen en la auditoría externa de estados contables, esta relación entre ambos muestra la importancia que tiene el sistema de control interno para la auditoría externa de estados contables.

No todas las empresas tienen implementado un sistema de control interno, por razones de política de la dirección o por razones de tamaño, porque en las pequeñas empresas la estructura operativa no permite la implementación de un proceso de control integrado; en consecuencia este trabajo va a ser de mayor utilidad para la auditoria en las empresas que tengan implementado un sistema de control interno que funcione adecuadamente; aunque el conocimiento del sistema de control interno va a permitir desarrollar procedimientos de comprobación de información más eficientes en empresas que no tiene implementado un sistema de control interno.

En las empresas que tienen implementado un sistema de control interno, para que sea de utilidad para la auditoría externa de estados contables, es necesario que el auditor deposite confianza en los controles que realiza la empresa, para que el auditor decida depositar confianza deberá evaluar el nivel de desarrollo y si funciona eficientemente; esta tarea constituye la “Evaluación de las actividades de control de los sistemas que son pertinentes a su revisión, siempre que, con relación a su tarea, el auditoria decida depositar confianza en tales actividades”.

Objetivos del Control Interno

Suficiencia y confiabilidad de la Información financiera.

La contabilidad capta las operaciones, las procesa y produce información financiera necesaria para que los usuarios tomen decisiones.

Esta información tendrá utilidad si su contenido es confiable y si es presentada a los usuarios con la debida oportunidad. Será confiable si la organización cuenta con un sistema que permita su estabilidad, objetividad  y verificabilidad.

Si se cuenta con un apropiado sistema de información financiera se ofrecerá mayor protección a los recursos de la empresa a fin de evitar sustracciones y demás peligros que puedan amenazarlos.

Ejemplos: 

• Comparar los registros contables de los activos con los activos existentes a intervalos razonables.
• Utilización de Máquinas Registradoras para ingreso
• Asegurar apropiadamente los activos de la empresa
• Consignar diariamente y en la misma especie los ingresos

  Efectividad y eficiencia de las operaciones

 Se debe tener la seguridad de que las actividades se cumplan cabalmente con un mínimo de esfuerzo y utilización de recursos y un máximo de utilidad de acuerdo con las autorizaciones generales especificadas por la administración. 

Ejemplo: El establecimiento de un sistema de incentivos a la producción.

Cumplimiento de las leyes y regulaciones aplicables

 Toda acción que se emprenda por parte de la dirección de la organización, debe estar enmarcada dentro las disposiciones legales del país y debe obedecer al cumplimiento de toda la normatividad que le sea aplicable al ente.  Este objetivo incluye las políticas que emita la alta administración, las cuales deben ser suficientemente conocidas por todos los integrantes de la organización para que puedan adherirse a ellas como propias y así lograr el éxito de la misión que ésta se propone.

Estándares de control

Principales estándares que se pueden utilizar en la medición del control y del control interno de las instituciones, con el fin de ayudar a la eficiencia y eficacia en el desarrollo de las actividades normales de éstas. A continuación encontramos los siguientes estándares:

Estándares físicos

Son aquellos estándares que se pueden apreciar mediante algunas medidas de dimensión de tipo tangible, tales como: extensión, longitud, magnitud, tamaño, volumen, calibre, etcétera.

En el control interno, los estándares físicos pueden agruparse de la siguiente manera:

·         Estándares físicos de medición

Son los que se establecen para medir y contar superficies, volúmenes, pesos, distancias y cualquier otro tipo de medidas de carácter físico, los cuales se pueden diseñar para comparar con otras medidas previas. Por ejemplo, medir los metros de construcción, apreciar el volumen (litros) de líquidos producidos en una jornada, contar las toneladas producidas de cereales o cualquier otro parámetro que se pueda calcular, de acuerdo con el establecimiento de medidas universalmente establecidas.

·         Estándares físicos de comparación

Estos estándares se establecen como proporciones y ordenadores matemáticos que sirven para comparar entre una dimensión y otra, tales como las operaciones aritméticas, los registros contables, las mediciones estadísticas y otros factores de medida utilizados para comparar. Entre ellos encontramos:

•         Los operadores matemáticos: sumando (+); sustraendo (–); igual a... (=); mayor que... (>)  menor que... (<),  etcétera.

•         Las ecuaciones de cualquier grado que sirven para comparar entre un resultado y otro.

•         La aplicación de las reglas contables y razones financieras, etcétera.

·         Estándares físicos de acumulación

Son aquellos medidores que permiten hacer mediciones que indican acumulación de algo, tales como la acumulación de intereses, estándares de producción y otros estándares de aplicación similar.

Estándares de costos

Son mediciones de tipo monetario que permiten hacer una estimación del costo (valor que se le da a un trabajo); estos estándares pueden ser contados por cualquier medio, considerando en ello el valor que se le da, en aspectos numerarios, a cualquier actividad; por ejemplo, las transacciones del mercado y las operaciones de una empresa.

Entre los principales estándares de costos podemos destacar los siguientes:

·         Estándares de costos fijos

Se refieren a aquellas partes de los costos que no varían con el nivel de producción y que, se produzca o no, de todos modos se tienen que realizar; estos costos fijos siempre están directamente implicados en cualquier operación; por ejemplo, la renta de un local, la energía eléctrica que se consume, el costo de empleados administrativos, etcétera.

·         Estándares de costos variables

Son aquellos costos que se asignan a los resultados de la operación de cualquier negocio, los cuales están directamente relacionados con el volumen de producción de los bienes o servicios de la empresa; estos costos se pueden agrupar en los siguientes grupos.

ü Costos de materias primas

Costos variables que se acumulan en función al volumen de materias primas utilizadas en la producción de bienes o servicios.

ü Costos de producción

Son los costos que están directamente involucrados en la producción de algún bien o servicios que no sean materias primas ni ventas, tales como combustibles, refacciones de las máquinas, costo de suministros de operación, etcétera.

ü Costos de venta

Para llevar los bienes y servicios de la institución al mercado de consumidores, es necesario realizar una serie de gastos que se conocen como costos de venta, los cuales se harán en función al volumen de ventas y se utilizarán en la venta y distribución de dichos bienes a manera de comisiones, gastos de publicidad, gastos de entrega, etcétera.

ü Costos de mano de obra

Los principales costos que se tienen en las empresas son los relacionados con el personal que labora en ellas, entre los cuales se destacan la mano de obra administrativa, la mano de obra de producción, los costos de la fuerza de venta, etcétera.

ü Otros costos

En las empresas existen muchos tipos de costos, por lo cual es necesario señalar que dichos costos pueden agruparse según las características propias de cada institución y según sus diferentes maneras clasificación, pero invariablemente deben ser tomados en cuenta.

Estándares de capital

Son aquellos estándares que se adoptan en las empresas para el manejo y control de los llamados bienes de capital, ya sea capital de trabajo, capital contable, capital financiero o cualquier otro tipo de estándar que incide en el capital que se maneja en las empresas.

A continuación tenemos algunos ejemplos de estos indicadores de capital.

·         Estándares económicos

Son todos aquellos indicadores de capital que se manifiestan de acuerdo con la evaluación de la economía de una empresa y que son dictaminados por los estándares económicos generalmente aceptados dentro de una sociedad comercial.

·         Razones financieras

Son los valores comparados que se establecen por medio del análisis de los resultados financieros de una empresa, los cuales se utilizan con el propósito de evaluar el adecuado funcionamiento de sus actividades financieras, en concordancia plena con sus requisitos contables.

·         Estándares de rendimiento de capital

Son los estándares que se adoptan en las instituciones para medir el rendimiento del capital puesto a su disposición, con los cuales se establecen los beneficios derivados del uso de dicho capital. Entre estos estándares encontramos las tasas de rendimiento, los indicadores de rentabilidad, la Tasa Interna de Retorno (TIR), los flujos de efectivo, etcétera.

• Inventarios

Es la acumulación de capital de trabajo y bienes de la empresa, los cuales están a su disposición para la producción de bienes y servicios; entre estos estándares podemos 120 Auditoría en sistemas computacionales citar la inversión fija en maquinaria, en equipos de transporte, en muebles e inmuebles, en inventarios de materias primas y de productos terminados, etcétera.

Estándares de ingresos y egresos

Son los valores monetarios que se asignan a los ingresos (entradas) y egresos (salidas) que tiene una empresa como parte fundamental de sus actividades de trabajo; por lo general, están expresados en numerario y sirven para evaluar el grado de cumplimiento de los planes y programas de carácter monetario. Dichos estándares se presentan a continuación:

• Estándares de ingresos

Aquí se agrupan todos los estándares que se derivan de las captaciones que tiene la empresa, ya sean por la ventas de sus bienes y servicios, por sus resultados financieros e intereses, por sus venta de acciones, bonos, empréstitos, etc., los cuales permitirán, junto con los egresos, valorar sus resultados financieros.

• Estándares de egresos

Los estándares que aquí se agrupan están relacionados con las erogaciones que tiene una institución para su mantenimiento, tales como gastos de producción, costos de mano de obra, pagos de préstamos, intereses y utilidades, etcétera.

Estándares no tangibles

Los estándares que hemos analizado anteriormente se relacionan con elementos físicos que de alguna manera pueden ser contados; sin embargo, para el control interno de las empresas también se pueden utilizar otros tipos de estándares que no necesariamente deben ser tangibles ni numerales, los cuales, aunque no se puedan cuantificar, sí se deben identificar y tomar en cuenta.

Está claro que existen muchos de estos estándares y la mayoría pudieran ser considerados de tipo subjetivo, ya que son difíciles de expresar en mediciones físicas y monetarias; sin embargo existen y son muy utilizados en las empresas para evaluar el cumplimiento de sus actividades y operaciones.

Por lo general, estos estándares son representaciones que se dan a las cualidades de las cosas. A continuación citaremos algunos ejemplos de dichas representaciones:

• Bueno (aquel que hace bien las cosas)
• Satisfactoriamente (que satisface los requerimientos)
• Bondadoso (el que tiene bondad)
• Adecuado (acomodado de una cosa a otra)
• Valeroso (aquel que tiene valor para alguien o algo)
• Brillante (el que sobresale de los demás)

 Como se observa en los ejemplos anteriores, sería muy difícil cuantificar estos estándares en forma correcta, salvo que se vuelvan a calificar; por ejemplo, en el caso de bueno tendríamos muy bueno, poco bueno, nada bueno; en el caso de satisfactorio tendríamos, altamente satisfactorio, cumplió satisfactoriamente, poco satisfactorio, poco insatisfactorio, altamente insatisfactorio, etcétera.

Su utilización para el control interno es muy importante, aunque para muchos no tiene gran validez su aplicación; sin embargo, en las empresas, y en el informe de auditoría, su empleo es constante. Para prueba de ello, basta con citar el inicio de la opinión de algunos auditores:

“[...] en mi opinión cumple satisfactoriamente con los [...]”

Como es fácil de observar, en este tipo de estándares la cuantificación y los valores que se les da a estos conceptos solamente estarán medidos por su cualidad y calificación subjetiva.

Estándares de control estadístico

Estos estándares son de los más difundidos y de mayor aceptación en la utilización del control interno en las empresas, ya que permiten establecer, medir y evaluar, al amparo de razones matemáticas, estadísticas, y en algunos casos integrales y diferenciales, los resultados alcanzados en las empresas.