PROCESO DE AUDITORIA DE SISTEMAS

PROCEDIMIENTOS DE AUDITORIA SE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.El proceso de auditoría exige que el auditor de sistemas reúna:

PLANIFICACIÓN DE LA AUDITORÍA

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado.

ÁREAS QUE DEBEN SER CUBIERTAS DURANTE LA PLANIFICACIÓN DE LA AUDITORÍA:

Comprensión del negocio y de su ambiente el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores.

Riesgo y materialidad de auditoría .

Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo.Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material. Evidencia evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, Y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.

Técnicas de evaluación de Riesgos

Al determinar que áreas funcionales o temas de auditoría que deben auditarse, elauditor de sistemas puede enfrentarse ante una gran variedad de temas candidatosa la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cualesde esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los quese utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asignerecursos necesarios para la auditoría. Garantizar que se ha obtenido la informaciónpertinente de todos los niveles gerenciales, y garantiza que las actividades de lafunción de auditoría se dirigen correctamente a las áreas de alto riesgo yconstituyen un valor agregado para la gerencia. Constituir la base para laorganización de la auditoría a fin de administrar eficazmente el departamento.Proveer un resumen que describa como el tema individual de auditoría se relacionacon la organización global de la empresa así como los planes del negocio.

Objetivos de controles y objetivos de auditoría

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría.

Procedimientos de auditoría

Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entre vistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.Utilización de software de manejo de base de datos para examinar el contenido delos archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Un programa de auditoría es un conjunto documentado de procedimientos  diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente:

• Tema de auditoría: Donde se identifica el área a ser auditada.
• Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar.
• Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado.
• Planificación previa:Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.

EL AUDITOR DE SISTEMAS

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información.

Características del auditor informático

1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.

2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.

3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.

4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

Responsabilidades del auditor informático

1. Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.

2. Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.

3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.

4. Auditoría del riesgo operativo de los circuitos de información

5. Análisis de la administración de los riesgos de la información y de la seguridad implícita.

6. Verificación del nivel de continuidad de las operaciones.

7. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.

8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa

9. También el auditor informático es responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno.

Principios éticos del auditor informático

Principio de beneficio del auditado

El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada El auditor deberá evitar estar ligado a determinados intereses

Principio de calidad

El auditor deberá prestar servicios con los medios a su alcance Libertad de utilización de los mismos

Condiciones técnicas adecuadas

Principio de capacidad

El auditor debe estar plenamente capacitado para la realización de la auditorıa encomendada debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría (sobreestima o subestima)

Principio de cautela:

El auditor debe evitar que el auditado se embarque en proyectos de futuro fundamentados en intuiciones sobre la evolución de las nuevas tecnología de la información.

Principio de comportamiento profesional:

Exige al auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismo debe guardar un escrupuloso respeto por la política de la empresa que audita

Principio de concentración en el trabajo

El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas nunca copiar conclusiones de otros informes de auditorías pasadas por la acumulación de trabajo

Principio de confianza:

El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional

Principio de criterio propio:

El auditor deberá actuar con criterio propio y no permitir que este este subordinado al de otros profesionales

Principio de discreción:

El auditor deberá mantener una cierta discreción en la divulgación de datos.

Principio de economía:

El auditor debera proteger los derechos economicos del auditado evitando generar gastos innecesarios

Principio de formación continuada:

Impone al auditor la obligacion de estar en cont´ınua formación

Principio de fortalecimiento y respeto a la profesión:

Los auditores han de cuidar del valor de trabajo realizado y de las conclusiones obtenidas.

Principio de independencia:

El auditor debe exigir una total autónoma e independencia en su trabajo

Principio de información suficiente:

Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la información

Principio de integridad moral:

Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar en actos de corrupción personal o a terceras personas.

Principio de legalidad:

El auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente

Principio de libre competencia:

Exige que el ejercicio de la profesión se realice en el marco de la libre competencia

Principio de no discriminación:

El auditor en su actuacion antes, durante y después de la auditoría, deberá evitar inducir, participar o aceptar situaciones discriminatorias de ningún tip0

Principio de no injerencia:

El auditor deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar cierto desprestigio de su calificación profesional

Principio de precisión:

Exige del auditor la no conclusion de su trabajo hasta estar convencido de la viabilidad de sus propuestas

Principio de secreto profesional:

La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado, e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional

Principio de veracidad:

El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto

Principio de servicio público:

Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra elementos de software dañinos (virus) que puedan propagarse a otros sistemas informáticos diferentes al auditado.

AUDITORIA DE SISTEMAS

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

Auditoría de Sistemas es:

• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.
• La actividad dirigida a verificar y juzgar información.
• El examen y evaluación de los procesos del Area de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Objetivos Generales de una Auditoría de Sistemas:

• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones
• Apoyo de función informática a las metas y objetivos de la organización
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Decisiones de inversión y gastos innecesarios
• Capacitación y educación sobre controles en los Sistemas de Información

Justificativos para efectuar una Auditoría de Sistemas:

• Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
• Desconocimiento en el nivel directivo de la situación informática de la empresa
• Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador
• Falta de una planificación informática
• Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
• Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

ESTÁNDARES DE AUDITORIA

A continuación una serie de estándares generales:

A. Directrices Gerenciales de COBIT, desarrollado por la Información Sistemas Auditoria y Control Asociación (ISACA): Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.




B. The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA): Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar.

C. Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO): La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.

D. SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y elCICA: Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos.






Información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).


E. Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI): Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT.

F. Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB): Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

G. Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellón: Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones.

ESTÁNDARES ESPECIFICOS




1. ISO 27001: Esta norma contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002. Esta norma internacional (27001) especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas.

2. ISO 15504 (Spice): Sistema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados: ISO 15504-2, modelo de madurez ISO 15504-3, requisitos para evaluación de procesos ISO 15504-6, competencia, formación, etc. Propósito Evaluación del proceso de Ingeniería Mejora de proceso de ingeniería Determinación de capacidades (madurez) Dirigida a: Adquiridores Suministradores Evaluadores Permite la evaluación de procesos software en organizaciones que realicen alguna de las actividades del ciclo de vida del software.

3. ISO 12207: Este estándar "establece un marco de referencia común para los procesos del ciclo de vida software, con una terminología bien definida, que puede ser referenciada por la industria del software” Tiene como objetivo principal proporcionar una estructura común para que compradores, proveedores, desarrolladores, personal de mantenimiento, operadores, gestores y técnicos involucrados en el desarrollo de software usen un lenguaje común. Contiene procesos, actividades y tareas para aplicar durante la adquisición de un sistema que contiene software, un producto software puro o un servicio software, y durante el suministro, desarrollo, operación y mantenimiento de productos software.

4. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones. Se define como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.

CLASES DE AUDITORIA

- Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc.

- Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas.

- Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema.



- Auditoria Informática De Comunicación Y Redes: Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada.



- Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones.

OBJETIVOS DEL CONTROL INTERNO

El Control Interno descansa sobre tres objetivos fundamentales. Si se logra identificar perfectamente cada uno de estos objetivos, se puede afirmar que se conoce el significado de Control Interno. En otras palabras toda acción, medida, plan o sistema que emprenda la empresa y que tienda a cumplir cualquiera de estos objetivos, es una fortaleza de Control Interno.

Asimismo, toda acción, medida, plan o sistema que no tenga en cuenta estos objetivos o los descuide, es una debilidad de Control Interno.

Los objetivos de Control Interno son los siguientes:

SUFICIENCIA Y CONFIABILIDAD DE LA INFORMACIÓN FINANCIERA

La contabilidad capta las operaciones, las procesa y produce información financiera necesaria para que los usuarios tomen decisiones.

Esta información tendrá utilidad si su contenido es confiable y si es presentada a los usuarios con la debida oportunidad. Será confiable si la organización cuenta con un sistema que permita su estabilidad, objetividad y verificabilidad.

Si se cuenta con un apropiado sistema de información financiera se ofrecerá mayor protección a los recursos de la empresa a fin de evitar sustracciones y demás peligros que puedan amenazarlos.

Ejemplos:

• Comparar los registros contables de los activos con los activos existentes a intervalos razonables.
•  Utilización de Máquinas Registradoras para ingresos
• Asegurar apropiadamente los activos de la empresa
• Consignar diariamente y en la mismas especies los ingresos

EFECTIVIDAD Y EFICIENCIA DE LAS OPERACIONES

Se debe tener la seguridad de que las actividades se cumplan cabalmente con un mínimo de esfuerzo y utilización de recursos y un máximo de utilidad de acuerdo con las autorizaciones generales especificadas por la administración. 

Ejemplo: El establecimiento de un sistema de incentivos a la producción.

CUMPLIMIENTO DE LAS LEYES Y REGULACIONES APLICABLES

Toda acción que se emprenda por parte de la dirección de la organización, debe estar enmarcada dentro las disposiciones legales del país y debe obedecer al cumplimiento de toda la normatividad que le sea aplicable al ente. Este objetivo incluye las políticas que emita la alta administración, las cuales deben ser suficientemente conocidas por todos los integrantes de la organización para que puedan adherirse a ellas como propias y así lograr el éxito de la misión que ésta se propone.

COMPONENTES DEL CONTROL INTERNO

De acuerdo a la Declaración Profesional No.7 tantas veces citada el nuevo concepto de control interno está constituido por los siguientes componentes interrelacionados derivados de la forma de gestionar la organización:

AMBIENTE DE CONTROL

La organización debe establecer un entorno que permita el estímulo y produzca influencia en la actividad del recurso humano respecto al control de sus actividades. Para que este ambiente de control se genere se requiere de otros elementos asociados al mismo los cuales son:

• Integridad y valores éticos. Se deben establecer los valores éticos y de conducta que se esperan del recurso humano al servicio del Ente, durante el desempeño de sus actividades propias. Los altos ejecutivos deben comunicar y fortalecer los valores éticos y conductuales con su ejemplo.
• Competencia. Se refiere al conocimiento y habilidad que debe poseer toda persona que pertenezca a la organización, para desempeñar satisfactoriamente su actividad.
• Experiencia y dedicación de la Alta Administración. Es vital que quienes determinan los criterios de control posean gran experiencia, dedicación y se comprometan en la toma de las medidas adecuadas para mantener el ambiente de control.
• Filosofía administrativa y estilo de operación. Es sumamente importante que se muestre una adecuada actitud hacia los productos de los sistemas de información que conforman la organización. Aquí tienen gran influencia la estructura organizativa, delegación de autoridad y responsabilidades y políticas y prácticas del recurso humano. Es vital la determinación actividades para el cumplimiento de la misión de la empresa, la delegación autoridad en la estructura jerárquica, la determinación de las responsabilidades a los funcionarios en forma coordinada para el logro de los objetivos.

 "el ambiente de control" que significa la actitud global, conciencia y acciones de directores y administración respecto del sistema de control interno y su importancia en la entidad. El ambiente de control tiene un efecto sobre la efectividad de los procedimientos de control específicos. Un ambiente de control fuerte, por ejemplo, uno con controles presupuestales estrictos y una función de auditoría interna efectiva, pueden complementar en forma muy importante los procedimientos específicos de control. Sin embargo, un ambiente fuerte no asegura, por sí mismo, la efectividad del sistema de control interno. 

EVALUACIÓN DE RIESGOS

Riesgos. Los factores que pueden incidir interfiriendo el cumplimiento de los objetivos propuestos por el sistema ( organización) , se denominan riesgos. Estos pueden provenir del medio ambiente ó de la organización misma. Se debe entonces establecer un proceso amplio que identifique y analice las interrelaciones relevantes de todas las áreas de la organización y de estas con el medio circundante, para así determinar los riesgos posibles.

Toda organización se encuentra sumergida en un medio ambiente cambiante y turbulento muchas veces hostil, por lo tanto es de vital de importancia la identificación y análisis de los riesgos de importancia para la misma, de tal manera que los mismos puedan ser manejados. La organización al establecer su misión y sus objetivos debe identificar y analizar los factores de riesgo que puedan amenazar el cumplimiento de los mismos. La evaluación de riesgos presenta los siguientes aspectos sobresalientes:

Objetivos. Todos los recursos y los esfuerzos de la organización están orientados por los objetivos que persigue la misma. Al determinarse los objetivos es crucial la identificación de los factores que pueden evitar su logro. La administración debe establecer criterios de medición de estos riesgos para prevenir su ocurrencia futuro y así asegurar el cumplimiento de los objetivos previstos. Las categorías de los objetivos se relacionan directamente con los objetivos del control interno planteados anteriormente:

• Objetivos de Información Financiera, son aquellos relacionados con la obtención de información financiera suficiente y confiable.
• Objetivos de Operación, son los que pretenden lograr efectividad y eficiencia de las operaciones.
• Objetivos de Cumplimiento, son los que se orientan a la adhesión a las leyes, reglamentos y políticas emitidas por la administración.

Análisis de riesgos y su proceso. Los aspectos importantes a incluir son entre otros:

• Estimación de la importancia del riesgo y sus efectos
• Evaluación de la probabilidad de ocurrencia
• Establecimiento de acciones y controles necesarios
• Evaluación periódica del proceso anterior

Manejo de cambios. Tiene relación con la identificación de los cambios que puedan tener influencia en la efectividad de los controles internos ya establecidos. Todo control diseñado para una situación específica puede ser inoperante cuando las circunstancias se modifican. Este elemento tiene estrecha relación con el proceso de análisis de riesgos, pues el cambio en sí implica un factor que puede incidir en el éxito de los objetivos.

Además de los factores que puedan impedir el cumplimiento de los objetivos del sistema organizacional, se debe tener en cuenta el riesgo de auditoría, que consiste en que el auditor no detecte un error de importancia relativa que pueda existir en el sistema examinado. El riesgo de auditoría puede consistir en riesgo inherente, riesgo de control, y el riesgo de detección

3. "Riesgo de auditoría" significa el riesgo de que el auditor de una opinión de auditoría inapropiada cuando los estados financieros están elaborados en forma errónea de una manera importante. El riesgo de auditoría tiene tres componentes: riesgo inherente, riesgo de control y riesgo de detección.

4. "Riesgo inherente" es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación errónea que pudiera ser de importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos relacionados.

5. "Riesgo de control" es el riesgo de que una representación errónea que pudiera ocurrir en el saldo de cuenta o clase de transacciones y que pudiera ser de importancia relativa individualmente o cuando se agrega con representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido con oportunidad por los sistemas de contabilidad y de control interno.

6. "Riesgo de detección" es el riesgo de que los procedimientos sustantivos de un auditor o detecten una representación errónea que existe en un saldo de una cuenta o clase de transacciones que podría ser se importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otros saldos o clases. [NIA, 1998]

ACTIVIDADES DE CONTROL

Las actividades de una organización se manifiestan en las políticas, sistemas y procedimientos, siendo realizadas por el recurso humano que integra la entidad. Todas aquellas actividades que se orienten hacia la identificación y análisis de los riesgos reales o potenciales que amenacen la misión y los objetivos y en beneficio de la protección de los recursos propios o de los terceros en poder de la organización, son actividades de control. Estas pueden ser aprobación, autorización, verificación, inspección, revisión de indicadores de gestión, salvaguarda de recursos, segregación de funciones, supervisión y entrenamiento adecuado.

INFORMACIÓN Y COMUNICACIÓN

La capacidad gerencial de una organización está dada en función de la obtención y uso de una información adecuada y oportuna. La entidad debe contar con sistemas de información eficientes orientados a producir informes sobre la gestión, la realidad financiera y el cumplimiento de la normatividad para así lograr su manejo y control.

Los datos pertinentes a cada sistema de información no solamente deben ser identificados, capturados y procesados, sino que este producto debe ser comunicado al recurso humano en forma oportuna para que así pueda participar en el sistema de control. La información por lo tanto debe poseer unos adecuados canales de comunicación que permitan conocer a cada uno de los integrantes de la organización sus responsabilidades sobre el control de sus actividades. También son necesarios canales de comunicación externa que proporcionen información a los terceros interesados en la entidad y a los organismos estatales.

SUPERVISIÓN Y SEGUIMIENTO

Planeado e implementado un sistema de Control Interno, se debe vigilar constantemente para observar los resultados obtenidos por el mismo.

Todo sistema de Control Interno por perfecto que parezca, es susceptible de deteriorarse por múltiples circunstancias y tiende con el tiempo a perder su efectividad. Por esto debe ejercerse sobre el mismo una supervisión permanente para producir los ajustes que se requieran de acuerdo a las circunstancias cambiantes del entorno. 

La Administración tiene la responsabilidad de desarrollar, instalar y supervisar un adecuado sistema de control interno. Cualquier sistema aunque sea fundamentalmente adecuado, puede deteriorarse sino se revisa periódicamen­te. Corresponde a la administración la revisión y evaluación sistemática de los componentes y elementos que forman parte de los sistemas de control. La evaluación busca identificar las debilidades del control, así como los controles insuficientes o inoperantes para robustecerlos, eliminarlos o implantar nuevos. La evaluación puede ser realizada por las personas que diariamente efectúan las actividades, por personal ajeno a la ejecución de actividades y combinando estas dos formas.

El sistema de control interno debe estar bajo continua supervisión para determinar si:

• Las políticas descritas están siendo interpretadas apropiadamente y si se llevan a cabo.
• Los cambios en las condiciones de operación no han hecho estos procedimientos obsoletos o inadecuados y,
• Es necesario tomar oportunamente efectivas medidas de corrección cuando sucedan tropiezos en el sistema. El personal de Auditoría interna es un factor importante en el sistema de control interno ya que provee los medios de revisión interna de la efectividad y adherencia a los procedimientos prescritos.

El papel de supervisor del control interno corresponde normalmente al Departamento de Auditoría Interna, pero el Auditor Independiente al evaluarlo periódicamente, contribuye también a su supervisión.

UTILIDAD DE LOS SISTEMAS DE CONTROL INTERNO

El sistema de control interno es un proceso de control integrado a las actividades operativas de los entes, diseñado para asegurar en forma razonable la fiabilidad de la información contable; los estados contables constituyen el objeto del examen en la auditoría externa de estados contables, esta relación entre ambos muestra la importancia que tiene el sistema de control interno para la auditoría externa de estados contables.

No todas las empresas tienen implementado un sistema de control interno, por razones de política de la dirección o por razones de tamaño, porque en las pequeñas empresas la estructura operativa no permite la implementación de un proceso de control integrado; en consecuencia este trabajo va a ser de mayor utilidad para la auditoria en las empresas que tengan implementado un sistema de control interno que funcione adecuadamente; aunque el conocimiento del sistema de control interno va a permitir desarrollar procedimientos de comprobación de información más eficientes en empresas que no tiene implementado un sistema de control interno.

En las empresas que tienen implementado un sistema de control interno, para que sea de utilidad para la auditoría externa de estados contables, es necesario que el auditor deposite confianza en los controles que realiza la empresa, para que el auditor decida depositar confianza deberá evaluar el nivel de desarrollo y si funciona eficientemente; esta tarea constituye la “Evaluación de las actividades de control de los sistemas que son pertinentes a su revisión, siempre que, con relación a su tarea, el auditoria decida depositar confianza en tales actividades”. La Resolución Técnica N°7 (FACPCE) lo menciona como procedimiento que debe realizar el auditor y la NIA 315 (IAASB) “Identificación y análisis de los riesgos de distorsiones significativas mediante la comprensión de la entidad y de su entorno, incluso del control interno de la entidad” lo considera como tareas que debe realizar el auditor.

El objetivo del presente trabajo es aportar los conocimientos necesarios para que el auditor utilice el sistema de control interno desarrollado por la empresa, como un procedimiento de auditoría para el cumplimiento de los objetivos del trabajo, y ello le permita la ejecución de una auditoria más eficiente.

Para una mejor comprensión del tema y con la idea de que se evolucione en el conocimiento de la herramienta de auditoría que se desarrolla, este trabajo se estructura de la siguiente manera:

Capítulo I: Se presenta el sistema de control interno, sobre la base del Informe COSO I, por considerar que es el más completo y el que mayor aceptación ha tenido a nivel mundial, representando lo que sería el sistema de control interno diseñado y aplicado por la empresa para el logro de los objetivos de la organización. Como complemento, para la consideración del trabajo en las pequeñas empresas, se realiza un informe de contenido de la “Guía para compañías pequeñas que informan sobre el control interno en los estados financieros” – Informe COSO para compañías pequeñas.

Capítulo II: Se desarrolla el enfoque de auditoría externa de estados contables establecido por las NIA, donde se muestra la importancia que tiene el sistema de control interno en la auditoría externa de estados contables.

Capítulo III: Se considera específicamente la herramienta de evaluación del sistema de control interno como un procedimiento en la auditoría externa de estados contables.

Este trabajo presenta las bases teóricas de la importancia del sistema de control interno para la auditoría externa de estados contables, como un método, con el objetivo de que su comprensión permita la realización de una auditoria más segura y eficiente. Constituye un planteamiento teórico de las bases del procedimiento, su profundización y desarrollo práctico se lo puede obtener en la bibliografía citada.

PARADIGMAS DEL CONTROL INTERNO

Se utiliza en la vida cotidiana como sinónimo de “ejemplo” o para hacer referencia en caso de algo que se toma como “modelo digno de seguir”. En principio se tenía en cuenta a nivel gramatical (para definir su uso en un cierto contexto) y se valoraba desde la retórica.

No.	PARADIGMA ANTERIOR	PARADIGMA ACTUAL
1	“La responsabilidad del control estaba en manos sólo de los profesionales especializados” como los auditores internos.	”Todos los funcionarios tienen alguna responsabilidad explícita o implícita respecto al proceso de Control Interno”.
2	”Eran más importantes los controles que los riesgos”. Es decir, el diseño y funcionamiento de los controles se realizaba sin analizar previamente los riesgos relacionados con las operaciones a controlar.	Para la implantación y evaluación del proceso de Control Interno “resulta más efectivo centralizarse en los riesgos” de las operaciones y de la entidad a efecto de minimizar la posibilidad de implantar o relevar controles sobre aspectos que no ofrecen riesgo significativo, evitando la dilapidación de esfuerzos y recursos e interpretando cabalmente la relación costo – beneficio.
3	El Control Interno era concebido “como un sistema individual a cargo de terceras personas ajenas a la operación y añadido al resto de los sistemas administrativos y operativos”. Se consideraba al control como una carga adicional que debía soportar cada responsable operativo y que absorbía parte del tiempo que debería dedicarle a la gestión propiamente dicha.	Constituye “un proceso incorporado a los sistemas administrativos y operativos” y que no puede existir si no existen objetivos, metas, normas o criterios. Por esta razón, el concepto de control interno está íntimamente vinculado con la “administración por objetivos” para dar énfasis a los resultados concretos. Dicho proceso es llevado a cabo por el personal al mismo tiempo que realiza sus actividades. Es decir, que este proceso de control está formando parte de los sistemas, funciones o actividades que son desarrollados por el personal.
4	Un “mal necesario” que debía soportarse y que estaba impuesto por requerimientos externos para satisfacer necesidades formales de terceros no comprometidos con la gestión de la entidad.	Es “una ayuda” que se materializa por medio de la implantación de metodologías proactivas (Ejemplo: Evaluaciones periódicas llevadas a cabo por el propio personal de la entidad para la mejora de los mecanismos de control en los procesos, el diseño de otros o la eliminación de aquellos que ya no son útiles a los fines de la entidad) hacia el control que involucran al personal operativo generando motivación y compromiso e incrementando las posibilidades de alcanzar los objetivos establecidos.
5	Es un “mecanismo o práctica destinado a prevenir o identificar actividades no autorizadas”.	Es “cualquier esfuerzo “que se realice para aumentar las posibilidades de que se logren los objetivos de la entidad. Dicha generalización pretende un comportamiento orientado hacia la calidad procurando conformar una “cultura de control”.

BASE DE DATOS

Una base de datos es el conjunto de datos informativos organizados en un mismo contexto para su uso y vinculación.

Se le llama base de datos a los bancos de información que contienen datos relativos a diversas temáticas y categorizados de distinta manera, pero que comparten entre sí algún tipo de vínculo o relación que busca ordenarlos y clasificarlos en conjunto.

Una base de datos puede ser de diverso tipo, desde un pequeño fichero casero para ordenar libros y revistas por clasificación alfabética hasta una compleja base que contenga datos de índole gubernamental en un Estado u organismo internacional. Recientemente, el término base de datos comenzó a utilizarse casi exclusivamente en referencia a bases construidas a partir de software informático, que permiten una más fácil y rápida organización de los datos. Las bases de datos informáticas pueden crearse a partir de software o incluso de forma online usando Internet. En cualquier caso, las funcionalidades disponibles son prácticamente ilimitadas.

Las bases de datos se clasifican como estáticas - en casos en que sólo sirven para su lectura y almacenamiento - o dinámicas - la información se modifica y puede ser actualizada -. También, según su contenido pueden ser bibliográficas, de texto completo, directorios, o de tipo biblioteca.

Los usos de las bases de datos son tan múltiples que, por ejemplo, pueden utilizarse en una biblioteca o archivo que guarda libros para su consulta frecuente, pero también pueden emplearse para guardar material biológico, como un archivo genético o un banco de esperma que almacena esperma para ser utilizado en fertilización.

Este tipo de clasificadores contribuyen, por supuesto, a labores diarias de casi todo tipo de empleos, como registrar las comunicaciones que se sostienen con clientes, almacenar datos de proveedores, archivar datos, números y todo tipo de información que el usuario quiera poner en relación o encontrar fácilmente con sólo ingresar una palabra clave.