You are on page 1of 15

3 DE OCTUBRE DE 2016

NORMATIVIDAD APLICADA A LA AUDITORÍA
INFORMÁTICA
TIPOS DE NORMATIVIDAD
JORGE MÉNDEZ DELGADO
AUDITORIA INFORMATICA
Alberto Valverde López

hubiera estado en relación de dependencia o haya tenido algún tipo de vinculación profesional. no son independientes debiendo abstenerse de actuar. Falta de independencia: El auditor y sus colaboradores. a juicio del funcionario o agente o del propio Tribunal de cuentas.  Cuando en el año fiscal a examinar o un período de hasta cuatro años anteriores al mismo. . Las normas de auditoria se clasifican en:    Normas personales. que le permita ser imparcial a la hora de dar sus sugerencias. Condición básica: Independencia: el auditor y sus colaboradores deben tener independencia con relación al ente objeto de la auditoria.  Cuando existiera otra causa que. administrativa. al trabajo que desempeña ya la información que rinde como resultado de este trabajo. Normas personales: Son cualidades que el auditor debe tener para ejercer sin dolo una auditoria. de alguno de los responsables de rendir cuentas del ente bajo examen. las normas de auditoria son los requisitos mínimos de calidad relativos a la personalidad del auditor. Normas de información. Ello implica una actitud mental objetiva. etc. le imposibilite actuar con independencia de criterio.Tipos de Normatividad Normas de la Auditoria Informática Según se describe.respecto del ente auditado. basados en sus conocimientos profesionales así como en un entrenamiento técnico. o por afinidad hasta el segundo grade. empresarial. en línea recta o colateral hasta el cuarto grado inclusive. Normas de ejecución del trabajo.en los siguientes casos:  Cuando fuera cónyuge pariente por consanguinidad. que debe apoyarse en la convicción íntima de poseer independencia de criterio.

reflejar las Normas más elevadas de moralidad. En especial. precisando su alcance y oportunidad. ser disciplinados y mantener absoluta confidencialidad sobre los sistemas e información examinada y los papeles de trabajo. precisas y surgir de elementos de juicio válido. Las observaciones del Auditor deben tener vida propia. ante la Justicia. Cuando de las verificaciones realizadas por el Auditor surjan irregularidades que. El Auditor debe conservar por un plazo no menor de seis años los papeles de trabajo que. En los casos que sean posible de acuerdo con la naturaleza del objeto del examen el Auditor puede aplicar procedimientos sobre bases selectivas. . a su criterio. así como de la efectiva aplicación de lo programado. honradez y dignidad. cumplimiento de las normas vigentes. Para ello.Reglas básicas El Auditor y su equipo de colaboradores deben actuar con responsabilidad. idoneidad y corrección. teniendo presente los objetivos y metas fijados en cada caso. el Auditor debe obtener elementos de juicio válidos. sea necesario ponerlas en conocimiento. teniendo presente además que el principio de legalidad. ser claras. juntamente con las actas e informes. En la ejecución de las auditorias deben priorizarse los aspectos de fondo. relacionados con la integridad del patrimonio público y la eficiencia administrativa. El Auditor es responsable de la elección cuidadosa de los procedimientos de auditoria. En todo momento. pertinentes y suficiente s que permitan informar fundadamente sobre el objeto del examen. sin perjuicio de proponer que el Tribunal de Cuentas adopte las medidas necesarias para prevenir corregir cualquier irregularidad. pertinente y suficiente. poder interpretarse sin recurrir a otros elementos. es esencial en la administración pública. siempre que no corresponda su a-regado a un expediente. o formular denuncia. Las actas e informes del Auditor deben cumplir con los requisitos o características que corresponden a toda información. Las opiniones del Auditor deben quedar claramente separadas de cualquier otro tipo de información. más allá de las actuaciones que deriven del cumplimiento de sus funciones y de las normas vigentes. constituyen la prueba del desarrollo de la tarea. A través del desarrollo de la tarea. con su informe en forma inmediata deberá comunicar a las autoridades jerárquicas proponiendo que se efectúen las actuaciones pertinentes. debe apoyarse en los resultados de la evaluación del control interno de los entes respectivos. En particular no debe omitir procedimiento alguno que le permita obtener evidencias. se deben evitar vocablos o expresiones ambiguas o que pudieran inducir a error a los interesados. el Auditor debe ejercer la función de asesoramiento a los funcionarios y cuentadantes a través del Fiscal que tenga asignado el control del ente respectivo.

se procede a la programación del mismo. la elaboración es más compleja y costosa. En el primer caso. Una vez asignados los recursos. se procede a la Programación de actividades. de acuerdo siempre con las prioridades del cliente. de toda la Informática. los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. .  El Plan estructura las tareas a realizar por cada integrante del grupo. porque se manejan recursos genéricos y no específicos. b) Si la auditoria es global.Normas de ejecución del trabajo Son la planificación de los métodos y procedimientos. el responsable de la auditoria y sus colaboradores establecen un plan de trabajo. El plan se elabora teniendo en cuenta.  El Plan establece disponibilidad futura de los recursos durante la revisión. Decidido éste.  En el plan no se consideran calendarios. El volumen determina no solamente el número de auditores necesarios.  En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. sino las especialidades necesarias del personal. Una vez elaborado el Plan. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.  En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios.  En el Plan se establecen las prioridades de materias auditables. entre otros criterios. o parcial. tanto como papeles de trabajo a aplicar dentro de la auditoria.

Análisis de la información propia. Simuladores (Generadores de datos). Paquetes de auditoria (Generadores de Programas). Muestreos. Simulación. Herramientas:        Cuestionario general inicial. Monitores. de forma que el resultado se obtiene más rápidamente y con menor calidad. resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.Actividades de la auditoria Informática Auditoria por temas generales o por áreas específicas: La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas. Estándares. se abarcan de una vez todas las peculiaridades que afectan a la misma. Cuando la auditoria se realiza por áreas específicas. Matrices de riesgo. . Cruzamiento de las informaciones anteriores. Técnicas de Trabajo:       Análisis de la información recabada del auditado. Cuestionario Checklist. Entrevistas.

d) Recomendaciones y planes de acción. Cuerpo expositivo: Para cada tema. se expondrá la situación prevista y la situación real. con indicación de la jefatura.Normas de información Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo. Enumeración de temas considerados: Antes de tratarlos con profundidad. responsabilidad y puesto de trabajo que ostente. e) Redacción posterior de la Carta de Introducción o Presentación. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. Definición de objetivos y alcance de la auditoria. el verdadero objetivo de la auditoria informática. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas.  La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. b) Tendencias.  El Informe debe consolidar los hechos que se describen en el mismo. también es conocido como informe o dictamen. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final. Por lo tanto la elaboración final es el exponente de su calidad. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. c) Puntos débiles y amenazas. . Cuando se trate de una revisión periódica. Modelo conceptual de la exposición del informe final:  El informe debe incluir solamente hechos importantes. en la que se analiza no solamente una situación sino además su evolución en el tiempo. se seguirá el siguiente orden a saber: a) Situación actual. se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoria. La función de la auditoria se materializa exclusivamente por escrito. Constituyen junto con la exposición de puntos débiles. los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

 No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. II. Repercusión del hecho.  Deberá entenderse por sí sola.El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. Conclusión del hecho. para que pueda ser verificada su implementación. 4. y además convincente. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. El hecho debe poder ser sometido a cambios. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. 3. al menos los siguientes criterios: I. 5.  La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.  No deben existir hechos repetidos. Se destina exclusivamente al responsable máximo de la empresa. Consecuencias del hecho. Flujo del hecho o debilidad: 1. Recomendación del auditor informático.  Ha de ser relevante para el auditor y pera el cliente. 2. por simple lectura.  Ha de ser exacto. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.  Deberá estar suficientemente soportada en el propio texto. o a la persona concreta que encargo o contrato la auditoria. . No deben existir alternativas viables que superen al cambio propuesto. carta de introducción o presentación del informe final: la carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada.  Deberá ser concreta y exacta en el tiempo. Hecho encontrado. IV. La consolidación de los hechos debe satisfacer.  Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. III.  Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

Proporcionará una conclusión general. concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. Cuantificará la importancia de las áreas analizadas. En la carta de introducción no se escribirán nunca recom. Incluirá fecha. objetivos y alcance. . naturaleza.La carta de introducción poseerá los siguientes atributos:       Tendrá como máximo 4 folios.

habiendo culminado sus estudios con recepción profesional de Contador Público. debe asignar responsabilidades a sus colaboradores y determinar que pruebas debe efectuar y que alcance dará a las mismas. siendo profesional a su actuación y observando siempre principios éticos. libre e imparcial. 3) Relativas a la información. b) Estudio y evaluación del control interno: el contador público independiente debe analizar a la entidad sujeta a ser auditada. éste debe ser: experto en la materia. es decir. gracias a ella se forma y a ella debe servir. Personales: Se refiere a la persona del contador público como auditor independiente. El profesional de la Contaduría Pública.Tipos de Normas de Auditoria en México Clasificación de las normas de auditoría generalmente aceptadas. 2) Relativas a la ejecución del trabajo. a) Entrenamiento técnico y capacidad profesional: el auditor debe tener conocimientos técnicos adquiridos en Universidades o Institutos superiores del país. que su opinión es objetiva. c) Independencia mental: Para que los interesados confíen en la información financiera este debe ser dictaminado por un contador público independiente que de antemano haya aceptado el trabajo de auditoría . a) Planeación y supervisión: antes de que el contador público independiente se responsabilice de efectuar cualquier trabajo debe conocer la entidad sujeta a la investigación con la finalidad de planear su trabajo. así como la oportunidad en que serán aplicadas. que le permita ejercer un juicio sólido y sensato para aplicar los procedimientos y valorar sus efectos o resultados. es evaluar y estudiar el control . esto. estos se eliminan o se reducen cuando el contador público pone a su trabajo (cuidado y diligencia profesional). ya que su opinión no este influenciada por nadie. además se requiere que el joven profesional adquiera una adecuada práctica o experiencia. 1) Personales. b) Cuidado y diligencia profesional: todo profesional forma parte de la sociedad. Relativas a la ejecución del trabajo: Estas normas se refieren a elementos básicos en el que el contador público debe realizar su trabajo con cuidado y diligencia profesionales para lo cual exigen normas mínimas a seguir en la ejecución del trabajo. al ofrecer sus servicios profesionales debe estar consciente de la responsabilidad que ello implica. Es cierto que los profesionales son humanos y que por lo tanto se encuentra al margen de cometer errores.

c) Obtención de la evidencia suficiente y competente: el contador público al dictaminar Estados Financieros adquiere una gran responsabilidad con terceros. por lo que debe de revelar toda información importante de acuerdo con el principio de "revelación suficiente". con la finalidad de determinar que pruebas debe efectuar y que alcance dará a las mismas. el auditor debe expresar con toda claridad la naturaleza de los cambios habidos. e) Suficiencia de las declaraciones informativas: la contabilidad controla las operaciones e informa a través de los Estados financieros que son los documentos sobre los cuales el contador público va a opinar. se considera que el producto terminado de dicho trabajo es el dictamen. la información que proporcionan los estados financieros deben ser suficiente.interno. objetivos y de certeza razonables. b) Debe aclarar que el contador público independiente: al realizar cualquier trabajo debe expresar con claridad en que estriba su relación y cuál es su responsabilidad con respecto a los estados financieros. . Relativas a la información: El objetivo de la auditoría de Estados Financieros es que el contador Público independiente emita su opinión sobre la razonabilidad de los mismos. por lo tanto. es necesario que se considere el mismo criterio y las mismas bases de aplicación de principios de contabilidad generalmente aceptados. así como. la oportunidad en que serán aplicadas. al procesar y elaborar la información. d) Consistencia en la aplicación de los principios de contabilidad: para que la información financiera pueda ser comparable con ejercicios anteriores y posteriores. estos hechos deben ser comprobables a satisfacción del auditor. a) Normas de dictamen e información: el profesional que presta estos servicios debe apegarse a reglas mínimas que garanticen la calidad de su trabajo. eliminar discrepancias. a los que los profesionales se deben de apegar y así. ha recomendado una serie de criterios. en caso contrario. ya que. el IMCP por medio de su comisión de principios de contabilidad. c) Base de opinión sobre estados financieros: con la finalidad de unificar criterios. su opinión debe estar respaldada por elementos de prueba que serán sustentables. es decir.

Miembros suscritos. Está compuesta por delegaciones gubernamentales y no gubernamentales subdivididos en una serie de subcomités encargados de desarrollar las guías que contribuirán al mejoramiento.Tipos de Normas de Auditoria Internacionales La Organización Internacional de Normalización o ISO (del griego ἴσος. Miembros correspondientes. El contenido de los estándares está protegido por derechos de copyright y para acceder a ellos el público corriente debe comprar cada documento. La organización ISO está compuesta por tres tipos de miembros: Miembros simples. de los organismos de países en vías de desarrollo y que todavía no poseen un comité nacional de normalización. comercio y comunicación para todas las ramas industriales. nacida tras la Segunda Guerra Mundial (23 de febrero de 1947). . Las normas desarrolladas por ISO son voluntarias. en consonancia con el Acta Final de la Organización Mundial del Comercio. comprendiendo que ISO es un organismo no gubernamental y no depende de ningún otro organismo internacional. con una Secretaría Central en Ginebra (Suiza) que coordina el sistema. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones (públicas o privadas) a nivel internacional. sobre la base de un miembro por país. uno por país. que produce diferentes normas internacionales industriales y comerciales. La ISO es una red de los institutos de normas nacionales de 161 países. el intercambio de información y contribuir con normas comunes al desarrollo y a la transferencia de tecnologías. no tiene autoridad para imponer sus normas a ningún país. La Organización está compuesta por representantes de los organismos de normalización (ON) nacionales. por lo tanto. No toman parte activa en el proceso de normalización pero están puntualmente informados acerca de los trabajos que les interesen. que significa «igual»). recayendo la representación en el organismo nacional más representativo. «isos». países con reducidas economías a los que se les exige el pago de tasas menores que a los correspondientes. con el propósito de facilitar el comercio. es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios). Dichas normas se conocen como «normas ISO» y su finalidad es la coordinación de las normas nacionales.

características. Auditoría de sistemas. Auditoría integral. Auditoria por su área de aplicación       Auditoría financiera. y especificaciones de esta disciplina profesional. (Caso de Estudio de esta investigación). (Caso de Estudio de esta investigación).Auditoria por su lugar de aplicación   Auditoria interna. los cuales se desarrollan a continuación. Auditoria de sistemas computacionales        Auditoría informática. Sin embargo para esta investigación solo se trataran los tipos de auditoria por su lugar de aplicación. Auditoría gubernamental. Auditoría a la gestión informática. Auditoría sin la computadora. Auditoría Administrativa. Auditoría alrededor de la computadora. . Auditoria Externa. (Caso de Estudio de esta investigación). con el fin de identificar criterios. (Caso de Estudio de esta investigación). Auditoría a los sistemas de redes. Auditoría ocupacional. De acuerdo a lo anterior. Auditoría con la computadora. Auditoría de sistema de cómputo. existe una clasificación de los tipos de auditoria.

funciones. actividades. debido a que utiliza técnicas y herramientas que ya fueron probadas en otras empresas con características similares. puesto que pueden estar directamente En su realización. lo cual ayudara a sus dirigentes en la evaluación y la toma de decisiones. Por otra parte el coste será menor puesto que los recursos solo son internos para organización. estas auditorías pueden estar apoyadas por una mayor experiencia por parte de los auditores externos. es solo de carácter interno y por lo tanto no sale de la empresa. Puede llevar un programa concreto de evaluación en apoyo a las autoridades de la empresa. Dado por el alejamiento de la problemática de la empresa de quienes asumen la .Ventajas y Desventajas de Normas Internacionales de Auditoria VS Normas Aplicadas en México Normas Ventajas Nacionales Internacionales Debido a que el auditor permanece conoce las problemática. independientemente del resultado. ya que únicamente le sirve a las autoridades de la institución. dado que es realizada por un personal ajeno a la empresa. El informe que rinde el auditor. por lo tanto no representan ninguna erogación adicional. Alto grado de objetividad que se consigue en comparación con los auditores internos. siempre que sean realizadas por auditores de prestigio que tengan el reconocimiento público. Desventajas Posible falta de objetividad de las personas que la llevan a cabo. puesto que no tendrá condicionantes de dependencia jerárquica o vinculaciones de otro tipo con la empresa. Sus dictámenes pueden ser válidos para las autoridades impositivas. áreas y operaciones. y con ello pueden satisfacer requerimientos de carácter legal.

para aplicar la auditoria. la profesionalidad y experiencia de quienes de quienes asumen la auditoria deben superar estos inconvenientes para Su veracidad. ya sea en las sumamente costosas formas de utilizar las para la empresa.implicados en el propio sistema de información. sobre la misma. sino por el tiempo y como en la forma de trabajo adicional que evaluar y emitir su informe representan. compromisos y ciertos intereses al realizar la evaluación. responsabilidad de llevar a cabo la auditoria. al laborar en la misma empresa donde realiza la auditoria. no solo técnicas y herramientas en el aspecto numérico. alcance y llevar a cabo un trabajo confiabilidad pueden ser adecuado. alcances y informes. de evaluar y emitir Su evaluación. puede presentar presiones. No obstante. resultados pueden ser Se pueden presentar muy limitados. debido a que puede haber injerencias Depende en absoluto de por parte de las la cooperación que el autoridades de la auditor pueda obtener de institución sobre la forma parte de los auditados. . limitados. vicios de trabajo del auditor con relativa En algunos casos son frecuencia.

Aplicar las leyes y sanciones que rige la normatividad y legislación que se utiliza en la informática. su propósito y las leyes y sanciones que se aplican a los usuarios en cada uno de los casos en los que estos violen. La informática esta hoy presente en casi todos los campos de la vida moderna así como sus leyes que deben ser seguidas punto a punto en las más diversas esferas como el conocimiento humano. Creo que hoy en día hay muchas violaciones en la seguridad informática y pues nos daremos cuenta de las sanciones que también nos rigen como informáticos. Evitar romper con las reglas informáticas cuando usemos tanto el Equipo de software como el hardware dentro de nuestra casa. tanto en su concepto general. en lo técnico. en lo profesional y en lo personal. procesos electrónicos. trabajo o escuela. en lo científico.Conclusión Estos temas son muy importantes en el mundo de la informática. . pues con base en ellos aprendemos las reglas y normas con las que el mundo informático trabaja y se organiza.