Auditoría y Auditoría Informática: Conceptos, Tipos y Objetivos

Gestión de empresas, , , , , ,

Conceptos de Auditoría y Auditoría Informática

Concepto General de Auditoría

La auditoría se define como una actividad que implica la investigación, consulta, revisión, verificación, comprobación y obtención de evidencia, desde una posición de independencia, sobre la documentación e información de una organización. Esta labor es realizada por un profesional, el auditor, designado para desempeñar tales funciones.

Función del Auditor

La función principal del auditor es examinar e informar sobre la documentación elaborada por los órganos directivos de la organización.

Diversos Conceptos de Auditoría

Norma AENOR X50-109

Define la auditoría como un examen metódico de una situación relativa a un producto, proceso u organización, en materia de calidad. Este examen se realiza en cooperación con los interesados, a fin de verificar la concordancia de la realidad con lo preestablecido, y la adecuación al objetivo buscado.

Ley 19/1988 de Auditoría de Cuentas

Establece que el objeto de la auditoría es la emisión de un informe acerca de la fiabilidad de los documentos contables auditados. Se delimita a la comprobación de que los saldos que figuran en sus anotaciones contables concuerden con los ofrecidos en el balance y en la cuenta de resultados.

Real Decreto 1636/1990 del Reglamento que desarrolla la Ley de Auditoría de Cuentas, Artículo 1°

Define la auditoría de cuentas como la actividad realizada por una persona cualificada e independiente, consistente en analizar, mediante la utilización de las técnicas de revisión y verificación idóneas, la información económico-financiera deducida de los documentos contables examinados. Tiene por objeto la emisión de un informe dirigido a poner de manifiesto su opinión responsable sobre la fiabilidad de la citada información, a fin de que se pueda conocer y valorar dicha información por terceros.

Objetivo Fundamental de un Trabajo de Auditoría

El objetivo fundamental es permitir que el auditor llegue a estar en condiciones de informar fundadamente sobre la fidelidad y razonabilidad de la situación que refleja la documentación aportada por la empresa.

Obligaciones del Auditor

El auditor está obligado a establecer de forma inequívoca, según su criterio, si la imagen de la empresa es fiel y razonable en la documentación aportada, expresando su opinión con independencia.

Resumen de los Puntos Comunes en las Definiciones de Auditoría

  • Realización de un examen ordenado y planificado.
  • Comprobación de la calidad de lo examinado.
  • Verificación de la fiabilidad de lo examinado en cuanto a los hechos reales que refleja.
  • Obligación de informar a terceros con una opinión fundada.

Auditoría Informática

La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Principales Objetivos de la Auditoría Informática

  • Control de la función informática.
  • Análisis de la eficacia del Sistema Informático.
  • Verificación de la implantación de la Normativa.
  • Revisión de la gestión de los recursos informáticos.

Beneficios de la Auditoría Informática para la Empresa

La auditoría informática contribuye a mejorar características clave en la empresa como:

  • Eficiencia
  • Eficacia
  • Rentabilidad
  • Seguridad

Tipos de Auditoría

Las auditorías se pueden clasificar según diversos criterios:

Según el Sujeto que la Efectúa

  • Auditoría Interna: Realizada por empleados de la propia empresa, encuadrados en un departamento que depende directamente de la dirección general.
  • Auditoría Externa: Llevada a cabo por auditores profesionales, ajenos a la empresa y totalmente independientes.

Según el Contenido y los Fines

  • Auditoría de Gestión: Afecta a la situación global de la empresa.
  • Auditoría Organizativa: Analiza si la estructura organizativa de la empresa es la adecuada, según sus necesidades y problemas.
  • Auditoría Operacional: Determina el grado de cumplimiento de los objetivos establecidos por la gerencia en una unidad o función, e identifica las áreas que necesitan mejora.
  • Auditoría Financiera: Examina y verifica los estados financieros de la empresa, para emitir una opinión fundada sobre su fiabilidad.
  • Auditoría Contable: Analiza la adecuación de los criterios empleados para recoger los hechos derivados de la actividad de la empresa y su representación en los estados financieros.
  • Auditoría Informática: Examina y verifica el correcto funcionamiento y control del sistema informático de la empresa.

Según la Amplitud

  • Auditoría Total: Afecta a todos los elementos de la empresa.
  • Auditoría Parcial: Se concentra en determinados elementos de la empresa.

Según la Frecuencia

  • Auditoría Permanente: Se realiza periódicamente a lo largo del ejercicio económico.
  • Auditoría Ocasional: Se realiza de forma esporádica.

Beneficiarios de la Auditoría

Los beneficiarios de la auditoría son aquellos que necesitan información correcta y auténtica sobre la situación y actividades de la empresa.

  • Auditoría Interna: La propia empresa, incluyendo los órganos de gobierno y ejecutivos.
  • Auditoría Externa: Accionistas o socios, consejeros y ejecutivos, proveedores, acreedores, inversores, la Banca, la Hacienda Pública, los empleados de la empresa, y otros organismos públicos e institucionales.

Diferencias entre Auditoría Interna y Externa

Auditoría Interna

  • Realizada por un empleado de la empresa.
  • Independencia limitada.
  • Responsabilidad laboral del auditor.
  • Objetivo: examen de la gestión.
  • Informe con recomendaciones para la gerencia.
  • Uso del informe restringido al ámbito interno de la empresa.

Auditoría Externa

  • Realizada por un profesional independiente.
  • Independencia total.
  • Responsabilidad profesional, que puede llegar a ser penal.
  • Objetivo: examen de los estados financieros para determinar si representan la situación real de la entidad auditada.
  • Informe dirigido también a terceros.
  • Uso del informe trasciende la propia empresa.

Campo de la Auditoría Informática

Generalmente, la auditoría informática se puede desarrollar en alguna o en una combinación de las siguientes áreas:

  • Gobierno corporativo.
  • Administración del ciclo de vida de los sistemas.
  • Servicios de entrega y soporte.
  • Protección y seguridad.
  • Planes de recuperación de desastres.

Control Interno

El Control Interno es un proceso que lleva a cabo el Consejo de Administración, la dirección y el resto de los miembros de una entidad, con el objeto de proporcionar un grado razonable de confianza en la consecución de objetivos de fiabilidad de la información financiera, eficacia y eficiencia de las operaciones y cumplimiento de las leyes y las normas aplicables.

Responsabilidad de la Dirección

La dirección de la organización tiene la responsabilidad de decidir el alcance adecuado del sistema de control interno. La naturaleza de los controles depende de la clase de grado de control, distribución geográfica y estructura de la organización, entre otros factores.

Limitaciones del Control Interno

El control interno no garantiza, por sí mismo, una administración eficiente y tampoco puede evitar el fraude, especialmente cuando existe complicidad entre los cargos de confianza.

Componentes de un Sistema de Control Interno

  1. Segregación de funciones.
  2. Delegación de la responsabilidad y de la autoridad.
  3. Existencia de personal competente y de confianza.
  4. Sistema de autorizaciones.
  5. Documentación y registros adecuados.
  6. Control físico sobre activos y registros.
  7. Adecuada supervisión de la gestión.
  8. Verificación independiente de las operaciones.
  9. Comparación periódica de los registros contabilizados con los activos.

Modelos de Control Utilizados en Auditoría Informática

Las metodologías son necesarias para desarrollar cualquier proyecto de manera ordenada y eficaz. La auditoría informática identifica el nivel de exposición por la falta de control, mientras que el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio.

Todas las metodologías existentes en seguridad de sistemas buscan establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de que las amenazas se materialicen sea lo más baja posible, o al menos, que quede reducida de una forma razonable en términos de costo-beneficio.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *