Marco de Control y Auditoría: Estándares y Evaluación de Sistemas de Información

Posted on por

Normas de Auditoría Interna

Norma 2120: Control

La actividad de auditoría interna debe asistir a la organización en el mantenimiento de la efectividad del control, mediante la evaluación de su eficacia y eficiencia, y promoviendo la mejora continua.

NORMA 2120 A1

Basada en los resultados de la evaluación de riesgos, la actividad de auditoría interna debe evaluar la adecuación y eficacia de los controles que comprenden el gobierno, las operaciones y los sistemas de información de la organización. Esto debe incluir lo siguiente:

NORMA 2120 A2

Los auditores internos deben cerciorarse del alcance de los objetivos y metas operativos y de programas que hayan sido establecidos y de que sean consistentes con los de la organización.

NORMA 2120 A3

Los auditores internos deben revisar las operaciones y programas para cerciorarse de que los resultados sean consistentes con los objetivos y metas establecidos, y de que las operaciones y programas estén siendo implementados o desempeñados tal como fueron planeados.

NORMA 2120 A4

Se requiere criterio adecuado para evaluar controles. Los auditores internos deben cerciorarse del alcance hasta el cual la dirección ha establecido criterios adecuados para determinar si los objetivos y metas han sido cumplidos.

Evaluación por Auditores Internos

Los auditores internos deben evaluar:

  • Si se tienen establecidas metas operacionales.
  • Si esas metas son aceptables y están siendo alcanzadas.

El Control como Asistencia a la Gerencia

El control sirve para asistir a la gerencia en el logro de objetivos primarios, que son:

  • Información financiera y operacional confiable, creíble y relevante.
  • Efectividad y eficiencia en la aplicación de recursos.
  • Salvaguarda de activos.
  • Cumplimiento de leyes y normatividades.
  • Identificación de exposiciones al riesgo y el establecimiento de estrategias para su control.
  • Establecimiento de objetivos y metas operacionales.

Tipos de Control

Los controles se diseñan para cumplir varias funciones:

  • Preventivos: Anticipan eventos no deseados antes de que sucedan.
  • Detectives: Identifican los eventos en el momento en que se presentan.
  • Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado.
  • Directivos: Son acciones positivas a favor de que sucedan ciertos acontecimientos que favorecen al control interno (ej. una política de contratación de un Director Financiero).

Beneficios del Control Interno

  • Pueden ayudar a la gerencia, considerándose medios que favorecen el logro de metas y objetivos.
  • Es un medio que integra al personal con los objetivos.
  • Ayuda al personal a medir su desempeño y mejorarlo.
  • Ayuda a evitar las tentaciones de fraude.

Importancia de los Controles

  • Facilitan la rendición de cuentas mediante la evidencia, en forma de reportes, de que se llevaron a cabo las cosas según se planearon.
  • Los gerentes son responsables de instalar, mantener y modificar sus controles.

Componentes del Control Interno

  • Ambiente de control.
  • Evaluación de riesgos.
  • Actividades de control.
  • Información y comunicación.
  • Supervisión.

Las Actividades de Control

Las actividades de control son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de la dirección de la empresa.

Necesidad de las Normas de Auditoría

La necesidad de las normas de auditoría deriva del simple hecho de que, tratándose de una actividad, es deseable la existencia de reglas que faciliten su desarrollo. Además, nace del hecho de que el producto de la actividad del auditor es un informe.

Normas Internacionales de Auditoría (NIA)

Las Normas Internacionales de Auditoría (NIA) son una dirección que debe seguir, orientar y tener presente el auditor en un proceso de auditoría, tanto en la planificación como en el desarrollo de las evidencias y conclusiones.

NIA 200: Objetivo General del Auditor Independiente

La NIA 200 establece que el objetivo de una auditoría de estados financieros es permitir al auditor expresar una opinión acerca de si los estados financieros están preparados razonablemente, en los aspectos significativos, de acuerdo con un marco de referencia para los estados e informes financieros.

NIA 210: Acuerdos de los Términos del Encargo de Auditoría

La NIA 210 tiene como propósito establecer una guía para acordar con el cliente los términos del trabajo de auditoría y, en su caso, ilustra sobre la posición que debe adoptar un auditor ante un requerimiento del cliente para cambiar los términos convenidos para pasar a otro trabajo.

Evaluación de Sistemas de Información

Los sistemas de información deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:

  • Requerimientos del usuario.
  • Estudio de factibilidad.
  • Diseño general.
  • Análisis.
  • Diseño Lógico.
  • Desarrollo físico.
  • Pruebas.
  • Implementación.
  • Evaluación.
  • Modificaciones.
  • Instalación.
  • Mejoras.

¿Qué se evalúa en los Sistemas de Información?

  • Los controles generales que impactan la efectividad de las funciones de los sistemas de información.
  • Control de operaciones del centro de cómputo.
  • Controles de seguridad física y lógica.

¿Cómo se evalúan los Sistemas de Información?

  • El Análisis de los Sistemas.
  • El Diseño de los Sistemas.
  • Los Diseños Lógicos.
  • Los reportes.
  • Las plantillas.

Análisis de los Sistemas

Es el proceso de recopilación, clasificación e interpretación de hechos.

Descomposición del Análisis de Sistemas

¿Cómo se descompone el Análisis de los Sistemas? Mediante las políticas, los procedimientos y normas que se tienen para llevar a cabo el análisis. Se considera de tres partes principales:

  • La planeación estratégica de la empresa.
  • Los inventarios de los sistemas de información.
  • Los requerimientos de los usuarios de los sistemas.

Puntos a Evaluar en Sistemas

  • Procedimientos precisos de captura de datos.
  • Formularios y pantallas para ingresar datos.
  • Interfaz con el usuario (mensajes, menús del ratón o mouse, etc.).
  • Base de datos que almacenará el dato requerido por quien toma las decisiones en la organización.
  • Salidas del sistema impresas y en pantalla (consultas, listados, etc.).

Documentación Requerida para el Uso del Sistema

Cuando se utiliza el sistema, se debe solicitar:

  • Manual del usuario.
  • Descripción de flujo de información y/o procesos.
  • Descripción y distribución de información.
  • Manual de formas.
  • Manual de reportes.

Seguridad en Sistemas de Información

Seguridad Física

La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial.

Seguridad Lógica

La seguridad lógica se refiere a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.

Objetivos de la Seguridad Lógica

  • Restringir el acceso a los programas y archivos.
  • Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.

Seguridad en el Ambiente de Microcomputadoras

Objetivos:

  • Se debe contar con condiciones ambientales adecuadas para la conservación de los equipos.
  • Se debe incluir el mantenimiento periódico de los equipos en el plan de trabajo general.
  • Asegurar la protección de los datos transmitidos de un equipo a otro.
  • Se debe reflejar el impacto de un cambio de o en el equipo.