El documento describe la importancia de identificar y evaluar los riesgos potenciales en los procesos de una organización para mejorar el desempeño a través de controles. Explica tres tipos de riesgos (de control, detección e inherente) y algunas situaciones que podrían indicar errores u irregularidades. Además, define la auditoría de sistemas como la evaluación de normas y procedimientos de TI para lograr la confiabilidad, seguridad y oportunidad de la información a través de sistemas de información, con el objetivo de mejor
Identificación y evaluación de riesgos potenciales y definición de auditoria y su alcance
1. Identificación y Evaluación de Riesgos Potenciales y
Definición de Auditoria y su Alcance
IDENTIFICACIÓN Y EVALUACIÓN DE RIESGOS POTENCIALES Y DEFINICIÓN DE
AUDITORIA Y SU ALCANCE
RIESGOS:
Es de vital importancia que toda organización pueda contar con una herramienta, que garantice la
correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una
entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en cuenta
que, una de las principales causas de los problemas dentro de los subprocesos es la inadecuada
previsión de riesgos, se hace necesario entonces estudiar los Riesgos que pudieran aparecen en
cada subproceso de Auditoría, esto servirá de apoyo para prevenir una adecuada realización de
los mismos.
Es necesario en este sentido tener en cuenta lo siguiente:
1. La evaluación de los riesgos inherentes a los diferentes subprocesos de la
Auditoría.
2. La evaluación de las amenazas o causas de los riesgos.
3. Los controles utilizados para minimizar las amenazas o riesgos.
4. La evaluación de los elementos del análisis de riesgos.
2. Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de
Control Interno, en los cuales se asumen tres tipos de Riesgo:
Riesgo de Control:
Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y
puede generar deficiencias del Sistema de Control Interno.
Riesgo de Detección:
Es aquel que se asume por parte de los auditores que en su revisión no detecten deficiencias en el
Sistema de Control Interno.
Riesgo Inherente:
Son aquellos que se presentan inherentes a las características del Sistema de Control Interno.
NOTA: Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se ejecute,
ya sea en procesos de producción como de servicios, en operaciones financieras y de mercado,
por tal razón podemos afirmar que la Auditoría no está exenta de este concepto. (riesgo)
Algunas situaciones que pueden indicar la existencia de errores o irregularidades:
1_. Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la
empresa. sucede cuando el auditor no solo desconfia de su competencia, tambien descofia de sus
empleados por x motivos, podria encontrarce en riesgo por posibles errores o en el peor de los
casos por irregularidades.
2_. Cuando el auditor detecte que los puestos clave como cajero, contador, administrador
o gerente, tienen un alto porcentaje de rotación. en este caso se da riesgo por fallas en
procedimientos administrativos o irregularidades.
3_.El desorden del departamento de contabilidad de una entidad. no hay un adecuado
control en los procedimientos administrativos y esto implica informes con retrazo, registro de
operaciones inadecuados, archivos incompletos, cuentas no conciliadas, etc..
EVALUACIÓN DE LOS RIESGOS
luego de detectar cada uno de los riesgos, en las diferentes áreas de una empresa se evalúan se
sacan conclusiones y cronograma de trabajo para la elaboración de un proyecto en el cual se
proceda a evitar en el futuro riesgo y al mismo tiempo corrigiendo los ya presentes, para así lograr
un mejor desempeño de nuestra empresa frente a nuevas eventualidades.
DEFINICION DE AUDITORIA DE SISTEMA Y SU ALCANCE
3. Es la encarga de la evaluacion de las normas, tecnicas, procedimientos, que se establecen en la
empresas, para lograr asi la confiabilidad, seguridad, oportinidad, confidencialidad, de la
informacion que se maneja en dicha entidad y se procesa atravez de sistemas de informacion.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para
mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de
lograr mayor eficiencia operacional y administrativa
OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS:
1. Participación en el desarrollo de nuevos sistemas: evaluación de controles cumplimiento
de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia. respaldos, preveer qué va a
pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos. resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes. fraudes control a las
modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas utilitarios. control sobre
la utilización de los sistemas operativos programas utilitarios.
8. Auditoría de la base de datos. estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de
estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
FINES DE LA AUDITORIA DE SISTEMAS:
1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los
sistemas de información.
2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.
Similitudes y diferencias con la auditoría tradicional:
Similitudes:
No se requieren nuevas normas de auditoría, son las mismas.
Los elementos básicos de un buen sistema de control contable interno siguen siendo los
mismos; por ejemplo, la adecuada segregación de funciones.
Los propósitos principales del estudio y la evaluación del control contable interno son la
obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión
de las pruebas futuras de auditoría.
Diferencias:
4. Se establecen algunos nuevos procedimientos de auditoría.
Hay diferencias en las técnicas destinadas a mantener un adecuado control interno
contable.
Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una
diferencia significativa es que en algunos procesos se usan programas.
El énfasis en la evaluación de los sistemas manuales esta en la evaluación de
transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del
control interno.