24

AUDITORIA

Definición de auditoría

Es un proceso formal, apoyado en estándares, normas, técnicas, procedimientos y

metodologías, con el fin de evaluar críticamente una determinada realidad y emitir un concepto

independiente y autorizado sobre el estado del control interno de la totalidad o parte del objeto

auditado, incluyendo un conjunto de recomendaciones que ayuden a la mejora continua.

La figura 12 ilustra el sentido de la definición anterior.

Figura 12. Auditoría

Condiciones de éxito para la auditoria

Si bien es cierto la auditoría, en general es un proceso cada vez más madurado, autónomo

y sistemático, éste debe contar con unas condiciones para garantizar que todas las actividades a

desarrollar, se puedan llevar a cabo sin obstáculos logrando resultados favorables para orientar los

procesos de mejora y gestión de calidad. Con tal fin se requiere:

1. Autoridad. El auditor o auditores, deben estar revestidos de autoridad. En el caso de

auditoría interna mediante una ubicación adecuada dentro de la estructura organizacional. La

auditoría externa dispondrá de las autorizaciones suficientes y necesarias para que pueda ser

llevada a cabo.

2. Tanto en las auditorías internas como externas, deben ser a nivel de asesoría al más alto

nivel.

3. Tener un buen conocimiento de las actividades del negocio (Core Business). Esto puede

implicar un esfuerzo adicional, cuando se trata de auditorías externas.

4. Independencia. Permitirá que los auditores realicen su tarea sin ningún tipo de presión.

5. Objetividad. Todas las conclusiones de los auditores deben tener plenos soportes. Además,

se debe evitar que algún tipo de prevención o preconcepto interfiera en el proceso evaluativo.

6. Evidencia. Garantizar que ésta sea suficiente y competente, de tal forma que de sustento y

veracidad al informe del auditor.

7. Naturaleza evaluativa. Los auditores deben tener capacidades especiales de investigación,

análisis y crítica.

8. Conducta ética. Tanto en su actuar profesional, como personal.

9. Metodología y normatividad. La auditoría ha dejado de ser una actividad empírica. Se debe

aplicar alguna de las metodologías existentes y las normas de auditoría.

(Muñoz C. , 2002, pp. 43-47), (Priattini & Del Peso, 2001, pp. 93-97), (Estupiñan, 2015, pp. 167-

170)

Tipos de auditoría

Como se expresa en la definición de auditoría, se aplicada a una determinada realidad de la

organización, la cual a partir de este momento se nombrará objeto a auditar. Dependiendo de dicho
 26

objeto, o del alcance de la auditoría, comúnmente se han definido de forma general los siguientes

tipos de auditoría:

• Financiera.

• Operacional.

• Legal.

• Integrada.

• Informática.

• Fiscal.

• Administrativa o de gestión.

• De cumplimiento.

• Calidad.

Dependiendo del objeto a auditar, se pueden mencionar tipos de auditoría más específicos.

Por ejemplo, en el caso de auditoría informática, con frecuencia se habla, entre otras, de auditoría

a:

• Las bases de datos,

• Desarrollo de software,

• Redes de comunicaciones,

• Aplicaciones en funcionamiento,

• Equipos de cómputo,

• Gestión del área,

• Soporte técnico,

• Legalidad de hardware y software,

• Talento humano del área.

También es posible hacer una clasificación dependiendo de su origen:

• Interna. Cuando la organización cuenta con un equipo humano y una estructura organizacional,

formalizada en una oficina, un departamento, una división o una gerencia dedicada a realizar

los procesos de auditoría.

• Externa. Generalmente se contrata una empresa o un equipo auditor fuera de la organización,

para llevar a cabo la actividad de auditoría.

• Mixta. Se trata de hacer una combinación de las dos anteriores, con el fin de mantener las

ventajas que tiene cada una de ellas. Por lo general se aplica en grupos empresariales, donde

pueden crear una empresa dedicada a auditar a las demás, actuando como externa por ser

independiente de las otras, pero a la vez como interna por pertenecer al mismo grupo.

(Muñoz C. , 2002, pp. 13-23), (Blanco, 2012), (Piattini, Del Peso, & Del Peso, 2008)

Normas de auditoria

Uno de los primeros conceptos que fue formalizado es el de las normas de auditoría. El

cual se ha mantenido y enriquecido a través del tiempo. Las NAGAs, Normas de Auditoría

Generalmente Aceptadas, como se conocen, se agrupan en tres categorías principales.

Normas personales.

Son las normas que deben cumplir los auditores a nivel individual:

• Formación Académica.

• Entrenamiento Técnico.

• Independencia.

• Dedicación.
 28

• Buscando el beneficio de su cliente.

• Reserva y confidencialidad.

Normas para la ejecución del trabajo.

Tienen que ver con la aplicación de estándares, metodologías y el aseguramiento de la calidad del

trabajo de auditoría:

• Aplicación de una metodología.

• Planificación.

• Supervisión del personal auxiliar.

• Evaluación de riesgos.

• Obtención de evidencia suficiente y competente.

• Documentación del proceso.

Normas para la preparación del informe.

Debe ser claro, contundente y bien sustentado, para lo cual se requiere:

• Establecer si el objeto auditado cumple con las normas nacionales, internacionales y las políticas

de la organización.

• Indicar si los procedimientos, se aplican consistentemente.

• Opinar sobre el estado del sistema de control interno en el objeto a auditar.

• Usar un formato apropiado para cada uno de los diferentes destinatarios.

• Mostrar Estado de los riesgos, posibles causas, consecuencias y recomendaciones.

• Incluir las recomendaciones necesarias para que se mejore la calidad y la gestión.

(Espino García, 2014, pp. 266-270) (Chicano Tejada, 2014, pp. 12-17)(Muñoz C. , 2002), (Piattini,

Del Peso, & Del Peso, 2008), (Blanco, 2012)

Código de ética ISACA

Además de las NAGAs, vale la pena considerar el código de ética del auditor de sistemas

de información propuesto por ISACA (Information Systems Audit and Control Association):

“Los miembros y los poseedores de certificaciones de ISACA deberán:

1. Respaldar la implementación y promover el cumplimiento con estándares y

procedimientos apropiados del gobierno y gestión efectiva de los sistemas de información

y la tecnología de la empresa, incluyendo la gestión de auditoría, control, seguridad y

riesgos.

2. Llevar a cabo sus labores con objetividad, debida diligencia y rigor/cuidado profesional,

de acuerdo con estándares de la profesión.

3. Servir en beneficio de las partes interesadas de un modo legal y honesto y, al mismo

tiempo, mantener altos niveles de conducta y carácter, y no involucrarse en actos que

desacrediten su profesión o a la Asociación

4. Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus

deberes a menos que la divulgación sea requerida por una autoridad legal. Dicha

información no debe ser utilizada para beneficio personal ni revelada a partes

inapropiadas.

5. Mantener la aptitud en sus respectivos campos y asumir sólo aquellas actividades que

razonablemente esperen completar con las habilidades, conocimiento y competencias

necesarias
 30

6. Informar los resultados del trabajo realizado a las partes apropiadas, incluyendo la

revelación de todos los hechos significativos sobre los cuales tengan conocimiento que, de

no ser divulgados, pueden distorsionar el reporte de los resultados.

7. Respaldar la educación profesional de las partes interesadas para que tengan una mejor

comprensión del gobierno y la gestión de los sistemas de información y la tecnología de la

empresa, incluyendo la gestión de la auditoría, control, seguridad y riesgos.”

(ISACA, 2013)

Auditoría basada en riesgos

Respecto a la importancia de los riesgos existe una frase, que para algunos puede ser una

exageración. Para otros, es una descripción muy acertada: “El nuevo paradigma en la gestión de

riesgos reconoce que los riesgos son la fuerza conductora de la actividad de una organización”.

(Muñoz G. J., 2012, p. 3)

¿Por qué la auditoría basada en riesgos?

Actualmente en la gestión organizacional se tienen en cuenta o se aplican:

• Sistemas control interno que incluyen gestión y evaluación de riesgos, como se ilustró mediante

MECI en la figura 3.

• Estándares de calidad con autoevaluación e identificación de aspectos a mejorar, generan planes

con objetivos y metas, incluyen riesgos que los pueden atrasar, llevar a modificaciones, incurrir

en sobrecostos, o peor aún, no obtener los logros previstos.

• La gestión de riesgos o el control interno en general. De no ser apropiados, pueden estar

implicando que la organización se encuentre operando en ambientes y entornos de inestabilidad.

Para cumplir los propósitos de la auditoría, se requiere que esté alineada con los elementos

de gestión descritos y que son objetos de evaluación. Por tal razón se deben aplicar metodologías,

técnicas, procedimientos con enfoque de riesgos. Incluso, los informes parciales o final, también

deberán tener un lenguaje de riesgos.

En conclusión, la auditoría debe realizarse según los nuevos enfoques de la administración

organizacional, que sin duda tiene un alto componen.