CLASES DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

Auditoría de sistemas computacionales (Auditoría informática) a continuación se presentan cada una de las definiciones de auditorias especializadas de los sistemas computacionales, las cuales se aplican para las diferentes áreas y disciplinas de este ambiente informático. Las definiciones propuestas para la auditoría de sistemas computacionales son las siguientes:

1. Auditoría informática
2. Auditoría con la computadora
3. Auditoría sin la computadora
4. Auditoría a la gestión informática
5. Auditoría al sistema de cómputo
6. Auditoría en el entorno de la computadora
7. Auditoría sobre la seguridad de sistemas computacionales
8. Auditoría a los sistemas de redes
9. Auditoría integral a los centros de cómputo
10. Auditoría ISO-9000 a los sistemas computacionales
11. Auditoría outsorcing
12. Auditoría ergonómica de sistemas computacionales 

1. Auditoría informática:

Esta primera definición se cita sólo de manera general, debido a que alrededor de esta conceptualización se engloban todas las demás definiciones de auditoría de sistemas, la cual se conoce también como auditoría en sistemas, auditoría en informática o con otros nombres similares.

La definición de auditoría de sistemas es la siguiente: Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo.**El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa.

2. Auditoría con la computadora

En este tipo de auditoría se puede distinguir como factor fundamental que su evaluación se realiza con el apoyo de los sistemas computacionales, aunque pudiera darse el caso de que la auditoría no se refiera a la evaluación de estos sistemas, sino a cualquier otra disciplina ajena a ellos. Lo relevante es que dichos sistemas se utilizan para ayudar en tal evaluación.

Su definición es la siguiente: Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes. La principal característica de este tipo de auditoría es que, sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para la evaluación de las actividades a revisar, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoría.

3. Auditoría sin la computadora

En este tipo de auditoría se busca evaluar a los sistemas desde una óptica tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación acostumbrados y sin el uso de los sistemas computacionales, aunque éstos sean los que se evalúen. Por lo general, esta auditoría se enfoca en los aspectos operativos, financieros, administrativos y del personal de los centros de sistemas computacionales.

Su definición es la siguiente: Es la auditoría cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y validez de las transacciones económicas, administrativas y operacionales de un área de cómputo, y en sí de todos los aspectos que afectan a las actividades en las que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas computacionales. Es también la evaluación tanto a la estructura de organización, funciones y actividades de funcionarios y personal de un centro de cómputo, así como a los perfiles de sus puestos, como de los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes, programas y presupuestos en dicho centro, así como del uso y aprovechamiento de los recursos informáticos para la realización de actividades, operaciones y tareas. Asimismo, es la evaluación de los sistemas de seguridad y prevención de contingencias, de la adquisición y uso del hardware, software y personal informático, y en sí de todo lo relacionado con el centro de cómputo, pero sin el uso directo de los sistemas computacionales. 

4. Auditoría a la gestión informática

Esta auditoría es, por lo general, de carácter administrativo y operacional; con su realización se busca evaluar la actividad administrativa de los centros de cómputo, con todo lo que conlleva esta gestión.

La definición propuesta es la siguiente: Es la auditoría cuya aplicación se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realizan dentro de un centro de cómputo,tales como laplaneación, organización, dirección y control de dicho centro. Esta auditoría se realiza también con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las áreas de sistematización, así como para revisar y evaluar las operaciones del sistema, el uso y protección de los sistemas de procesamiento, los programas y la información. Se aplica también para verificar el correcto desarrollo, instalación, mantenimiento y explotación de los sistemas de cómputo, así como sus equipos e instalaciones. Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa de los sistemas computacionales de una empresa y del propio centro informático.

5. Auditoría al sistema de cómputo

Esta auditoría es más especializada y concreta, y está enfocada hacia la actividad y operación de sistemas computacionales, con mucho más de evaluación técnica y especializada de éstos y de todo lo relacionado con esta especialidad.

Su definición es la siguiente: Es la auditoría técnica y especializada que se enfoca únicamente a la evaluación del funcionamiento y uso correctos del equipo de cómputo, su hardware, software y periféricos asociados. Esta auditoría también se realiza a la composición y arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, así como al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o paquetería de aplicación institucional que se utiliza en la empresa donde se encuentra el equipo de cómputo que será evaluado. Se incluye también la operación del sistema.

6. Auditoría alrededor de la computadora

En este tipo de auditoría se trata de evaluar todo lo que involucra la actividad de los sistemas computacionales, procurando, de ser posible, dejar a un lado todos los aspectos especializados, técnicos y específicos de los sistemas, a fin de evaluar únicamente las actividades vinculadas que se llevan a cabo alrededor de éstos.

La definición propuesta es la siguiente: Es la revisión específica que se realiza a todo lo que está alrededor de un equipo de cómputo, como son sus sistemas, actividades y funcionamiento,haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y almacenamiento de resultados, las actividades de planeación y presupuestación del propio centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de accesos al sistema, la atención a los usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas y, en sí, a todos aquellos aspectos que contribuyen al buen funcionamiento de un área de sistematización.

7. Auditoría de la seguridad de los sistemas computacionales 

Hablar de seguridad es un aspecto muy importante en los sistemas computacionales, lo cual en algunos casos puede estar relacionado con otras auditorías aquí presentadas. Sin embargo, por lo especializado y profundo del tema, es indispensable que se evalúe por separado; por esta razón se propone la siguiente definición: Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal, así como a las actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los equipos computacionales, las bases de datos, redes, instalaciones y usuarios del sistema.

Es también la revisión de los planes de contingencia y medidas de protección para la información, los usuarios y los propios sistemas computacionales, y en sí para todos aquellos aspectos que contribuyen a la protección y salvaguarda en el buen funcionamiento del área de sistematización, sistemas de redes o computadoras personales, incluyendo la prevención y erradicación de los virus informáticos.

8. Auditoría a los sistemas de redes 

Es reciente el crecimiento e importancia que han cobrado las redes de cómputo, razón por la cual es necesario enfocar la auditoría hacia este campo específico; no obstante, en ciertos casos, esta evaluación parecería estar contemplada en algunos tipos de auditoría aquí señalados.

Su definición es la siguiente: Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes de una empresa, considerando en la evaluación los tipos de redes, arquitectura, topología, sus protocolos de comunicación, las conexiones, accesos, privilegios, administración y demás aspectos que repercuten en su instalación, administración, funcionamiento y aprovechamiento. Es también la revisión del software institucional, de los recursos informáticos e información de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones, software y hardware de un sistema de red.

9. Auditoría integral a los centros de cómputo

Esta definición trata de agrupar a todos los tipos de auditoría que se analizan en estas conceptualizaciones, buscando concentrar todas las evaluaciones bajo una misma auditoría con un enfoque global del área de sistemas, según su tipo y tamaño.

La definición que se propone es la siguiente: Es la revisión exhaustiva, sistemática y global que se realiza por medio de un equipo multidisciplinario de auditores, de todas las actividades y operaciones de un centro de sistematización, a fin de evaluar, en forma integral, el uso adecuado de sus sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la empresa, así como de la red de servicios de una empresa y el desarrollo correcto de las funciones de sus áreas, personal y usuarios. Es también la revisión de la administración del sistema, del manejo y control de los sistemas operativos, lenguajes, programas y paqueterías de aplicación, así como de la administración y control de proyectos, la adquisición del hardware y software institucionales, de la adecuada integración y uso de sus recursos informáticos y de la existencia y cumplimiento de las normas, políticas, estándares y procedimientos que regulan la actuación del sistema, del personal y usuarios del centro de cómputo. Todo esto hecho de manera global por medio de un equipo multidisciplinario de auditores.

10. Auditoría ISO-9000 a los sistemas computacionales

Las empresas en el mundo han adoptado la calidad ISO-9000 como parte fundamental de sus actividades. Por esta razón, los sistemas están relacionados también con es te tipo de auditorías de certificación de calidad, las cuales son muy especializadas y específicas en cuanto a los requerimientos establecidos en ellas. 

La definición propuesta es la siguiente: Es la revisión exhaustiva, sistemática y especializada que realizan únicamente los auditores especializados y certificados en las normas y procedimientos ISO-9000, aplicando exclusivamente los lineamientos, procedimientos e instrumentos establecidos por esta asociación. El propósito fundamental de esta revisión es evaluar, dictaminar y certificar que la calidad de los sistemas computacionales de una empresa se apegue a los requerimientos del ISO-9000.

11. Auditoría outsourcing 

Otra de las especialidades que se ha adoptado en los sistemas computacionales, es la relacionada con la prestación de servicios de cómputo a las empresas, los cuales abarcan desde la maquilación de sus actividades computacionales, hasta la asesoría y soporte computacional a sus propios sistemas; por esta razón, se requiere de una especialización en la evaluación de estos servicios. 

La definición que se propone es la siguiente: Es la revisión exhaustiva, sistemática y especializada que se realiza para evaluar la calidad en el servicio de asesoría o procesamiento externo de información que proporciona una empresa a otra. Esto se lleva a cabo con el fin de revisar la confiabilidad, oportunidad, suficiencia y asesoría por parte de los prestadores de servicios de procesamiento de datos, así como el cumplimiento de las funciones y actividadesque tienen encomendados los prestadores de servicios, usuarios y el personal en general. Dicha revisión se realiza también en los equipos y sistemas.

12. Auditoría ergonómica de sistemas computacionales 

Uno de los aspectos menos analizados en el área de sistemas es la afectación que causan el mobiliario y los propios sistemas computacionales en los usuarios de computadoras; estos aspectos pueden llegar a influir en el bienestar, salud y rendimiento de los usuarios, razón por la cual se deben considerar mediante una auditoría especializada. 

Su definición es la siguiente: Es la revisión técnica, específica y especializada que se realiza para evaluar la calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que rodea el uso de sistemas computacionales en una empresa. Esta revisión se realiza también con el propósito de evaluar la correcta adquisición y uso del mobiliario, equipo y sistemas, a fin de proporcionar el bienestar, confort y comodidad que requieren los usuarios de los sistemas de cómputo de la empresa, así como evaluar la detección de los posibles problemas y sus repercusiones, y la determinación de las soluciones relacionadas con la salud física y bienestar de los usuarios de los sistemas de la empresa. 

CERTIFICACIONES PARA EL AUDITOR INFORMATICO

AUDITORIA DE SISTEMAS

ISACA (Systems Audit and Control Association)

Es una organización independiente, sin fines de lucro, ISACA participa en el desarrollo, adopción y utilización globalmente aceptada, líder en la industria del conocimiento y las prácticas de los sistemas de información.

ISACA proporciona orientación práctica, puntos de referencia y otras herramientas eficaces para todas las empresas que utilizan sistemas de información. A través de sus servicios y orientación integral, ISACA define las funciones de los sistemas gobernabilidad, seguridad, auditoría y aseguramiento de profesionales de la información en todo el mundo. Los marcos de gobernanza COBIT, Val IT y riesgo y las certificaciones CISA, CISM, CGEIT y forma son marcas ISACA respetados y utilizados por estos profesionales en beneficio de sus empresas.

• Membrecía y Comunidad
• Reconocimiento Profesional
• Orientación y Prácticas
• Desarrollo Profesional

Para más información visita: http://www.isaca.org/

CISA (Certified Information Systems Auditor)

Desde 1978, el programa CISA ha sido el estándar global más aceptado de rendimiento entre los sistemas de información (IS) de auditoría, control y seguridad.

CISA es reconocido mundialmente como el estándar de rendimiento en auditoría, control, seguimiento y evaluación de la tecnología de una organización de la información y sistemas de negocio.

La designación CISA fue creada por profesionales con experiencia de trabajo en los sistemas de información de auditoría, control y de seguridad que incluye:

• El Proceso de Auditoría de Sistemas de Información
• Gobierno y gestión de TI
• Adquisición de Sistemas de Información, Desarrollo e Implementación
• Operaciones de Sistemas de Información, Mantenimiento y Soporte
• Protección de los activos de información

CERTIFICACIÓN CISM (Certified Information Security Management)

El programa de certificación CISM se ha desarrollado específicamente para administradores experimentados de seguridad de la información y los que tienen responsabilidades de gestión de seguridad.

El Certificado de Gerente de Seguridad de la Información (CISM), esta certificación es una certificación única de gestión focalizada, la que ha sido obtenida por más de 16.000 profesionales desde su introducción en 2003. A diferencia de otras certificaciones de seguridad, CISM es para la persona que gestiona, diseña, supervisa y evalúa la seguridad de la información de una empresa. Certificación CISM es para las personas que diseñan, construyen y administrar la seguridad de la información empresarial y que tienen experiencia en las siguientes áreas:

• Gobierno de Seguridad de la Información
• Gestión de Riesgos de Información
• Programa de Desarrollo de Seguridad de la Información
• Programa de Gestión de Seguridad de la Información
• Manejo de Incidentes y Respuesta

CERTIFICACIÓN CGEIT (Certified in the Governance of Enterprise IT)

El programa de certificación CGEIT fue diseñado específicamente para los profesionales encargados de satisfacer las necesidades de gobierno de TI de una empresa.

Introducido en 2007, la designación CGEIT está diseñado para profesionales que manejan, prestar servicios de asesoramiento y/o garantía, y/o que de alguna manera apoyar la gobernabilidad de TI de una empresa y desean ser reconocidos por su gobierno de TI relacionados con la experiencia y el conocimiento, CGEIT se basa en ISACA y el IT Governance Institute (ITGI) propiedad intelectual y el aporte de expertos en la materia en todo el mundo.

CGEIT se ha desarrollado específicamente para profesionales de IT y de negocio que tienen una importante gestión, asesoramiento, o el papel de garantía en relación con la gobernanza de TI empresarial y para aquellos y que tienen experiencia en las siguientes áreas:

• Marco de Gobierno IT
• Alineamiento Estratégico
• Valor de la entrega
• Gestión de Riesgos
• Gestión de Recursos
• Medición del desempeño

CERTIFICACIÓN CRISC (Certified in Risk and Information Systems Control)

La designación CRISC certifica que tienen conocimientos y experiencia en la identificación y evaluación de riesgos y en el diseño implementación monitoreo y mantenimiento basado en el riesgo eficiente y eficaz del control.

Introducido en 2010, el certificado en sistemas de información de riesgos y control de la certificación (CRISC), está destinado a reconocer una amplia gama de profesionales de IT y empresariales por su conocimiento de los riesgos de la empresa y su capacidad para diseñar, implementar y mantener el sistema de información (SI) lo mantiene controlado para mitigar tales riesgos.

CRISC se basa en la investigación de mercado independiente a los aportes de miles de expertos en la materia de todo el mundo, así como la propiedad intelectual de ISACA, incluyendo el riesgo de IT y COBIT.

Aquellos que adquieren la designación CRISC benefician a sus empresas y cumplen las demandas de negocios riesgosos, los profesionales IT entiéndanlos riegos del negocio y tiene el conocimiento técnico para implementar un adecuado control IS.

Esta certificación es para profesionales de IT y que se trabajan a nivel operativo para mitigar los riesgos y que tienen experiencia de trabajo en las siguientes aéreas:

• Identificación, valoración y evaluación de riesgos
• Responsable de riesgos
• Monitoreo de riesgos
• Diseño e implementación del control IS
• Monitoreo y mantenimiento del control IS

EL AUDITOR DE SISTEMAS

AUDITORIA DE SISTEMAS

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de Información.

CARACTERÍSTICAS DEL AUDITOR INFORMÁTICO

Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: Desarrollo de SI, Sistemas operativos, Telecomunicaciones, Administración de Bases de Datos, Redes locales, Seguridad física, Administración de Datos, Automatización de oficinas (ofimática), Comercio electrónico, de datos, etc.

1. Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.
2. Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.
3. Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.

RESPONSABILIDADES DEL AUDITOR INFORMÁTICO

1. Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
2. Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.
3. Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.
4. Auditoría del riesgo operativo de los circuitos de información
5. Análisis de la administración de los riesgos de la información y de la seguridad implícita.
6. Verificación del nivel de continuidad de las operaciones.
7. Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear.
8. Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa
9. También el auditor informático es responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno

INTRODUCCION AUDITORIA INFORMATICA

AUDITORIA DE SISTEMAS

AUDITORIA INFORMÁTICA

La auditoría en informática es la revisión y evaluación de los controles, sistemas y procedimientos de informática, así como de los equipos de cómputo, su utilización eficiencia y seguridad.

El objetivo principal de la Auditoría Informática es llegar a tener un control en la actividad informática, también se rige de la normatividad que rige los parámetros establecidos por la empresa y su cumplimiento, el análisis de la eficiencia de los sistemas informáticos, supervisión de la gestión de los recursos humanos informáticos y materiales. Los sistemas de información son recursos de vital importancia para las empresas de hoy, es entonces que el auditor tiene la responsabilidad de hacer que el uso de los recursos de la empresa se lleven en buena forma y correctamente. Cabe destacar que una Auditoría bien realizada es la que toma en cuenta a todas las instituciones de forma igual e importante, debido a que un ministerio, una universidad o una entidad pública deben ser consideradas de la misma manera tomándolas en su más amplio sentido. Y es que en todas estas entidades la informática es importante pues la utilizan para realizar la gestión de negocios en forma óptima con la finalidad de obtener los beneficios económicos y de costes deseados.

De acuerdo a todo esto los sistemas de información están sujetos a un control permanente y se toman en cuenta tanto como los otros órganos de la empresa o entidad a la que se está haciendo la auditoría. El hecho de realizar una auditoría informática es importante debido a que las herramientas que se utilizan pueden definir o marcar la diferencia con respecto a la competencia o al momento en que se está viviendo.

El mal diseño de los sistemas puede ser muy perjudicial, porque puede traer consecuencias desastrosas para la organización debido a que las máquinas sólo acatan órdenes recibidas de forma irrefutable, y el modelamiento de las organizaciones se encuentra supeditada al buen funcionamiento de estas mismas, las cuales materializan los sistemas de información, entonces la empresa no puede permitir que el software y el hardware presenten falta de eficiencia porque va en contra de sus propios intereses

La sofisticación en los equipos informáticos han dado pie para que los centros de control de procesos sean los puntos en el blanco para la delincuencia, el espionaje, o para manifestaciones terroristas. Para esto la seguridad en Auditoría informática es importante. Todos sabemos que hasta las computadoras pueden tener fallas en la información elaborada y arrojar resultados erróneos, pero si es que dichos datos son igualmente erróneos.

Esto se da frecuentemente cuando las instituciones pierden de vista la naturaleza y calidad de la información que ingresan a sus sistemas de consulta, con el peligro de que otros sistemas que son independientes se vean afectados por este hecho, para este hecho la Auditoría de datos es la más recomendable.

La necesidad de realizar una auditoría informática es importante para las empresas, porque les permitirá conocer la capacidad que tienen, a nivel informático para poder afrontar sus necesidades más importantes.

ALCANCE DE LA AUDITORÍA INFORMÁTICA:

La auditoría informática actuará dentro de parámetros establecidos, es decir que se desarrollará en un entorno y límites determinados, y es complementada con los objetivos. Estos límites deben estar claramente estipulados en el informe final, para que quede claro hasta dónde puede llegar la auditoría y no solamente eso sino que hay materias fronterizas que pueden ser omitidas. Cuando estos puntos no son bien definidos, puede implicar el que esta no tenga éxito.

AUDITORÍA INFORMÁTICA Y SUS CARACTERÍSTICAS:

La información es netamente confidencial, es de la empresa y para la empresa, tendrá una importancia especial, además esta información es considerada como un activo real que al igual que sus stocks y materias primas, si es que las hay. Debido a esto es que se realizan inversiones de carácter informático, y de esto se ocupa la Auditoría de Inversión Informática.

La Auditoría de Seguridad Informática se encargará de la protección los sistemas informáticos, o también pueden ocuparse de esto la auditoría de seguridad de cada área, si es que existe. La función de la informática puede ser reorganizada, si es que se producen cambios estructurales, y esto es lo ve la Auditoría de Organización Informática.

Es así que una auditoría parcial está conformada por estos tres tipos de actividades auditoras. De otra forma cuando se lleva a cabo una auditoría informática en un área de desarrollo de Proyectos Informáticos es porque existen ineficiencias, debilidades de organización, de inversiones, de seguridad, o alguna mezcla de ellas.

VIDEO: Introducción Auditoría Informática

ESTÁNDARES DE AUDITORIA

AUDITORIA DE SISTEMAS

El control interno es la adopción de una serie de medias que se establecen en las empresas, con el propósito  de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales ya sí ayudar a la administración y cumplimiento correctos de las actividades y operaciones de las empresas.

Y para complementar la conceptualización del control interno en las empresas existen algunos de los principales estándares que se pueden utilizar en la edición del control interno con el fin de ayudar a la eficiencia y eficacia en el desarrollo de las actividades normales de éstas. Los estándares son los siguientes:

Estándares físicos:

Son aquellos estándares que se pueden apreciar mediante algunas medidas de dimensión de tipo tangible, tales como: extensión, longitud, magnitud, tamaño, volumen, calibre, etcétera; también se incluyen los valores monetarios, sólo que a éstos los analizaremos en los siguientes estándares. En el control interno, los estándares físicos pueden agruparse de la siguiente manera:

Son aquellos que se pueden apreciar mediante algunas medidas de dimensión. Y estos pueden ser, 

1. E. físicos de Medición, 
2. E. físicos de comparación y
3. E. físicos de acumulación.

Estándares de Costo:

Son mediciones de tipo monetario que permiten hacer una estimación del costo (valor que se le da a un trabajo); estos estándares pueden ser contados por cualquier medio, considerando en ello el valor que se le da, en aspectos numerarios, a cualquier actividad; por ejemplo, las transacciones del mercado y las operaciones de una empresa. 

Entre los principales estándares de costos podemos destacar los siguientes:

1. E. de costos fijos, 
2. E. de costos variables (Costos de materias primas, costos de producción, costos de venta, costos de mano de obra y otros costos.)

Estándares de Capital:

Son aquellos estándares que se adoptan en las empresas para el manejo y control de los llamados bienes de capital, ya sea capital de trabajo, capital contable, capital financiero o cualquier otro tipo de estándar que incide en el capital que se maneja en las empresas. 

A continuación tenemos algunos ejemplos de estos indicadores de capital.

1. E. económicos, Razones financieras, 
2. E. de rendimiento de capital, Inventarios.

Estándares de Ingresos y Egresos:

Son los valores monetarios que se asignan a los ingresos (entradas) y egresos (salidas) que tiene una empresa como parte fundamental de sus actividades de trabajo; por lo general, están expresados en numerario y sirven para evaluar el grado de cumplimiento de los planes y programas de carácter monetario. 

Dichos estándares se presentan a continuación:

1. E. de Ingresos y 
2. E. de egresos.

Estándares no tangibles:

Los estándares que hemos analizado anteriormente se relacionan con elementos físicos que de alguna manera pueden ser contados; sin embargo, para el control interno de las empresas también se pueden utilizar otros tipos de estándares que no necesariamente deben ser tangibles ni numerales, los cuales, aunque no se puedan cuantificar, sí se deben identificar y tomar en cuenta.

Está claro que existen muchos de estos estándares y la mayoría pudieran ser considerados de tipo subjetivo, ya que son difíciles de expresar en mediciones físicas y monetarias; sin embargo existen y son muy utilizados en las empresas para evaluar el cumplimiento de sus actividades y operaciones. Por lo general, estos estándares son representaciones que se dan a las cualidades de las cosas.

 A continuación citaremos algunos ejemplos de dichas representaciones:

• Bueno (aquel que hace bien las cosas)
• Satisfactoriamente (que satisface los requerimientos)
• Bondadoso (el que tiene bondad)
• Adecuado (acomodado de una cosa a otra) Control interno 121
• Valeroso (aquel que tiene valor para alguien o algo)
• Brillante (el que sobresale de los demás)

Como se observa en los ejemplos anteriores, sería muy difícil cuantificar estos estándares en forma correcta, salvo que se vuelvan a calificar; por ejemplo, en el caso de bueno tendríamos muy bueno, poco bueno, nada bueno; en el caso de satisfactorio tendríamos, altamente satisfactorio, cumplió satisfactoriamente, poco satisfactorio, poco insatisfactorio, altamente insatisfactorio, etcétera.

Estándares de control Estadístico:

Estos estándares son de los más difundidos y de mayor aceptación en la utilización del control interno en las empresas, ya que permiten establecer, medir y evaluar, al amparo de razones matemáticas, estadísticas, y en algunos casos integrales y diferenciales, los resultados alcanzados en las empresas.

Estándares de Auditoria

Son las herramientas, métodos, técnicas y procedimientos que se utilizar para evaluar la situación de una empresa.

Los estándares que se comentan en esta parte son la esencia de este contenido, ya que a lo largo del mismo se presentan como las herramientas, métodos, técnicas y procedimientos de auditoría y, en sí, de los elementos de control que se utilizan durante todo este punto

Normas de evaluación.

las normas que a continuación se indican, en algunos casos parecerán repetitivas en comparación con las antes expuestas, pero la intención de darlas a conocer en este apartado es complementar algunos estándares que se pueden considerar para hacer la medición de resultados que se necesitan en el control; dichas normas son las siguientes.

• Normas cuantitativas
• Normas cualitativas

Otras normas y estándares

Actualmente existen muchos tipos de estándares que buscan utilizarse para evaluar el cumplimiento de lo alcanzado en relación con lo esperado, por eso a continuación se indican algunos de estos ejemplos:

• Estándares del IEEE
• Normas de la Serie ISO-9000
• Estándares de educación
• Etc.