miércoles, 18 de noviembre de 2015

Clase 07-11-2015 Redaccion de Hallazgos

Redaccion de Hallazgos 


1. DEFINICIÓN
Hallazgos son todas aquellas situaciones de importancia, que se han detectado como resultado de la aplicación de las pruebas de cumplimiento y sustantivas en la ejecución de la auditoría, y que tienen un efecto importante sobre los objetivos previstos, así como en la calidad de la información y las operaciones del ente público evaluado, por lo que deben incluirse en el informe como situaciones que merecen reportarse.

El proceso más importante de la labor de auditoría es el desarrollo y presentación de hallazgos. Los hallazgos fundamentan las conclusiones y recomendaciones del informe de auditoría, y deben ser comunicados a los funcionarios responsables y autoridades superiores de la entidad auditada.

2. OBJETIVOS
2.1 Evaluar si la evidencia obtenida satisface los objetivos específicos definidos en la planificación.
2.2 Obtener suficiente satisfacción respecto a las apreciaciones que corresponden a cada área o cuenta examinada.
2.3 Incluir en el informe los hallazgos sobre las deficiencias o aspectos sobresalientes, debiendo contener en forma lógica y clara los asuntos de importancia en forma comprensible para los lectores del informe.
2.4 Redactar los hechos encontrados en forma clara y convincente, de tal manera que no surjan dudas o conclusiones erróneas y que su contenido esté plenamente sustentado por el trabajo realizado.

3. RESPONSABLES
En el proceso de identificación y redacción de hallazgos interviene el personalque integra el equipo de auditoría, siendo responsables: los auditores y el supervisor.

3.1 Auditores
Son responsables de identificar y redactar los hallazgos de acuerdo a la metodología establecida en la presente guía, y documentarlos con los papeles de trabajo y demás evidencias apropiadas a cada situación.

3.2. Supervisor
Es responsable de evaluar si el trabajo realizado por los auditores, para la identificación de los hallazgos es suficiente, lo mismo que la evidencia obtenida y que estén adecuadamente identificados en los papeles de trabajo.

Debe orientar a los auditores en la aplicación de los criterios que seutilizarán para seleccionar aquellas deficiencias o anomalías que califiquen como hallazgos, y que su redacción esté de acuerdo a la metodología establecida en la presente guía.

Es asimismo responsable, junto al auditor, de discutir los hallazgos con los funcionarios y responsables de la entidad auditada.

4. PROCEDIMIENTO
Para que los hallazgos sean técnica y adecuadamente desarrollados, se debe utilizar el siguiente procedimiento:

4.1 ESTRUCTURA DE LOS HALLAZGOS
Todo hallazgo debe estructurarse y redactarse tomando en cuenta los siguientes atributos:
• Título
• Condición
• Criterio
• Causa
• Efecto
• Recomendación
4.1.1 Título
Se refiere en forma resumida y general al nombre del hallazgo, el cual debe hacer referencia al problema principal que se quiere informar.

4.1.2 Condición
Se refiere a la descripción del funcionamiento actual del sistema, el procedimiento, etc. en los cuales se ha identificado una deficiencia, o irregularidad cuyo grado de desviación debe ser demostrada. (causa -efecto)

4.1.3 Criterio
Se refiere a la forma como debió funcionar o realizarse lo que se esta evaluando; generalmente el criterio se encuentra establecido en las leyes, reglamentos, manuales etc. Si el criterio no se encuentra descrito explícitamente en los documentos anteriores, el auditor define el mismo con base en su experiencia, tomando en cuenta los requisitos mínimos de control interno que deben existir incorporados a los sistemas, procesos y operaciones.

4.1.4 Causa
Es la razón fundamental por la cual ocurrió la condición, o el motivo por el que no se cumplió el criterio. Su identificación requiere de la habilidad de análisis, investigación y juicio profesional del auditor, lo cual servirá de base para el desarrollo de una recomendación constructiva.

4.1.5 Efecto
Se establece como resultado de la comparación de los atributos anteriores (condición-criterio) para determinar una situación real o potencial, cuantitativa o cualitativa, o lesión patrimonial, que tiene un impacto importante en las operaciones, los resultados y en la imagen institucional de la entidad.

4.1.6 Recomendación
Son sugerencias constructivas o medidas correctivas, que el auditor propone a la entidad auditada, en virtud de las circunstancias encontradas, para mejorar los controles internos, la eficiencia operativa y los resultados institucionales.

4.2 PROCEDIMIENTOS PARA LA REDACCIÓN DE HALLAZGOS
Para desarrollar hallazgos se requiere diseñar y ejecutar un proceso de obtención de evidencia, y la aplicación del juicio profesional e independiente del auditor en su análisis, para que en forma objetiva, se describa y documente la situación encontrada (condición), la cual debe ser comprobable y convincente, como resultado de la calidad de dicha evidencia.

Los hallazgos deben desarrollarse tomando en cuenta los siguientes aspectos:
    Que los hechos detectados tengan la importancia necesaria para darse a conocer en el informe.
    Que se haya obtenido la evidencia suficiente, competente y pertinente, que sustente lo que se necesita informar.
    La posibilidad de que los hechos sean corregidos y produzcan los beneficios futuros.
    Que el costo que se necesita incurrir para la adopción de las recomendaciones, se vea compensado con beneficios futuros que superen dicho costo.
    Que técnicamente sea factible la implantación de las recomendaciones que se formulen.
    Cada uno de los atributos descritos con anterioridad deben desarrollarse bajo las siguientes directrices:
4.2.1 Título
Debe indicar claramente y en forma resumida, lo que se detectó según la condición, de manera que facilite al lector la identificación precisa del problema.

4.2.2 Condición
Debe describir con el detalle necesario y en forma clara, en qué consiste la deficiencia o la desviación observada, la cual debe ser probada concretamente y sustentada con los papeles de trabajo correspondiente y demás evidencia obtenida. Para ello es útil formularse las siguientes preguntas:
¿Qué fue lo que sucedió?  
¿Dónde sucedió?
¿Cuándo sucedió?
¿Cuánto? (cantidad o valor que ha causado un efecto)
¿Qué aspecto legal o normativo se incumplió?

4.2.3 Criterio
Debe expresar concretamente las políticas, normas y regulaciones incumplidas que han dado origen a la ocurrencia del hecho que se ha calificado como hallazgo. Las preguntas básicas a formularse son las siguientes:

¿Dónde esta contenido el criterio? (leyes, políticas, manuales, normas etc.)
¿Cuál es el ámbito de aplicación? (un departamento, un proceso un sistema etc.)
¿Qué vigencia tiene? (actual, pasado, permanente)

Asimismo, se pueden utilizar las siguientes referencias concretas:
• Cómo debió realizarse una operación según las leyes, reglamentos y demás disposiciones internas de la entidad.
• Cómo debería hacerse tomando como base la tecnología disponible
• Cómo debería realizarse tomando como base la forma en que se llevan a cabo las mismas operaciones en otras instituciones similares.
• Cómo deberían estar funcionando los procedimientos mínimos de control.

4.2.4 Causa
Debe expresar la razón fundamental de la desviación del cumplimiento del criterio, este es un requisito básico, ya que de la identificación verdadera de la causa, dependerá la calidad y lo apropiado de la recomendación.

El auditor debe tener presente que ante una condición dada, pueden existir mas de una causa, por lo que debe realizarse un trabajo extensivo con el fin de detectar dichas posibilidades, y como consecuencia, la recomendación que se formule debe enfocarse a cubrir las causas identificadas, con el fin de evitar que las deficiencias persistan
.
Para identificar y explicar las causas de las deficiencias, el auditor debe explorar las siguientes áreas:

Personal
Elemento alrededor del cual pueden concurrir las siguientes situaciones:
-Que esté mal ubicado
-Que no sea el adecuado
-Que no se le haya brindado capacitación
-Que no se le haya motivado
-Que se haya dado mucha rotación

Políticas, procedimientos, leyes, manuales, organización, etc.
De la misma manera pueden ser el origen de ciertas deficiencias debido a los siguientes factores:
-Que sean obsoletos
-Que estén siendo mal interpretados o aplicados
-Que estén desactualizados
-Que no existan
-Que estén mal elaborados etc.
Avances tecnológicos
El no aprovechamiento, la mala y subutilización de la tecnología también pueden ser la manifestación de determinadas deficiencias encontradas.

Infraestructura
Es otro factor que puede constituirse en el origen de algunas deficiencias, como ejemplo se pueden enumerar los siguientes factores:
-Instalaciones insuficientes
-Edificios mal ubicados
-Instalaciones inseguras
-Servicios básicos deficientes (energía, agua etc.)
-Instalaciones mal diseñadas

Lo anterior pone de manifiesto la necesidad que el auditor defina claramente el alcance necesario de su trabajo, y haga uso de toda su habilidad y juicio profesional, para identificar en todo el ámbito
institucional, las causas de las deficiencias.

4.2.5 Efecto
Dependiendo de la forma cómo se enfoque la redacción de este atributo, las autoridades superiores de la entidad evaluada y los responsables directos del área examinada, pueden valorar la importancia del hallazgo y convencerse de la necesidad y los beneficios que se obtendrán al implementar el cambio propuesto, a través de la recomendación. impacto de la condición, tanto en relación con el área o cuenta auditada, como la probabilidad de que dicho impacto se extienda a la entidad en su conjunto, de manera que el mismo motive a los niveles jerárquicos correspondientes, la adopción de las medidas correctivas oportunas, para el control de los riesgos identificados.

La evaluación del efecto de un hallazgo debe extenderse como mínimo a identificar los siguientes aspectos:

• Cuánto se ha visto afectada el área o cuenta evaluada, o la entidad, expresado en: a) valores monetarios, b) calidad de bienes o servicios, c) cantidad de unidades producidas o servicios prestados etc.

• Quiénes o qué funciones básicas de control han resultado afectadas: por ejemplo: la autorización, registro y custodia de operaciones, de bienes, valores e información de la entidad.
• Qué períodos han afectado: el efecto puede extenderse a diferentes períodos que pueden ser años, meses, semanas, días, horas, etc. dependiendo de la naturaleza de la entidad y sus
operaciones.

• Cuál ha sido el impacto institucional en relación con: a) la eficiencia de las operaciones, b) el logro de los objetivos y metas y c) la imagen institucional.

4.2.6 Recomendación
Toda recomendación debe contener los datos necesarios que permitan a las personas responsables de su cumplimiento, tener una comprensión amplia y clara que facilite llevarlas a la práctica, por lo que deben tomarse en cuenta los siguientes aspectos:

• Evaluar el costo frente al beneficio
• Presentar los beneficios del cambio cuantificado o cualificado según el caso.
• Cubrir todos los aspectos del cambio propuesto
• Tomar en cuenta los criterios vertidos por los responsables de área examinada.
• Orientar las acciones hacia la eliminación de las causas del problema.
• Procurar fortalecer los controles existentes, aumentando la eficiencia y seguridad
• Orientar a la unificación de criterios de operación y control
4.3 DOCUMENTACIÓN DE LOS HALLAZGOS
Todo hallazgo, debe estar sustentado con evidencia suficiente competente y pertinente, que constarán en los papeles de trabajo debidamente referenciados al borrador del informe y a la cédula centralizadora de hallazgos.

La evidencia que sustenta los hallazgos debe ser convincente incluso parauna persona que no ha participado en la auditoría.

4.4 CORROBORACIÓN DE HALLAZGOS Y RECOMENDACIONES
Previo a la inclusión definitiva en el informe, los hallazgos detectados deben discutirse con los funcionarios y responsables de la entidad auditada, y de ser necesario, con personal técnico idóneo, con el objeto de corroborar los mismos y ratificar la calidad de la evidencia obtenida, y asegurarse de la viabilidad y aplicabilidad de las recomendaciones.

Esta fase del proceso de la auditoría permitirá también que el auditor se asegure de que fue entendido el hallazgo y la recomendación propuesta para eliminar las causas del problema; asimismo, facilita la discusión final del informe con las autoridades superiores, con el objeto de asignar a los responsables, recursos y plazos para tomar las acciones correctivas correspondientes.

4.5 OBTENCIÓN DE COMENTARIOS DE LOS RESPONSABLES DEL
ÁREA EVALUADA.
Todo hallazgo debe incluir los comentarios que los responsables del área evaluada necesiten hacer después de la discusión de los mismos; estos comentarios pueden ser en diferentes sentidos:

a) aceptando expresamente el hallazgo y proporcionando información o explicaciones adicionales y b)mostrando inconformidad total o parcial. En el último caso, lo importante es que el auditor esté en capacidad de demostrar la validez de sus aseveraciones, con base en la evidencia obtenida y la correcta interpretación de la misma.

4.6 INDICIOS DE ACTOS ILEGALES
Dentro de los hallazgos detectados, existe la posibilidad de que se hayan cometido hechos anómalos o ilícitos, por lo que el auditor debe detectar dicha posibilidad, identificar posibles responsables y delimitar el tipo de responsabilidad que corresponda, para iniciar las acciones administrativas y legales respectivas, así como asegurarse que la evidencia disponible es suficiente y competente para sustentar el procedimiento legal que deba seguirse, para ello debe solicitar el apoyo de la asesoría jurídica de la entidad, a efecto de coordinar las acciones que se seguirán para que su función sea efectiva.

5. PRODUCTOS
La aplicación de la presente guía dará como resultado la presentación de hechos descritos en forma lógica y comprensible, que motiven a las autoridades superiores de la entidad y a los responsables de las áreas evaluadas, a brindarle la atención inmediata de los hechos reportados, en virtud de que han sido expuestos de tal manera que permiten una visualización completa del problema, las causas, efectos y la recomendación concreta de las acciones que deben tomarse para evitar que vuelvan a suceder.

Los hallazgos, constituyen la parte sustantiva del informe de auditoría por lo que la calidad del mismo dependerá de la forma técnica y profesional con que se informan los resultados, lo que a su vez promoverá el reconocimiento del valor agregado de la función de la auditoría interna.


Publicado por en No hay comentarios:

Clase 14-7-2015 AUDITORIA OPERACIONAL O DE GESTION

AUDITORIA OPERACIONAL O DE GESTION
La auditoría operacional sirve para hacer el análisis de una parte o de toda una organización para evaluar sus sistemas, sus controles y su desempeño, de acuerdo a los objetivos de su administración. La auditoría operacional es diferente a la auditoría financiera, esta se centra en medir la posición financiera, los resultados de las operaciones y los flujos de efectivo de una compañía para obtener una opinión independiente del auditor externo sobre la razonabilidad de las cifras presentadas en los estados financieros y también se obtiene un informe sobre las debilidades del control interno, limitado a informar los resultados de la revisión selectiva de la aplicación de los controles contables y operativos que se han revisado.

La auditoría operacional se centra en medir la eficacia, la eficiencia y la economía de las operaciones. El auditor operacional evalúa los controles operativos y los sistemas sobre la totalidad de las áreas revisadas que pueden ser las compras, la recepción y envío de mercadería, los canales de distribución, la cartera de clientes, el control y administración de los salarios, el control de los gastos operativos, etc.
Las auditorías operacionales normalmente son realizadas por los auditores internos de las compañías, o bien, pueden realizarse por consultores independientes, según las necesidades y los criterios que defina la administración y por el grado de especialidad requerida. Los principales usuarios de los informes de la auditoría operacional son los gerentes de las compañías, incluyendo el consejo de administración o los accionistas.

Objetivos de la Auditoría Operacional:
  1. Optimizar o hacer más eficientes los ingresos.
  2. Reducir los costos y los gastos (de producción, los costos de transporte, los costos administrativos y otros costos).
  3. Mejorar los métodos operacionales para incrementar la rentabilidad o para minimizar pérdidas.
  4. Determinar si se han cumplido las políticas, los procedimientos y las prácticas de trabajo que permitan alcanzar el éxito planificado.
  5. Informar oportunamente los cambios que rentabilicen la operación.
  6. Anticiparse en la formulación e implementación de los cambios que mejoren a la organización en general.
  
Necesidad de la Auditoría Operacional:

La auditoría operacional es opcional, sin embargo, actualmente las condiciones económicas no son favorables, se requiere de mayor eficiencia, mejorar el control de los costos, mejorar la administración de los gastos, controlar los flujos de caja, controlar la gestión de cobro o revisar la estructura impositiva, incluso, son razones suficientes para hacer la auditoría operacional de los procesos con los cuales trabaja cada organización para poder asegurar el cumplimiento de las metas que se han trazado.

La Auditoría Operacional Como Factor de Cambio:
La auditoría operacional puede ayudar a tener una organización más eficiente, en tal sentido, deben hacerla los profesionales que tengan la capacidad y la experiencia suficiente para que se formalicen los cambios que ayuden a corregir las debilidades que resulten producto del trabajo realizado que incluya las recomendaciones necesarias y luego la implementación oportuna de los cambios.
Evalúe las necesidades de cambio de su organización y considérenos como una opción para apoyarlo y asesorarle.

Objetivos de la Auditoria Operacional
La auditoría operativa formula y presenta una opinión sobre los aspectos administrativos, gerenciales y operativos, poniendo énfasis en el grado de efectividad y eficiencia con que se han utilizado los recursos materiales y financieros mediante modificación de políticas, controles operativos y acción correctiva desarrolla la habilidad para identificar las causas operacionales y posteriores y explican síntomas adversos evidente en la eficiente administración.

El objetivo de la auditoria operativa es identificar las áreas de reducción de Costos, mejorar los métodos operativos e incrementar la rentabilidad con fines constructivos y de apoyo a las necesidades examinadas.

La auditoría operativa determina si la función o actividad bajo examen podría operar de manera más eficiente, económica y efectiva. Uno de los objetivos de la auditoria es el de determinar si la producción del departamento cumple con las especificaciones dadas; en consecuencia se dan variados informes, presupuestos y pronósticos que así como también los Estados Financieros.

La auditoría operativa determinará si se ha realizado alguna deficiencia importante de política, procedimientos y prácticas contables defectuosas.

La auditoría operativa las necesidades de Compras o Gastos, que se hayan realizado durante el ejercicio. Determinar la razonabilidad de la política y normas que se dan en la empresa.

Revisar la financiación de las adquisiciones para determinar si afectan la cantidad, calidad y las clases de Compras si se hubiesen realizado.

Información que suministra  la auditoria operacional

La auditoría operacional podrá informar a la gerencia de los siguientes aspectos:

1-     Evaluaciones del desempeño de la unidad con relación a los objetivos u otros criterios convenientes.

2-     Opinión en cuanto a que los planes (según se enuncian en declaraciones de objetivos, programas, presupuestos y lineamientos) son integrales, consistentes y atendidos en los niveles operativos.

3-     Información objetiva con relación a qué tan bien se están llevando a cabo los planes y políticas en todas las áreas de operaciones y acerca de oportunidades para el mejoramiento en cuanto a la eficacia, eficiencia y economía.

4-     Información acerca de las debilidades en los controles operativos, sobre todo a posibles fuentes de dispendio.

5-     Opinión reiterada en cuanto a que posible confiar en todos los informes de operaciones como una base para la acción.

Necesidad de la Auditoría Operativa

La auditoría operativa es opcional, por ello es la necesidad de hacer una auditoria teniendo en cuenta los siguientes factores:

Por competencia; para que una empresa pueda ser competitiva en el ámbito comercial debe hacerse una auditoria más específica para que pueda ubicar o detectar sus habilidades y amenazas y así estas poderlas superar mediante la información del auditor indicando recomendaciones y así hacer que esta empresa tenga muchas oportunidades y sea competente frente a las otras empresas y tenga una fortaleza para satisfacer sus necesidades individuales.

Por alta dirección empresarial; teniendo la alta dirección de la empresa la necesidad de determina áreas de mayor sensibilidad y contribuir a una mayor eficiencia de las operaciones, cuyo fin es de asegurar el cumplimiento eficiente, efectivo y económico de los objetivos empresariales.

La auditoría operativa es en particular aplicable a programas gubernamentales en los cuales no es posible evaluar la eficacia de los programas en términos de utilidades; tienen que evaluarse midiendo elementos tales como el número de familias reubicadas, el número de individuos rehabilitados y la medida del mejoramiento de la condiciones ambientales. Además de los de los auditores internos y gubernamentales, los despachos contables efectúan auditorías operacionales para clientes a través de sus departamentos de servicios de consultoría.

Pasos a seguir en la auditoría Operacional

En muchos aspectos, el trabajo del auditor al efectuar una auditoría operacional es similar al de una auditoría de estados financieros, pero existen algunas diferencias significativas. Los pasos a seguir pueden enunciarse en los términos siguientes:

1-     Definición del propósito
2-     Familiarización
3-     Estudio preliminar
4-     Desarrollo de un programa
5-     Trabajo de campo
6-     Formulación de un informe acerca de los hallazgos
7-      Seguimiento

 1-    Definición del propósito  
 El extenso y amplio de una auditoría operacional incluye por lo regular, la intención de valorar el desempeño de una organización, una función o un conjunto de actividades en lo particular. Este  extenso enunciado, tiene que expandirse para especificar de manera precisa el alcance de la auditoría y la naturaleza del informe. Los auditores tienen que determinar qué políticas y procedimientos en lo específico van a evaluarse y cómo se relacionan con los objetivos específicos de la organización.

2-     Familiarización
Antes de iniciar una auditoría operacional, los auditores tienen  que obtener un conocimiento integral de los objetivos, de la estructura organizacional y de las características operativas de la entidad que se está auditando. Este proceso de familiarización puede empezar por un estudio de las actas constitutivas organizaciones, de las actas constitutivas organizacionales, de los enunciados de las funciones y responsabilidades asignadas, de las políticas y lineamientos administrativos y de las políticas y procedimientos operativos.

En resumen, los auditores intentan familiarizarse con el mayor grado de detalle posible con la función que se está desempeñando, en particular desde el punto de vista de la responsabilidad y el control administrativos. El nivel de conocimiento que logre el auditor respecto a la organización, se documenta con cuestionarios, diagramas de flujo, y narraciones por escrito.

3-    Estudios Preliminares
Las conclusiones preliminares de los auditores acerca de los aspectos críticos de las operaciones y áreas problemáticas potenciales se resumen como el estudio preliminar de los auditores. Este sirve de guía para el desarrollo del programa de auditoría.

4-    Desarrollo del programa
El programa de la auditoría operacional se hace a la medida del compromiso particular, contiene todas las pruebas y los análisis que los auditores consideran necesarios para evaluar las operaciones de la organización. Con base en la naturaleza y el grado de dificultad del trabajo de auditoría, se asignará el personal al compromiso y se programará el trabajo.

5-    Trabajo de Campo
La etapa de trabajo de campo implica ejecutar el programa de auditoría operacional. Los auditores seleccionan los rubros que se van a revisar para determinar la suficiencia de los procedimientos y que también se siguen. El análisis es otra parte importante del trabajo de campo. El desempeño real de la organización se compara con diversos criterios como presupuestos, metas de productividad o el desempeño de unidades similares. Este análisis ofrece una base para las recomendaciones que formulan los auditores con relación al mejoramiento de la eficacia, la eficiencia y la economía.

A lo largo del trabajo de campo, los auditores documentaran la planeación, las evidencias recabadas, el análisis, la interpretación y los hallazgos en sus  documentos de trabajo. Los documentos de trabajos de auditoría deben sustentarse por sí solo y respaldar el informe de los auditores.

6-    Formulación de un informe acerca de los hallazgos
Al momento de la conclusión final de la auditoría, los auditores deben de resumir sus hallazgos relacionados con los propósitos fundamentales de la auditoria. El informe se incluirá mejoramientos sugeridos en las políticas y procedimientos operacionales de la entidad auditada, y una lista de las situaciones en las que el cumplimiento con las políticas y procedimiento existentes no es el adecuado.

Una vez terminado en el informe acerca de los hallazgos, se deberá hacer los arreglos necesarios para realizar una reunión final con el objetivo de revisar los hallazgos junto con todas las personas involucradas en las operaciones auditadas.

7-    Seguimiento
La etapa final en el trabajo de una auditoria operacional es la acción de seguimiento a fin de asegurar cualesquiera deficiencias que se haya revelado en el informe de auditoría sea corregida. Esta responsabilidad de seguimiento puede asignársele a una organización de línea o equipo, pero a menudo se considera que es responsabilidad del equipo de auditoría.
Publicado por en No hay comentarios:

Clase 14-11-2015 Informe de Audiroria de sistemas

OBJETIVOS

GENERAL

Identificar causas y soluciones a problemas específicos de los sistemas de información, que pueden estar afectando a la operación y a las estrategias de la entidad.

ESPECIFICOS

a)    La audiroria en sistemas se encarga del correcto funcionamiento y el cumplimiento de:
o   Cumplimiento de licencias de software (identificar software pirata, control de licencias).
o   Incompatibilidad del hardware y software.
o   Errores frecuentes de la aplicación (“caída”, resultados inexactos, lentitud).
o   Bases de Datos con problemas de integridad.
o   Bajo desempeño del hardware y software.
o   Proyectos con retrasos o que “nunca terminan”.
o   Insatisfacción de los usuarios para con los sistemas de información.
o   Corrección frecuente a los programas de las aplicaciones.
o   Fallas en el control de versiones.


DEFINICIÓN

La auditoría informática evalúa los sistemas de información, para medir la conveniencia y capacidad de los recursos tecnológicos asignados, para  la optimización de los procesos de información y toma de decisiones de los entes públicos y la sostenibilidad de los mismos.
La Auditoría Informática ha sido erróneamente denominada Auditoría de Sistemas, por el hecho que vulgarmente se considera la palabra "sistemas" como sinónimo de "computador".  Pero a lo largo de lo desarrollado hasta el momento, ha quedado claro que toda Auditoría es de sistemas, pues su objeto son los sistemas de información.
Se puede construir  entonces el siguiente concepto de auditoría informática:
El proceso que consiste en el examen crítico, sistemático y detallado del sistema de información automático  de un ente, realizado con independencia y utilizando técnicas específicas, con el propósito de emitir un informe profesional sobre la eficacia eficiencia y economicidad en el manejo de los recursos informáticos y los controles de seguridad de los mismos, para la toma de decisiones que  permitan el  mejoramiento de los procesos de información automática y  de la productividad de estos..
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.
Recreando programas de auditoría por computador, el auditor cubre una actividad más grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de problemas de evaluación en las operaciones del cliente.  Tal método incrementa su aptitud  para remitir óptimos servicios a los mismos.  
La evaluación de un sistema informático, estriba primero en la revisión del mismo para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad.
Al evaluar la información automática, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programación, para lograr un mejor entendimiento del sistema y los controles que se diseñaron en él.  En el sistema de procesamiento electrónico de datos, el auditor probablemente, encuentre nuevos controles, algunos de  ellos necesarios para la automatización del proceso, y algunos que sustituyen aquellos  que en los métodos manuales se basaron en juicios humanos y la división de labores.   Muchos de los controles en ambientes informáticos, pueden combinarse en los programas  de computadoras con en el proceso manual.
Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener información respecto al sistema.  Una vez obtenida la información, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para él.

Lineamientos auditoria informática

1. organización del área informática cada entidad establecerá los lineamientos que orienten el proceso de organización del área de informática, aspecto que implica la definición de actividades a cumplir, las funciones y responsabilidades del personal, al igual que las interrelaciones de los elementos comprendidos en este sector con las áreas operativas de la entidad. Estos elementos formaran parte del manual de organización y funciones correspondiente.
2. plan informático, adquisición o actualización de sistemas los sistemas de información computarizados se generan de acuerdo a los requerimientos o necesidades establecidas en cada entidad el sector público
3. operación y mantenimiento para los sistemas incorporados en su gestión, en cada entidad se elaboraran procedimientos formales y detallados del funcionamiento y operación
4. acceso a los sistemas y modificación de la información la máxima autoridad de cada entidad pública o por su delegación los directivos y jefes de unidades administrativas, en coordinación con el jefe de la unidad de procesamiento automático de datos establecerán las medidas que permitan acceder y modificar los datos e información contenidos en los sistemas computarizados solo a personal autorizado
5. la máxima autoridad de cada entidad pública o por su delegación los directivos y jefes de unidades administrativas, en coordinación con el jefe de la unidad de procesamiento automático de datos establecerán las medidas que permitan acceder y modificar los datos e información contenidos en los sistemas computarizados solo a personal autorizado

Alcance de la Auditoría Informática:

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Características de la Auditoría Informática:

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

ÁREAS DE APLICACIÓN

La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizadles tiene la empresa. Muy concisamente, una Aplicación recorre las siguientes fases:
ü  Requisitos del Usuario (único o plural) y del entorno.
ü  Análisis funcional.
ü  Diseño.
ü  Análisis orgánico (Reprogramación y Programación).
ü  Pruebas.
Todas las Aplicaciones que se desarrollan son muy parametrizadas, es decir, que tienen un montón de parámetros que permiten configurar cual va a ser el comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta cantidad de espacio en el disco.

Planeación De La Auditoría En Informática

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
§  Evaluación de los sistemas y procedimientos.
§  Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Investigación Preliminar

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

Administración

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática
Objetivos a corto y largo plazo.
Recursos materiales y técnicos
Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.

SISTEMAS

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoria o bien su realización, debemos evaluar que pueden presentarse las siguientes situaciones.
Se solicita la información y se ve que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa.
El éxito del análisis crítico depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

Evaluación De Sistemas

La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.
El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes:
¿Cuáles servicios se implementarán?
¿Cuándo se pondrán a disposición de los usuarios?
¿Qué características tendrán?
¿Cuántos recursos se requerirán?

La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados:
¿Qué aplicaciones serán desarrolladas y cuando?
¿Qué tipo de archivos se utilizarán y cuando?
¿Qué bases de datos serán utilizarán y cuando?
¿Qué lenguajes se utilizarán y en que software?
¿Qué tecnología será utilizada y cuando se implementará?
¿Cuantos recursos se requerirán aproximadamente?
¿Cuál es aproximadamente el monto de la inversión en hardware y software?

En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de información de la dependencia.
¿Qué estudios van a ser realizados al respecto?
¿Qué metodología se utilizará para dichos estudios?
¿Quién administrará y realizará dichos estudios?

En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos.
Por último, el plan estratégico determina la planeación de los recursos.
¿Contempla el plan estratégico las ventajas de la nueva tecnología?
¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?

El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la tecnología, conque se cuenta actualmente.

Ejecucion Auditoria Informatica

- Definición del alcance
- Definición de los objetivos de auditoría
- Definición del programa de trabajo

Metodologia

Procedimientos
- Entendimiento del área u objeto a auditar
- Valoración de riesgos y plan general
- Revisión preliminar del área u objeto a auditar
- Evaluación del área u objeto a auditar
- Pruebas de cumplimiento
- Pruebas sustantivas
- Reporte (comunicación de resultados)
- Seguimiento

Fases

- El área a auditar
- El propósito de la auditoría
- Los sistemas específicos, funciones o unidades de la organización a ser incluidas en la revisión.
- Las habilidades técnicas y recursos necesarios
- Las fuentes de información para pruebas
- Lista de personas a entrevistar
- Obtener políticas departamentales, estándares y guías para revisión
- Procedimientos para revisiones de seguimiento
- Procedimientos para evaluar/probar la eficiencia y efectividad operacional
- Procedimientos para probar controles

Desarrollar

- Herramientas y metodología de auditoría para probar y verificar el control.
- Procedimientos para evaluar los resultados de las pruebas o revisiones
- Procedimientos de comunicación con la gerencia

Evidencia

- Independencia del proveedor de la evidencia
- Calificación de la persona que provee la información o evidencia
- Objetividad de la evidencia
- Oportunidad de la evidencia

Es un requerimiento que las conclusiones del auditor deben basarse en evidencia suficiente y competente
Deriva en...
- Revisar las estructuras organizacionales
- Revisar las políticas, procedimientos y estándares
- Revisar documentación de
- Entrevistar al personal apropiado
- Observar el desempeño de los procesos y de los empleados

Informes

- Los informes de auditoría son el producto final del auditor de sistemas.
- Ese es el vehículo que el auditor utiliza para informar sus observaciones y recomendaciones a la gerencia.

- El formato exacto del informe variará según la organización
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)