Herramientas y Técnicas de la Auditoria Informática Guía #2
1. Unidad V
Herramientas y Técnicas para la Auditoria Informática
Papeles de Trabajo
Los papeles de trabajo son el conjunto de documentos que contienen
la información obtenida por el auditor en su revisión, así como los resultados
de los procedimientos y pruebas de auditoría aplicados; con ellos se
sustentan las observaciones, recomendaciones, opiniones y conclusiones
contenidas en el informe correspondiente. Todos los resultados y
recomendaciones de la auditoría deberán sustentarse con evidencia obtenida
en la auditoría, deberá documentarse debidamente en los papeles de trabajo,
principalmente con el objeto de: Contar con una fuente de información y en
su caso, efectuar aclaraciones con el ente auditado u otras partes
interesadas y dejar constancia del trabajo realizado para futura consulta y
referencia. Los auditores deberán considerar que el contenido y disposición
de sus papeles de trabajo reflejarán el grado de su competencia y
experiencia, estos deberán ser completos y detallados que pueda servirse de
ellos para conocer el trabajo en que se sustente el informe de auditoría.
En conclusión la evidencia debe ser suficiente y apropiada en la
auditoría para poder extraer conclusiones razonables sobre las cuales basa
su informe, en ese contexto la evidencia en la auditoría: Significa la
información obtenida por el auditor para llegar a las conclusiones, asimismo
comprenderá documentos fuentes, la evidencia en la auditoría se obtiene de
una mezcla apropiada de pruebas de control, de procedimientos sustantivos,
análisis de proyecciones y análisis de indicadores y las pruebas de control:
Significa pruebas realizadas para obtener evidencia en la auditoría sobre lo
2. adecuado del diseño y operación efectiva de los sistemas, control interno, el
cumplimiento de las metas y objetivos propuestos y el grado de eficacia,
economía y eficiencia y el manejo de la entidad. 68 Para obtener las
conclusiones de la auditoría, el auditor normalmente examina toda la
información disponible, con base a los siguientes factores:
A. Nivel del riesgo.
B. Naturaleza de los sistemas y el control interno.
C. Evaluación del riesgo de control.
D. Experiencia obtenida en auditorías previas
E. Resultados de procedimientos de auditoría, incluyendo fraude o error
que puedan haberse encontrado.
F. Fuente y confiabilidad de información disponible.
Por tanto, los papeles de trabajo estarán bajo la custodia de Auditoría
de Sistemas o de la instancia a la que pertenece, por contener la evidencia
de trabajos de auditoría realizados por su personal.
La confidencialidad está ligada al cuidado y diligencia profesional con
que deberán proceder los auditores, el uso y consulta de los papeles de
trabajo estarán vedados por el secreto profesional a personas ajenas al área,
salvo requerimiento o mandato de la autoridad jerárquica o legal de su
competencia.
Forma y Contenido de los Papeles de Trabajo
El auditor deberá preparar papeles de trabajo que sean
suficientemente completos y detallados para proporcionar una comprensión
global de la auditoría. La extensión de los papeles de trabajo es un caso de
juicio profesional, ya que dependiendo la naturaleza de la Organización y el
3. alcance determinarán el volumen o profundidad de los papeles, estos a su
vez podrán ser:
A. Información referente a la estructura organizacional de la entidad.
B. Extractos o copias de documentos legales importantes, convenios u
otro texto.
C. Resumen de las principales leyes, reglamentos y normas que debe
cumplir la entidad.
D. Información concerniente a la industria, entorno económico y entorno
legislativo dentro de los que opera la entidad.
E. Evidencia del proceso de planeación incluyendo programas de
auditoría y cualesquier cambio al respecto.
F. Evidencia de las pruebas realizadas en el control interno.
G. Evidencia de evaluaciones de los riesgos inherentes y de control y
cualesquiera revisiones al respecto.
H. Evidencia de la consideración del auditor del trabajo de auditoría
interna y las conclusiones alcanzadas.
I. Análisis de transacciones.
J. Análisis de tendencias, índices importantes e indicadores económicos.
K. Una indicación sobre quién desarrolló los procedimientos de auditoría
y cuándo fueron desarrollados
L. Copias de documentación sobre comunicaciones con otros auditores,
expertos y terceras partes.
Marcas para los Papeles de Trabajo
La finalidad principal de las marcas en los papeles de trabajo es para
identificarlos mejor, su utilidad radica en que tienen un significado preciso ya
que destacan aspectos importantes de los papeles de trabajo que ha medida
se van revisando, con el uso de estos símbolos se evita el abuso en la
4. recopilación de copias inútiles de papeles de evaluación, por otra parte las
referencias en los papeles de trabajo tienen la finalidad de facilitar y de
relacionar la observación con el informe.
Documentación de la Auditoria
Es el principal registro de los procedimientos de la auditoria aplicables,
evidencia obtenida, y conclusiones alcanzadas en la participación. La
documentación de la auditoria debería incluir toda la información que el
auditor considere necesaria para realizar la auditoria de forma correcta y
proporcionar el apoyo para el informe de auditoría. La documentación de la
auditoria también podría referirse a los papeles de trabajo. Ha ido la manera
en que la documentación de la auditoria se mantiene en archives de
computadora.
El objetivo general es la de ayudar al auditor a proporcionarle una
seguridad razonable de que una auditoria adecuada se realice de acuerdo
con las normas establecidas. La documentación de la auditoria, si pertenece
al año corriente de la auditoria, provee la base para la planeación de la
auditoria, un registro de la evidencia acumulada y los resultados de las
pruebas, datos para determinar el tipo adecuado del informe de auditoría y
una base para la revisión por parte de supervisor y socios.
La documentación de auditoria es el recurso más importante para
demostrar por medio de documentos que una auditoria fue realizada de
forma adecuada y conforme a las normas de auditoria generalmente
aceptadas.
La revisión de la documentación permite determinar la conformidad de la
documentación del sistema, según documentación, con los criterios de
auditoria.
Si la documentación es inadecuada no se deben asignar
nuevos recursos hasta que estos problemas se resuelvan.
La revisión de la documentación comienza en la primera etapa de la
auditoria y puede continúa durante todo el ejercicio.
5. El reto es identificar la información requerida (deseable) y revisarla en
detalle antes del trabajo de campo.
Una visita previa puede ser útil para:
Informar de primera mano del responsable de la instalación acerca de
los objetivos y procedimientos de la auditoria.
Conseguir información suficiente para desarrollar el entendimiento básico de
la instalación, los procesos y la gestión.
Diseñar un mejor plan de auditoria (más racional)
Tipos de Documentos
Documentación acerca del sistema de gestión de la
calidad. Manuales de calidad.
Documentación acerca de la aplicación del sistema de gestión de
calidad. Planes de calidad.
Documentos que establecen requisitos. Especificaciones.
Documentos que establecen recomendaciones o sugerencias. Guías.
Documentación acerca de cómo desempeñar las actividades o
procesos. Procedimientos, Instrucciones, Planos.
Documentación que proporciona evidencia objetiva de las actividades
realizadas o de los resultados logrados. Registros.
6. Informe Final de Auditoria
El informe final La función de la auditoría se materializa
exclusivamente por escrito. Por lo tanto la elaboración final es el exponente
de su calidad. Resulta evidente la necesidad de redactar borradores e
informes parciales previos al informe final, los que son elementos de
contraste entre opinión entre auditor y auditado y que pueden descubrir fallos
de apreciación en el auditor.
Estructura del informe final: El informe comienza con la fecha de
comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los
nombres del equipo auditor y los nombres de todas las personas
entrevistadas, con indicación de la jefatura, responsabilidad y puesto de
trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
Enumeración de temas considerados: Antes de tratarlos con
profundidad, se enumerarán lo más exhaustivamente posible todos los temas
objeto de la auditoría.
Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
A. Situación actual. Cuando se trate de una revisión periódica, en la que
se analiza no solamente una situación sino además su evolución en el
tiempo, se expondrá la situación prevista y la situación real
B. Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
C. Puntos débiles y amenazas.
7. D. Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la auditoría
informática.
E. Redacción posterior de la Carta de Introducción o Presentación.
Modelo conceptual de la exposición del informe final:
El informe debe incluir solamente hechos importantes (La inclusión de
hechos poco relevantes o accesorios desvía la atención del lector).
El Informe debe consolidar los hechos que se describen en el mismo.
El término de “hechos consolidados” adquiere un especial significado de
verificación objetiva y de estar documentalmente probados y soportados.
La consolidación de los hechos debe satisfacer, al menos los siguientes
criterios:
El hecho debe poder ser sometido a cambios.
Las ventajas del cambio deben superar los inconvenientes derivados
de mantener la situación. No deben existir alternativas viables
que superen al cambio propuesto.
La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.
La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser corregida.
Flujo del hecho o debilidad:
1. Hecho encontrado.
Ha de ser relevante para el auditor y pera el cliente.
Ha de ser exacto, y además convincente.
No deben existir hechos repetidos.
2. Consecuencias del hecho
8. Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
3. Repercusión del hecho
Se redactará las influencias directas que el hecho pueda
tener sobre otros aspectos informáticos u otros ámbitos de
la empresa.
4. Conclusión del hecho
No deben redactarse conclusiones más que en los casos en
que la exposición haya sido muy extensa o compleja.
5. Recomendación del auditor informático
Deberá entenderse por sí sola, por simple lectura.
Deberá estar suficientemente soportada en el propio texto.
Deberá ser concreta y exacta en el tiempo, para que pueda
ser verificada su implementación.
La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.
Carta de introducción o presentación del informe final:
La carta de introducción tiene especial importancia porque en ella ha
de resumirse la auditoría realizada. Se destina exclusivamente al
responsable máximo de la empresa, o a la persona concreta que encargo o
contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite
el cliente, la auditoría no hará copias de la citada carta de Introducción.
9. La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios.
Incluirá fecha, naturaleza, objetivos y alcance.
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de
gran debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca
recomendaciones.
Tipos De Informes
Informes Abreviados:
Van dirigidos a la gerencia y altos directivos de la empresa para que les sirva
de soporte en la toma de decisiones y tiene como propósito informar de
manera ágil, directa y concisa sobre aquellos aspectos más relevantes de la
auditoria, pero si se requiere profundizar en algún detalle, es necesario
consultar los informes extensos.
Informes Extensos
Van dirigidos a aquellas personas directamente involucradas con la
aplicación y tanto los informes técnicos, administrativos, así como los
informes del auditor, deben ser amplios, detallados y en algunos casos incluir
una completa descripción del examen de auditoria efectuado.
10. Referencias Bibliográficas
Huesca, G. Auditoría Informática I (1st ed.). Baja California: Universidad
Autónoma de Baja California. Retrieved from
http://files.aiute.webnode.es/200000042-e2df9e4d49/Libro-Auditoria.pdf
Tamayo, Alonso. “Auditoría de Sistemas – Una visión práctica”, Universidad
Nacional deColombiaSedeManizales, 2001.