Your SlideShare is downloading. ×
Normas Generales De Auditoria
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Normas Generales De Auditoria

131,698
views

Published on

Material complementario de fundamentacion sobre las normas generales de auditoria de sistemas computacionales.

Material complementario de fundamentacion sobre las normas generales de auditoria de sistemas computacionales.

Published in: Education, Technology, Business

0 Comments
14 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
131,698
On Slideshare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
2,198
Comments
0
Likes
14
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Normas Generales de auditoria Definición de Norma Las normas de Auditoría son las indicaciones que en forma obligatoria los auditores tienen que cumplir en el desempeño de sus funciones de auditoría y presentan los requisitos personales y profesionales del auditor, además de orientaciones para la uniformidad en el trabajo con el propósito de lograr un buen nivel de calidad en el examen. Asì mismo indican lo concerniente a la elaboración del informe de auditoria. Normas Generales Establecen el ámbito y competencia de la auditoría, son de naturaleza personal y están relacionadas con las cualidades morales, de conocimiento y capacidad que debe tener el auditor y con la calidad en el trabajo de auditoría. Son Normas Generales: 1 Capacidad Profesional El auditor debe tener suficiente capacidad profesional, experiencia técnica y el entrenamiento adecuado para planear, organizar y ejecutar de la manera más eficiente y económica el trabajo de auditoría y con calidad profesional. Para mantenerse actualizado el auditor deberá estar capacitándose constantemente en todas las áreas relacionadas con su carrera. Además, los auditores deben reunir ciertos requisitos como: a) Conocimiento de métodos y técnicas aplicables b) conocimiento de los principios de contabilidad generalmente aceptados y de las normas internacionales de auditoría. c) Habilidad para comunicarse. d) Experiencia en el ramo. e) Título profesional correspondiente. 2. Objetividad e Independencia
  • 2. El auditor deberá estar libre de impedimentos e influencias, mantener una actitud objetiva y absoluta independencia de criterios en la elaboración del informe de su examen. La independencia objetiva y mental del auditor es la exigencia y calidad más importante. La pérdida de tales condiciones elimina por completo la validez de su informe y su cuestionamiento disminuye considerablemente su credibilidad. El auditor debe tener la suficiente autonomía de modo que pueda desarrollar la auditoría con el máximo grado de imparcialidad, sin que haya posibilidades de efectos negativos en su contra que impidan o limiten su independencia. En el caso de los auditores internos, se debe responder ante un nivel jerárquico tal, que le permita a la actividad de auditoría interna cumplir con sus responsabilidades sin tropiezo alguno. Para el logro real de la independencia del auditor, éste no debe tener conflicto de intereses en las áreas auditadas, que limiten su accionar en forma imparcial y objetiva. Esto significa que se abstendrán de evaluar operaciones en las cuales anteriormente tuvieron responsabilidades. 3. Confidencialidad del trabajo de Auditoría El personal de auditoría mantendrá absoluta reserva en el desempeño de sus funciones, aún después de haber concluido sus labores y solo harán del conocimiento de su trabajo a su superior inmediato. En el caso de las auditorías que se desarrollan en el Estado, la Constitución de la república obliga a la Contraloría a hacer públicos los resultados, so pena de declararla cómplice si no lo hace. 4. Incompatibilidad de Funciones. El personal de Auditoría no ejercerá ninguna labor administrativa ni financiera en las entidades u organismos sujetos a su examen. Ni practicará auditorias en lugares donde tenga intereses, ya sean económicos o personales. 5. Responsabilidad y Cuidado Profesional Los auditores son responsables de cumplir con todas las disposiciones legales y normativas existentes para el desarrollo de una auditoría y emplear cuidadosamente su criterio profesional. Debe aplicar adecuadamente su criterio para determinar el alcance de la auditoría, las técnicas y procedimientos de auditoría, el equipo de trabajo y de elaborar o preparar los informes pertinentes. 6. Designación del personal para la Auditoría Antes de iniciar una Auditoría o examen especial, se designará por escrito, mediante una credencial, el equipo responsable de su ejecución, el cual
  • 3. ejercerá su trabajo de acuerdo a los programas de auditoría elaborados y preparados para ese fin. 7. Control de Calidad. Se debe garantizar un adecuado control de calidad del trabajo, a través de una supervisión constante del trabajo, de la preparación continua de los auditores, capacitándolos y dándoles las herramientas necesarias para que puedan desarrollar su trabajo sin presiones ni limitaciones. Normas de Ejecución Se refieren a las indicaciones técnicas y procedimientos de auditoría y a las medidas de calidad del trabajo ejecutado por el auditor en una entidad. Son normas de ejecución: 1. Planeación de la auditoría El trabajo de auditoría debe planearse adecuadamente para poder alcanzar los objetivos propuestos con el mínimo de esfuerzos y con la mayor economía. El plan debe incluir: personal, recursos materiales, objetivos, etc. El plan de auditoría reflejará las metas del año, los tipos de auditoría a realizarse, las instituciones probables a auditarse, el alcance de las mismas y hasta los cálculos económicos. 2. Planeación específica de la Auditoría Para cada auditoría programada o no, se deberá elaborar un plan de trabajo específico. Este debe contener: a) El objetivo general del trabajo b) Objetivos específicos c) La naturaleza y alcance del examen, incluyendo el período. d) Los procedimientos y técnicas de auditoría a realizar. e) Recursos necesarios, materiales y humanos. f) Etc. 3. Programa de Auditoría Para cada auditoría específica se deberá elaborar el programa de auditoría que incluya los procedimientos a aplicarse, su alcance y personal designado para ejecutar la auditoría. Los programas de auditoría deben ser los suficientemente flexibles para permitir en el transcurso
  • 4. del examen, modificaciones, mejoras y ajustes, a juicio del encargado o supervisor y con la debida aprobación por parte de los responsables o superiores. 4. Archivo Permanente Para cada entidad u organismo se organizará un archivo permanente de papeles de trabajo que contenga la información básica que pueda ser utilizada en futuros auditorías o exámenes especiales. El archivo permanente contendrá copias o extractos de la información aplicable a la empresa u organismo y principalmente: a) Disposiciones legales y normativas b) Manuales, organigramas y reglamentos internos. c) Estatutos de constitución de la empresa. d) Contratos a largo plazo e) Análisis del activo fijo. f) Etc. 5. Evaluación del Control Interno Se deberá efectuar una cuidadosa comprensión y evaluación del Control Interno de la entidad u organismo para formular recomendaciones que permitan su fortalecimiento y mejoras, y para determinar las áreas que necesitan un examen más detallado, y para establecer la naturaleza, oportunidad, alcance y profundidad de las pruebas a aplicar mediante procedimientos de auditoría. 6. Evaluación del cumplimiento de las leyes y Reglamentos Aplicables En la ejecución de toda auditoría debe avaluarse el cumplimiento de las leyes y reglamentos aplicables a los sistemas de administración financiera y otras áreas de la entidad. Esta norma es aplicable más al sector estatal, donde se persigue con mayor rigurosidad su cumplimiento, so pena de sanciones si no lo hacen. 7. Obtención de Evidencia suficiente, Competente y Pertinente El auditor debe tener evidencia suficiente, competente y pertinente a través de la aplicación de procedimientos de auditoría que le permitan sustentar sus opiniones, comentarios, conclusiones y recomendaciones sobre una base objetiva. El auditor deberá conocer con propiedad, las diferentes técnicas de recopilación de evidencias que existen en auditoría, como son: la observación, el examen físico, la confirmación, el recálcalo, indagación al cliente, la documentación y el análisis. Además de los diferentes tipos de evidencia que existen en auditoría. 8. Papeles de Trabajo de Auditoría
  • 5. Toda información que soporta el proceso de auditoría y el informe, estará documentada en los papeles de trabajo. Los papeles de trabajo son el principal soporte del auditor para sustentar su informe de auditoría, por tanto, debe conocer y dominar con profundidad las técnicas para la elaboración de cédulas de trabajo: sumarias y de detalle o analíticas. Utilizar adecuadamente las marcas y saber utilizar los índices respectivos para cada cuenta o grupo de cuentas. 9. Permanencia del Equipo de Auditoría El equipo de Auditoría permanecerá en las oficinas de la entidad examinada hasta la conclusión del trabajo o de las tareas asignadas a cada persona. Los auditores no podrán comenzar otro trabajo, si el primero no ha concluido, ni abandonarán el trabajo encomendado para continuarlo otro día, a menos que sea por fuerza mayor y que está debidamente autorizado. 10. Carta de Gerencia o de Salvaguarda El Auditor debe obtener una "Carta de Gerencia" de la máxima autoridad auditada, donde esta da fe de haber entregado toda la información solicitada. 11. Supervisión de la Auditoría El trabajo desarrollado por los auditores será debidamente supervisado, en forma sistemática y oportuna y por personal calificado. El equipo de trabajo deberá ser orientado debidamente de los objetivos, del alcance y de los procedimientos de auditoría a aplicarse. Todas las tareas de supervisión deben quedar plasmadas en los papeles de trabajo, desde la supervisión realizada en la planeación, en la ejecución y hasta en la fase del informe. Esto garantiza un control de calidad eficiente al trabajo del equipo de auditoría. 12. Evaluación del Riesgo de Auditoría Cuando se practica una auditoría financiera, es necesario evaluar los riesgos posibles. El riesgo de auditoría es la posibilidad de que el auditor llegue a conclusiones equivocadas acerca de los datos presentados para su examen. Todo auditor sabe que existen riesgos de que existan cifras que no se correspondan con las presentadas por la empresa y que no puedan ser detectadas por el equipo. Estos riesgos pueden ser: Inherente, de Control y de Detección. Normas del informe de Auditoría Establecen todo lo relativo al informe de auditoría; fecha, contenido, tipos y estructura. 1. Oportunidad en la comunicación de los Resultados
  • 6. Durante la ejecución del trabajo, los auditores deben discutir con los funcionarios de la entidad auditada, los informes parciales que contengan los hallazgos que se vayan obteniendo a fin de que adopten las medidas correctivas pertinentes. Los resultados finales deberán trasmitirse en el menor tiempo posible a través de un informe escrito aprobado por el auditor jefe y el cual también deberá ser discutido con los funcionarios de la entidad auditada. En el sector público, se obliga al auditor a que esté en contacto constantemente con el auditado, permitiendo a éste su derecho a la defensa y al debido proceso. 2. Tipos y Contenido de la Auditoría Al finalizar el examen el auditor debe presentar por escrito un informe que describa el alcance y los objetivos de la auditoría, además, Comentarios Conclusiones y Recomendaciones sobre los hallazgos relacionados con los objetivos de la auditoría. El informe puede ser: a) Sobre los resultados de una auditoría financiera b) Sobre los resultados de una auditoría operacional c) Sobre los resultados de una auditoría especial d) Sobre los resultados de una auditoría ambiental e) Etc. Si el examen es sobre estados financieros, la opinión que se expresa en el informe puede ser: a) Opinión limpia b) Opinión con salvedades c) Opinión adversa d) Abstención de opinión En el contenido se reflejan los "hallazgos" y estos se refieren a cualquier situación deficiente y relevante que se determine por medio de la aplicación de procedimientos de auditoría. Los hallazgos encontrados, en el sector público, deben ser presentados con sus atributos correspondientes, que son: Condición, Criterio, Causa y Efecto. Además de indicar la opinión del auditado y las recomendaciones relativas al hallazgo. En la determinación de los hallazgos, juega un papel determinante la "materialidad" o "Importancia Relativa" y que es el máximo error posible que el auditor puede permitir para definir si la diferencia encontrada es o no, significativa y por lo tanto es considerada como hallazgo. 3. Estructura del Informe de Auditoría
  • 7. Los resultados de las auditorías se pueden presentar de dos formas: Tipos Contenido del informe corto a) Informe Corto 1. Párrafo del alcance b) Informe Largo 2.Párrafo con salvedades (si las hay) 3. Párrafo de opinión 4. Firma, Fecha En la Contraloría General de la República de Nicaragua, se utiliza la siguiente estructura del Informe de Auditoría: Informe Largo 1. Fecha del informe y destinatario 2. Párrafo Introductorio 3. Objetivo de la Auditoría 4. Párrafo del alcance y metodología 5. Aclaraciones del examen practicado 6. Conclusión 7. Explicación de resultados 8. Firma 4. Tono Constructivo del Informe Los informes de auditoría deberán provocar una reacción positiva en las conclusiones y recomendaciones formuladas. No se deberá utilizar lenguaje despectivo ni destructivo, sin dejar de formular el criterio juicioso del auditor. 5. Objetividad del Informe Los comentarios y conclusiones deberán presentarse de manera objetiva e imparcial. Presentando la realidad encontrada, sin tratar de salvar la responsabilidad de algún funcionario o empleado de la entidad auditada. 6. Precisión y Razonabilidad del Informe Los informes deben prepararse en lenguaje sencillo y fácilmente entendible, tratando los asuntos en forma breve y deben coincidir con los hechos observados. Estas características permitirán hacer un seguimiento correcto a las recomendaciones planteadas y efectuar las evaluaciones pertinentes a las acciones correctivas que se adopten en cada caso. 7. Informe sobre la evaluación del Control Interno Los auditores deberán informar por escrito los resultados de la evaluación del Control Interno de la entidad. Este informe podrá incluirse en el Informe de Auditoría o presentarse por separado; De haber existido limitaciones para su evaluación, el auditor deberá detallarlo en su informe.
  • 8. 8. Contenido del Informe sobre el Control Interno El informe del auditor sobre el Control Interno debe asegurar: 1. Que ha examinado los Estados Financieros 2. Que la auditoría se realizó de acuerdo con las normas de auditoría generalmente aceptadas. 3. Que se consideró el Control Interno para determinar los procedimientos de auditoría, con el fin de expresar una opinión sobre los estados financieros y no para proporcionar seguridad del Sistema de Control Interno. 4. Que el establecimiento y mantenimiento del sistema de Control Interno son responsabilidad de la Administración. 5. Explicación de los objetivos y limitaciones inherentes del control Interno. 6. Descripción de las políticas y procedimientos importantes del Control Interno 7. Definición y alcance del trabajo 8. Definición y descripción de las condiciones observadas 9. Descripción de las debilidades importantes observadas y las recomendaciones correspondientes. 9. Declaraciones en el Informe sobre el cumplimiento de Leyes y Reglamentos aplicables. Las divulgaciones en el informe sobre cumplimiento legal y reglamentario deben estar estructuradas conforme a las normas de auditoría y normas específicas. Se deberá señalar todos los casos importantes de incumplimiento y todos los actos ilícitos o indicios de ilegalidades que puedan conducir a un proceso penal. 10. Difusión y Trámite del Informe. La oficina de Auditoría o el auditor responsable del equipo de auditoría deberá presentar el informe de auditoría por escrito al funcionario responsable de la entidad auditada y al organismo o autoridad que haya solicitado la auditoría. Todas las personas auditadas deberán tener conocimiento de los resultados finales de la auditoria efectuada a su área. Normas del informe de Auditoría Establecen todo lo relativo al informe de auditoría; fecha, contenido, tipos y estructura. 1. Oportunidad en la comunicación de los Resultados Durante la ejecución del trabajo, los auditores deben discutir con los funcionarios de la entidad auditada, los Informes parciales que contengan los hallazgos que se vayan obteniendo a fin de que adopten las medidas correctivas pertinentes. Los resultados finales deberán trasmitirse en el menor tiempo posible a través de un informe escrito aprobado por el auditor jefe y el cual también deberá ser discutido con los funcionarios de la entidad auditada.
  • 9. En el sector público, se obliga al auditor a que esté en contacto constantemente con el auditado, permitiendo a éste su derecho a la defensa y al debido proceso. 2. Tipos y Contenido de la Auditoría Al finalizar el examen el auditor debe presentar por escrito un informe que describa el alcance y los objetivos de la auditoría, además, Comentarios Conclusiones y Recomendaciones sobre los hallazgos relacionados con los objetivos de la auditoría. El informe puede ser: a) Sobre los resultados de una auditoría financiera b) Sobre los resultados de una auditoría operacional c) Sobre los resultados de una auditoría especial d) Sobre los resultados de una auditoría ambiental e) Etc. Si el examen es sobre estados financieros, la opinión que se expresa en el informe puede ser: a) Opinión limpia b) Opinión con salvedades c) Opinión adversa d) Abstención de opinión En el contenido se reflejan los "hallazgos" y estos se refieren a cualquier situación deficiente y relevante que se determine por medio de la aplicación de procedimientos de auditoría. Los hallazgos encontrados, en el sector público, deben ser presentados con sus atributos correspondientes, que son: Condición, Criterio, Causa y Efecto. Además de indicar la opinión del auditado y las recomendaciones relativas al hallazgo. En la determinación de los hallazgos, juega un papel determinante la "materialidad" o "Importancia Relativa" y que es el máximo error posible que el auditor puede permitir para definir si la diferencia encontrada es o no, significativa y por lo tanto es considerada como hallazgo. 3. Estructura del Informe de Auditoría Los resultados de las auditorías se pueden presentar de dos formas: Tipos Contenido del informe corto a) Informe Corto 1. Párrafo del alcance b) Informe Largo 2. Párrafo con salvedades (si las hay) 3. Párrafo de opinión 4. Firma, Fecha
  • 10. En la Contraloría General de la República de Nicaragua, se utiliza la siguiente estructura del Informe de Auditoría: Informe Largo 1. Fecha del informe y destinatario 2. Párrafo Introductorio 3. Objetivo de la Auditoría 4. Párrafo del alcance y metodología 5. Aclaraciones del examen practicado 6. Conclusión 7. Explicación de resultados 8. Firma 4. Tono Constructivo del Informe Los informes de auditoría deberán provocar una reacción positiva en las conclusiones y recomendaciones formuladas. No se deberá utilizar lenguaje despectivo ni destructivo, sin dejar de formular el criterio juicioso del auditor. 5. Objetividad del Informe Los comentarios y conclusiones deberán presentarse de manera objetiva e imparcial. Presentando la realidad encontrada, sin tratar de salvar la responsabilidad de algún funcionario o empleado de la entidad auditada. 6. Precisión y Razonabilidad del Informe Los informes deben prepararse en lenguaje sencillo y fácilmente entendible, tratando los asuntos en forma breve y deben coincidir con los hechos observados. Estas características permitirán hacer un seguimiento correcto a las recomendaciones planteadas y efectuar las evaluaciones pertinentes a las acciones correctivas que se adopten en cada caso. 7. Informe sobre la evaluación del Control Interno Los auditores deberán informar por escrito los resultados de la evaluación del Control Interno de la entidad. Este informe podrá incluirse en el Informe de Auditoría o presentarse por separado; De haber existido limitaciones para su evaluación, el auditor deberá detallarlo en su informe. 8. Contenido del Informe sobre el Control Interno El informe del auditor sobre el Control Interno debe asegurar: 1. Que ha examinado los Estados Financieros 2. Que la auditoría se realizó de acuerdo con las normas de auditoría generalmente aceptadas. 3. Que se consideró el Control Interno para determinar los procedimientos de auditoría, con el fin de expresar una opinión sobre los estados financieros y no para proporcionar seguridad del Sistema de Control Interno.
  • 11. 4. Que el establecimiento y mantenimiento del sistema de Control Interno son responsabilidad de la Administración. 5. Explicación de los objetivos y limitaciones inherentes del control Interno. 6. Descripción de las políticas y procedimientos importantes del Control Interno 7. Definición y alcance del trabajo 8. Definición y descripción de las condiciones observadas 9. Descripción de las debilidades importantes observadas y las recomendaciones correspondientes. 9. Declaraciones en el Informe sobre el cumplimiento de Leyes y Reglamentos aplicables. Las divulgaciones en el informe sobre cumplimiento legal y reglamentario deben estar estructuradas conforme a las normas de auditoría y normas específicas. Se deberá señalar todos los casos importantes de incumplimiento y todos los actos ilícitos o indicios de ilegalidades que puedan conducir a un proceso penal. 10. Difusión y Trámite del Informe. La oficina de Auditoría o el auditor responsable del equipo de auditoría deberá presentar el informe de auditoría por escrito al funcionario responsable de la entidad auditada y al organismo o autoridad que haya solicitado la auditoría. Todas las personas auditadas deberán tener conocimiento de los resultados finales de la auditoria efectuada a su àrea. INTRODUCCIÓN La Asociación de Auditoría y Control de Sistemas de Información ha determinado que la naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información. La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Las normas promulgadas por la Asociación de Auditoría y Control de Sistemas de Información son aplicables al trabajo de auditoría realizado por miembros de la Asociación de Auditoría y Control de Sistemas de Información y por las personas que han recibido la designación de Auditor Certificado de Sistemas de Información. OBJETIVOS
  • 12. Los objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen. NORMAS GENERALES PARA LOS SISTEMAS DE AUDITORÍA DE LA INFORMACIÓN 010.010 Responsabilidad, autoridad y rendimiento de cuentas La responsabilidad, la autoridad y el rendimiento de cuentas abarcados por la función de auditoría de los sistemas de información se documentarán de la manera apropiada en un título de auditoría o carta de contratación. 020 Independencia 020.010 Independencia profesional En todas las cuestiones relacionadas con la auditoría, el auditor de sistemas de información deberá ser independiente de la organización auditada tanto en actitud como en apariencia. 020.020 Relación organizativa La función de auditoría de los sistemas de información deberá ser lo suficientemente independiente del área que se está auditando para permitir completar de manera objetiva la auditoría. 030 Ética y normas profesionales 030.010 Código de Ética Profesional El auditor de sistemas de información deberá acatar el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información. 030.020 Atención profesional correspondiente En todos los aspectos del trabajo del auditor de sistemas de información, se deberá ejercer la atención profesional correspondiente y el cumplimiento de las normas aplicables de auditoría profesional. 040 Idoneidad 040.010 Habilidades y conocimientos El auditor de sistemas de información debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor. 040.020 Educación profesional continua El auditor de sistemas de información deberá mantener la
  • 13. idoneidad técnica por medio de la educación profesional continua correspondiente. 050 Planificación 050.010 Planificación de la auditoría El auditor de sistemas de información deberá planificar el trabajo de auditoría de los sistemas de información para satisfacer los objetivos de la auditoría y para cumplir con las normas aplicables de auditoría profesional. 060 Ejecución del trabajo de auditoría 060.010 Supervisión El personal de auditoría de los sistemas de información debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoría y que se satisfagan las normas aplicables de auditoría profesional. 060.020 Evidencia Durante el transcurso de una auditoría, el auditor de sistemas de información deberá obtener evidencia suficiente, confiable, relevante y útil para lograr de manera eficaz los objetivos de la auditoría. Los hallazgos y conclusiones de la auditoría se deberán apoyar por medio de un análisis e interpretación apropiados de dicha evidencia. 070 Informes 070.010 Contenido y formato de los informes En el momento de completar el trabajo de auditoría, el auditor de sistemas de información deberá proporcionar un informe, de formato apropiado, a los destinatarios en cuestión. El informe de auditoría deberá enunciar el alcance, los objetivos, el período de cobertura y la naturaleza y amplitud del trabajo de auditoría realizado. El informe deberá identificar la organización, los destinatarios en cuestión y cualquier restricción con respecto a su circulación. El informe deberá enunciar los hallazgos, las conclusiones y las recomendaciones, y cualquier reserva o consideración que tuviera el auditor con respecto a la auditoría. 080 Actividades de seguimiento 080.010 Seguimiento El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna. Métodos, técnicas y herramientas de auditoría.
  • 14. Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios pre impresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos pre impresos hubieran proporcionado. Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 2. Mediante “entrevistas” en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo
  • 15. menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular. Tunning: Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Optimización de los Sistemas y Subsistemas: Técnica de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings pre programados o específicos. El auditor verificará que las acciones de optimización* fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plancrítico de producción diaria de Explotación. Optimización: Por ejemplo: cuando se instala una Aplicación, normalmente está vacía, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicación se va poniendo cada vez más lenta; porque todas las referencias a tablas es cada vez más grande, la información que está moviendo es cada vez mayor, entonces la Aplicación se tiende a poner lenta. Lo que se tiene que hacer es un análisis de performance, para luego optimizarla, mejorar el rendimiento de dicha Aplicación. Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en
  • 16. realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de “filosofía” de calificación o evaluación: a. Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo) Ejemplo de Checklist de rango: Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable.
  • 17. 4 : Aceptable. 5 : Correcto. Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La cumplimentación de la Checklist no debe realizarse en presencia del auditado. Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor. El método de trabajo del auditor pasa por las siguientes etapas: · Alcance y Objetivos de la Auditoría Informática. · Estudio inicial del entorno auditable. · Determinación de los recursos necesarios para realizar la auditoría. · Elaboración del plan y de los Programas de Trabajo. · Actividades propiamente dichas de la auditoría. · Confección y redacción del Informe Final. · Redacción de la Carta de Introducción o Carta de Presentación del Informe final. Definición de Alcance y Objetivos El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final. Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática. Estudio Inicial
  • 18. Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente: Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en: 1) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia. 2) Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos. 3) Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinadles. 4. Flujos de Información: Además de las corrientes verticales interdepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extra departamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.
  • 19. 5. Número de Puestos de trabajo El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes. 6. Número de personas por Puesto de Trabajo Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización. Entorno Operacional El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos: a. Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. b) Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías.
  • 20. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. c. Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc. El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. d) Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa. Aplicaciones bases de datos y archivos El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: a. Volumen, antigüedad y complejidad de las Aplicaciones b. Metodología del Diseño Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. c. Documentación La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes.
  • 21. La documentación de programas disminuye gravemente el mantenimiento de los mismos. d. Cantidad y complejidad de Bases de Datos y Ficheros. El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática. Determinación de recursos de la auditoría Informática Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría. Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos. Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
  • 22. Para lo cual habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, etc. Proceso de auditoria Análisis Preliminar del Control Interno Este análisis reviste de vital importancia en esta etapa, porque de su resultado se comprenderá la naturaleza y extensión del plan de auditoría y la valoración y oportunidad de los procedimientos a utilizarse durante el examen. Análisis de los Riesgos y la Materialidad. El Riesgo en auditoría representa la posibilidad de que el auditor exprese una opinión errada en su informe debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa. En auditoría se conocen tres tipos de riesgo: Inherente, de Control y de Detección. El riesgo inherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever. El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no preveen o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles internos más efectivos. El riesgo de detección están relacionados con el trabajo del auditor, y es que éste en la utilización de los procedimientos de auditoría, no detecte errores en la información que le suministran. El riesgo de auditoria se encuentra así: RA = RI x RC x RD Esta clasificación de los riesgos en auditoría puede tener sus variantes; por ejemplo, en Taylor y Glezze se mencionan el riesgo alfa(riesgo del rechazo indebido) y el riesgo beta(riesgo de la aceptación indebida) La SAS No 39. Menciona el Riesgo Ultimo como una combinación de dos riesgos: el que se cometan errores de importancia en el proceso contable y el de que estos errores no sean detectados por el auditor. Se describe también como el riesgo de que en el saldo de una cuenta, exista un error monetario mayor que el que se pueda tolerar(Materialidad) y que el auditor no pueda detectarlo. La Materialidad es el error monetario máximo que puede existir en el saldo de una cuenta sin dar lugar a que los estados financieros estén sustancialmente deformados. A la materialidad también se le conoce como Importancia Relativa. Planeación Específica de la Auditoría. Para cada auditoría que se va a practicar, se debe elaborar un plan. Esto lo contemplan las Normas para la ejecución. Este plan debe ser técnico y administrativo. El plan administrativo debe contemplar todo lo referente a
  • 23. cálculos monetarios a cobrar, personal que conformarán los equipos de auditoría, horas Elaboración de Programa de Auditoría Cada miembro del equipo de auditoría debe tener en sus manos el programa detallado de los objetivos y procedimientos de auditoría objeto de su examen. Ejemplo: si un auditor va a examinar el efectivo y otro va a examinar las cuentas x cobrar, cada uno debe tener los objetivos que se persiguen con el examen y los procedimientos que se corresponden para el logro de esos objetivos planteados. Es decir, que debe haber un programa de auditoría para la auditoría del efectivo y un programa de auditoría para la auditoría de cuentas x cobrar, y así sucesivamente. De esto se deduce que un programa de auditoria debe contener dos aspectos fundamentales: Objetivos de la auditoria y Procedimientos a aplicar durante el examen de auditoria. También se pueden elaborar programas de auditoria no por áreas específicas, sino por ciclos transaccionales. Ejecución: En esta fase se realizan diferentes tipos de pruebas y análisis a los estados financieros para determinar su razonabilidad. Se detectan los errores, si los hay, se evalúan los resultados de las pruebas y se identifican los hallazgos. Se elaboran las conclusiones y recomendaciones y se las comunican a las autoridades de la entidad auditada. Aunque las tres fases son importantes, esta fase viene a ser el centro de lo que es el trabajo de auditoría, donde se realizan todas las pruebas y se utilizan todas las técnicas o procedimientos para encontrar las evidencias de auditoría que sustentarán el informe de auditoría. Técnicas y herramientas de recolección de datos Técnicas y herramientas de evaluación de datos Se utilizan múltiples herramientas y técnicas tradicionales de la auditoria También se deben conocer otras herramientas, técnicas y procedimientos específicos. Estas son algunas de las técnicas de auditoria computacional 1 guías de evaluación. 2 ponderaciones 3 modelos de simulación 4 evaluaciones 5 Diagramas del circulo de observación 6 lista de verificación 7 análisis de la diagramación 8 diagrama de seguimiento de la auditoria de sistemas computacionales 9 programas de revisión por computadora
  • 24. Normas y éticas profesionales El conjunto de normas éticas profesionales entendidas como los principios de orden moral que deben guiar la actuación de todo profesional, cobran una importancia especial tratándose del desempeño de los árbitros en controversias médicas. De esta manera se establecen las reglas de conducta para que los árbitros puedan garantizar a las partes un proceso institucional con estricto apego a la ética y promover un proceso arbitral confiable para la resolución de los conflictos. El proceso arbitral es un acto voluntario, en un terreno neutral e imparcial y ayuda a las partes en conflicto a resolver sus diferencias. El rol del árbitro consiste en facilitar el diálogo entre las partes promoviendo el entendimiento; las ayudará a identificar sus puntos de controversia y a buscar en forma creativa las distintas posibilidades para lograr un acuerdo satisfactorio entre las mismas. El respeto a las normas de ética profesional por parte de los árbitros tiene singular importancia, ya que constituye un vehículo esencial para mantener la dignidad de éstos y el prestigio de la institución como mecanismos alternativo de solución de conflictos, tomando siempre como base la misión institucional de propiciar relaciones sanas entre los profesionales de la salud y sus pacientes. El árbitro debe estar altamente calificado para que con una percepción humana pueda evitar la confrontación de las partes en conflicto con argumentos sólidamente sustentados en la les artis médica y apegados a derecho. Importancia de la ética del auditor Uno de los pilares fundamentales para el ejercicio de la profesión en cualquier parte del mundo, es “La Ética Profesional”, por ende, nuestra mayor atención y preocupación como auditores Autorizados debe centrarse en contar con los medios necesarios para dar a conocer los lineamientos básicos contenidos en el “Código de Ética Profesional” emitido por el Consejo Técnico Nacional de Auditoria y Contabilidad (CTNAC). Los auditores internos tenemos el compromiso de frenar las conductas inapropiadas, convertirnos en un dique de contención, en una barrera protectora; a través de promover la integridad y transparencia en todos los niveles de la organización y creando conciencia acerca de la importancia e impacto de este mal. Indiscutiblemente que para combatir los graves problemas de Ética que afectan a todas las entidades, tenemos la responsabilidad de contestar el llamado:
  • 25. Definición de la norma Las Declaraciones de Normas de Auditoría o SAS (Statements on Auditing Standards) son interpretaciones de las normas de auditoría generalmente aceptadas que tienen obligatoriedad para los socios del American Institute of Certified Public Accountants AICPA, pero se han convertido en estándar internacional, especialmente en nuestro continente. Las Declaraciones de Normas de Auditoría son emitidas por la Junta de Normas de Auditoría (Auditing Standard Board ASB). En Colombia las Normas de Auditoría de General Aceptación (NAGA) fueron elevadas a categoría de Normas Legales por el artículo séptimo de la ley 43 de 1990 el cual reza: De las normas de auditoría generalmente aceptadas: se relacionan con las cualidades profesionales del Contador Público, con el empleo de su buen juicio en la ejecución de su examen y en su informe referente al mismo. [Ley 43, 7° ] En otras palabras, aunque la Ley no plantea una definición propiamente dicha, se puede afirmar que las Normas de Auditoría de General Aceptación (NAGA) se consideran como el conjunto de cualidades personales y requisitos profesionales que debe poseer el Contador Público y todos aquellos procedimientos técnicos que debe observar al realizar su trabajo de Auditoría y al emitir su dictamen o informe, para brindarles y garantizarle a los usuarios del mismo un trabajo de calidad. Son normas de Auditoría todas aquellas medidas establecidas por la profesión y por la Ley, que fijan la calidad, la manera como se deben ejecutar los procedimientos y los objetivos que se deben alcanzar en el examen. Se refieren a las calidades del Contador Público como profesional y lo ejercitado por él en el desarrollo de su trabajo y en la redacción de su informe. Las normas de Auditoría se definen como aquellos requisitos mínimos, de orden general, que deben observarse en la realización de un trabajo de auditoría de calidad profesional. El SAS-1 trata en una forma amplia el tema de responsabilidades profesionales del auditor independiente. Estas responsabilidades son descritas en el contexto de las tres normas generales, las tres normas de ejecución del trabajo y las cuatro normas sobre la información. PRINCIPIOS Y VALORES ETICOS DE UN AUDITOR
  • 26. Los principios éticos son parte del comportamiento moral, de la cultura, de las virtudes, de la actitud y de la conducta de las personas en general, y de los profesionales en funciones específicas, en particular. La Dirección General de Control Interno considera que el comportamiento ético, así como las relaciones personales, es la base fundamental para el ejercicio de las atribuciones del Auditor Interno del I.P.A.P.C. La participación ética de los profesionales en funciones específicas y de los servidores públicos en general, se asegura respetando un conjunto de valores o principios morales. El Auditor Interno debe abstenerse de realizar cualquier acto cuando éste genere Conflicto con las disposiciones de este Código, las normas del Control Interno o el Marco de lealtad en el servicio del Instituto, o afecte negativamente la reputación de la Dirección, tomando en cuenta la importancia de la tarea que la Institución le Encomienda, que es la búsqueda de la verdad en forma totalmente objetiva. Está Impedido de participar en la administración Activa donde ejerce el control.