Cedula de trabajo
Los papeles de trabajo de auditoria administrativa: Son registros que mantiene el auditor de los procedimientos aplicados, pruebas desarrolladas, información obtenida y conclusiones pertinentes a que se llegó en el trabajo. Algunos ejemplos de papeles de trabajo son los programas de auditoria, los análisis, los memorandos, las cartas de confirmación y declaración, resúmenes de documentos de la compañía y cedulas o comentarios preparados y obtenidos por el auditor. Los papeles de trabajo también pueden obtener la forma de información almacenada en cintas, películas u otros medios.
ESCALAS DE MEDICION
Para consolidar la instrumentación es necesario que los hechos y datos que se recojan a través de los instrumentos se puedan evaluar relacionándolos con una medida. La definición de la escala de medición estará de acuerdo con el objetivo de la auditoría y los factores analizados. Al observar valores o características, desarrollamos un proceso de medición, es decir, que comparamos las variables y establecemos escalas de valores. Es un recurso que permite el proceso de evaluación mediante la valoración del comportamiento de las variables a evaluar mediante su desagregación en los cuestionarios. La valoración se lleva a cabo mediante asignación de puntuaciones o porcentajes a las variables asignándoles peso en función de las características de la organización auditada.
SUPERVISIÓN DE LA AUDITORIA
El auditor para realizar su trabajo, la mayoría de veces necesita ayudantes, los cuales deben ser supervisados adecuadamente. Las razones para realizar una apropiada supervisión sobre los asistentes radica en que la responsabilidad del auditor no puede de manera alguna ser delegada y al cliente que contrató la auditoría debe garantizársele un trabajo de calidad. Para lograr el cumplimiento de la supervisión, la primera Norma de Auditoría relativa a la ejecución del trabajo obliga al auditor a ejercer supervisión sobre sus ayudantes cuando reza: “El trabajo debe ser técnicamente planeado y debe ejercerse una supervisión apropiada sobre los asistentes si los hubiere»[Ley 43, 7°] La supervisión deberá ejercerse en todas las fases de la auditoría, durante laplaneación, la ejecución del trabajo y hasta la culminación del mismo. El grado de supervisión a aplicarle a cada asistente se relacionará con la capacidad de cada uno y su experiencia en la labor de auditaje. Una vez que el auditor ha establecido un adecuado sistema de supervisión podrá verificarlo, analizarlo, y corregirlo donde lo crea más conveniente.
OBTENCIÓN DE LA INFORMACIÓN
Una vez definido el objetivo, alcance, el tiempo, el presupuesto, y determinado el personal que llevará a cabo la auditoría administrativa, hemos terminado la etapa de planeación, y lo que prosigue es dar paso a la etapa de obtención de información, en esta etapa el auditor levantará información con el objeto de examinar y evaluar cómo se está aplicando el proceso administrativo, si se han alcanzado, cómo y en qué medida los objetivos, las políticas, los diferentes procesos que se llevan a cabo en la empresa, entre otros detalles a estudiar. La información que se levante, debe ser suficiente, confiable, válida y sistemática, de tal manera que le permita al auditor, llegar a conclusiones y elaborar recomendaciones con bases sólidas.A continuación se explicarán las diferentes técnicas que el auditor puede aplicar en la obtención de información.Entrevistas y cuestionarios Las entrevistas y los cuestionarios son técnicas que nos permiten recopilar información de campo. Entrevistas: Benjamín Franklin la define como: “consiste en reunirse con una o varias personas y cuestionarlas orientada mente para obtener información.” Para ello el auditor elaborará una guía de entrevista, la cual contendrá preguntas básicas sobre la información que se desea obtener de determinada área u puesto de la empresa, la base del diseño de cada entrevista dependerá del objetivo que el auditor quiera alcanzar y la información que desea obtener.Cuestionarios: Benjamín Franklin la define como: “se emplean para obtener información deseada en forma homogénea. Están constituidos por series de preguntas, escritas, predefinidas, secuenciadas y separadas por capítulos y temáticas” Observación directa El auditor al levantar la información debe tener especial cuidado en lo que se refiere a los hallazgos que puede recopilar a través de la observación. Estos datos los debemos sistematizar, es decir, registrar, si no pueden perder su validez, el registro de la observación lo podemos llevar a cabo, por ejemplo, en una auditoría de instalaciones por medio de lista de checado o check list, en donde escribiremos mediante una lista, el nombre de cada una de los elementos a auditar de las instalaciones de la empresa para ir “palomeando” el estado físico en que se encuentran las instalaciones.También el auditor puede registrar las observaciones mediante unas tarjetas “cédulas”, en donde asientan las observaciones y hallazgos que va levantando.Otras técnicas para obtener información El auditor puede obtener información acerca de la empresa o área auditada mediante la utilización del intranet, ese sistema de información mediante la utilización de redes de web con que cuentan algunas empresas, donde el auditor puede acceder a información sobre: la operación de la empresa, capital mano, proveedores, clientes, acreedores, servicio al cliente, entre otros.
Examen de Auditoria 2.1 Fases de la Auditoria Primera Fase: Planeación de la auditoria de sistemas computacionales1. Identificar el origen de la auditoria:
Lo primero es saber por qué surge la necesidad o inquietud de realizar una auditoria ¿Donde? ¿Porque? ¿Quien?
2. Realizar una visita preliminar al área que será evaluada:
Es recomendable que el auditor realice una visita preliminar al área de informática que será auditada, justo después de conocer el origen de la petición de auditoria, y antes de iniciarla formalmente.
3. Establecer los objetivos de la auditoria:
Ya que se realizó lo anterior es importante establecer lo más claramente posible los objetivos de la auditoria, ajustándose lo más posible a las necesidades de la evaluación.
4. Determinar los puntos que serán evaluados en la auditoria:
Ya que se realizó el origen de la auditoria y se establecieron los objetivos sigue determinar los puntos concretos que serán evaluados. Ejemplo: La gestión administrativa e informática del centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, etc.
5. Elaborar planes, programas y presupuestos para realizar la auditoria: Es decir que deben elaborar los documentos que contemplen los planes formales para el desarrollo de la auditoria, los programas en donde se delimiten perfectamente las etapas, eventos, actividades y los tiempos de ejecución para cumplir con el objetivo, así como los presupuestos de la auditoria.
6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria:
El siguiente paso es determinar los documentos y medios con los cuales se llevara a cabo la revisión a los sistemas de la empresa, lo cual lograra a través de la selección o diseño de los métodos, procedimientos, herramientas e instrumentos necesarios, de acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la auditoria.
7. Asignar los recursos y sistemas computacionales para la auditoria:
Ya que se realizó lo anterior el siguiente paso es asignar los recursos que serán utilizados para realizar la auditoria, de acuerdo con los aspectos ya establecidos con anterioridad Segunda Fase: Ejecución de la auditoria de sistemas computacionales1. Realizar las acciones programadas para la auditoria:
Cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseñadas, en la cronología que le fue asignada cada una.
2. Aplicar los instrumentos y herramientas para la auditoria:
conforme a la guía de auditoria, se tienen que utilizar, uno a uno, los instrumentos y erramientas elegidos para llevar acabo la evaluación, ya sea mediante la recopilación y análisis de información, la observación, las pruebas y simulación de los sistemas, o mediante cualquier otro instrumento de los que se diseñaron previamente para esta revisión.
3. Identificar y elaborar los documentos de desviaciones encontradas:
Ya que se realizaron las actividades anteriores, entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, así como las responsables de solucionar dichas desviaciones y posibles fechas para hacerlo.
4. Elaborar el dictamen preliminar y presentarlo a discusión:
Ya que se encontraron las desviaciones, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de laempresa.5.
Integrar el legajo de papeles de trabajo de la auditoria:
El auditor tiene la obligación de conservar en el llamado legajo de papeles de la auditoria cada uno de los instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el caso, las observaciones reportadas.
Tercera Fase: Dictamen de la auditoria de sistemas computacionales1. Analizar la información y elaborar un informe de situaciones detectadas:
Es el análisis de los papeles de trabajo y la elaboración en borrador de las llamadas situaciones detectadas; el propósito es que el auditor elabore su borrador y comente las desviaciones con los auditados. Después de comentarlas, debe elaborar las modificaciones pertinentes, así como el informe definitivo de las situaciones encontradas.
2. Elaborar el dictamen final:
El auditor debe terminar de elaborar el informe de auditoría de sistemas y complementarlo con el dictamen final (opinión del auditor), y después presentarlo a los directivos del área de sistemas auditada para que conozcan la situación actual de dicha área, antes de presentarlo al responsable de la empresa.
3. Presentar el informe de auditoria:
El último paso de esta metodología que hemos estudiado, es presentarle formalmente el dictamen de la auditoria al más alto directivo de la empresa, con el propósito de informarle los resultados de dicha auditoria.
2.1.1 Planeación
Es el proceso de decir de antemano que se hará y de qué manera se hará. Incluye determinar la misión global, identificar los resultados claves y fijar los objetivos específicos, así como políticas para el desarrollo, programas y procedimientos para alcanzarlos 2.1.2 Revisión Preliminar:
La revisión preliminar se pretende obtener información necesaria para que el auditor pueda tomarla decisión de cómo proceder en la auditoria. La revisión preliminar significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, entrevistas o documentación narrativa. La información obtenida sólo será una información inicial que nos permitirá elaborar el plan de trabajo, que se profundizará en el desarrollo de la auditoria.
Diferencias de la Revisión preliminar elaborada por un Auditor Interno a la de un Auditor Externo
El auditor interno normalmente requiere de menos revisiones y trabajos, ya que el esparto de la organización. El auditor externo se enfoca más en las causas de las pérdidas y en los controles necesarios para justificar sus decisiones. Cuando el auditor interno supone serias debilidades en los controles internos, continúa con la fase de revisión detallada para señalar recomendaciones para mejorar los controles internos.
2.1.3 Revisión Detallada
Los objetivos de esta fase son los de obtener la información necesaria para que el auditor tenga conocimiento acerca de los controles usados dentro del área de informática. En algunos casos el auditor puede, después de hacer un análisis detallado, decidir que con los controles internos se tiene suficiente confianza, en caso contrario debe señalar las recomendaciones para mejorar los controles de los sistemas.
2.1.4 Exámenes y Evaluaciones de la Información
Los auditores internos deberán obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoria. El proceso de examen y evaluación de la información es el siguiente: 1. Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoria. 2. La información deberá ser suficiente, competente, relevante y útil para que proporcione bases sólidas en relación con los hallazgos y recomendaciones de la auditoria.
3 Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadístico, deberán ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieran.4.El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo. 5 Los documentos de trabajo de la auditoria deberán ser preparados por los auditores y revisados por la gerencia de auditoria. Estos documentos deberán registrar la información obtenida y el análisis realizado. Los auditores deberán reportar los resultados del trabajo de auditoria. El auditor deberá discutirlas conclusiones y recomendaciones en los niveles apropiados de la administración antes de emitir su informe final. El trabajo de auditoria interna y externa deberá coordinarse para asegurar la adecuada cobertura y minimizar la duplicidad de esfuerzos. El director de auditoria interna en informática deberá establecer y mantener un programa de control de calidad para evaluar las operaciones del departamento de auditoria interna.
2.1.5 Pruebas de Control de Usuario
En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticos, porque el usuario ejerce controles que compensan cualquier debilidad existente. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevista y evaluaciones hechas directamente al usuario.
2.1.6 Pruebas Sustantivas
El objeto de esta fase es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones. Pruebas sustantivas:Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Confirmación de datos confidentes externos Prueba para confirmar la adecuada comunicación Pruebas para determinar falta de seguridad Pruebas para determinar problemas de legalidad