• Author / Uploaded
• carlos

Citation preview

Tópicos generales Planeación del área a auditar La auditoría de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: 1. Evaluación de los sistemas y procedimientos. 2. Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Riesgos y contingencias más comunes Planificación de la auditoria La planificación es la primera fase del proceso de la auditoria y de ello dependerá la eficiencia y efectividad del logro de los objetivos propuestos, utilizando los recursos estrictamente necesarios. La planificación debe ser cuidadosa, creativa, positiva e imaginaria, debe considerar alternativas y seleccionar los métodos más apropiados para realizar las tareas, por tanto esta actividad debe recaer en los miembros más experimentados del grupo. La planificación de una auditoria comienza con la obtención de información necesaria para definir la estrategia a emplear y culmina con la definición detallada de las tareas a realizar en la fase de ejecución. La planificación de cada auditoria se divide en dos fases, denominados planificación preliminar y planificación especifica.

En la planificación preliminar, se determinará la estrategia a seguir en el trabajo, a base del conocimiento acumulado e información obtenida del ente a auditar; mientras que en la planificación específica se define tal estrategia mediante la aplicación de los procedimientos específicos por cada componente y la forma en que se desarrollara la auditoria en las siguientes fases. En un trabajo que se realiza por primera vez, no existe conocimiento acumulado y por lo tanto, la etapa de planificación demandará un esfuerzo de auditoría adicional.

Planificación de la auditoria La planificación de la auditoría es la etapa más importante de un encargo exitoso, pues busca que este se realice de manera eficiente y eficaz. Durante la planificación, el auditor discute los elementos del encargo con la dirección de la entidad, pero sin comprometer su eficacia. Beneficios que resultan de realizar una buena planificación son los siguientes:       

Prestar la atención adecuada a las áreas importantes. Identificar y resolver oportunamente los problemas potenciales. Facilitar la selección del equipo de trabajo, con los niveles de capacidad y competencia idóneos para responder a los riesgos previstos. Asignar el trabajo a los asistentes de forma apropiada. Posibilitar la dirección y supervisión de los miembros del equipo y la revisión de su trabajo. Permitir la coordinación del trabajo realizado por auditores y expertos, cuando sea el caso.

Aspectos que deben considerarse En la planificación de la auditoría el auditor debe considerar: El conocimiento general del marco normativo aplicable a la entidad: cuando se trata de una auditoría de estados financieros debe identificarse el grupo de aplicación de Estándares Internacionales en el que se encuentre clasificada la entidad (que puede ser del grupo 1 que aplica el Estándar Pleno, del grupo 2 que aplica el Estándar para Pymes, o del grupo 3 que aplica contabilidad simplificada). La determinación de la materialidad o la importancia relativa. La participación de expertos. Esto último, en caso de que se requiera debido a que el encargo abarca un área en la que el auditor no tiene el suficiente conocimiento y experiencia.

Los procedimientos analíticos necesarios para la valoración del riesgo. La aplicación de cualquier otro procedimiento para la valoración del riesgo. “el auditor puede discutir algunos elementos con la dirección de la entidad, teniendo cuidado de no poner en discusión aspectos que comprometan la eficacia de la auditoría” En la planificación del encargo, el auditor puede discutir algunos elementos con la dirección de la entidad, teniendo cuidado de no poner en discusión aspectos que comprometan la eficacia de la auditoría. Adicionalmente, el auditor debe realizar las siguientes actividades:  

 



Identificar el alcance de la auditoría. Determinar los objetivos de la auditoría en relación con los informes a emitir, para establecer el momento de realización de la auditoría y la naturaleza de las comunicaciones requeridas. Considerar los factores que, a juicio profesional del auditor, sean significativos para la dirección de las tareas del equipo que realizará la auditoría. Considerar los resultados de las actividades preliminares de la auditoría, es decir, las relacionadas con la evaluación de la continuidad de las relaciones con el cliente, el cumplimiento de los requisitos de independencia y conflicto de intereses y la aceptación de los términos del encargo. Determinar la naturaleza, el momento de utilización y extensión de los recursos necesarios para realizar la auditoría.

Estrategia de auditoría La estrategia de auditoría es el documento en el que se reflejan las actividades que se explicaron en el punto anterior. Dicho esto, el auditor debe establecer la estrategia de la auditoría con la cual, luego de haber finalizado la aplicación de los procedimientos de valoración del riesgo, pueda definir cuestiones como los recursos necesarios a emplear en áreas específicas sometidas a examen, el momento en el que se van a emplear dichos recursos, así como su gestión, dirección y supervisión (al respecto, le recomendamos consultar nuestra publicación Estrategia global para encargos de auditoría. Plan de auditoría “el plan de auditoría debe ser más detallado que la estrategia de auditoría, puesto que en este se incluye la naturaleza, el momento de realización y la extensión de los procedimientos de auditoría” Una vez elaborada la estrategia de la auditoría, se debe diseñar un plan de auditoría en el que se desarrollen los aspectos identificados en el primer documento, teniendo como prioridad la consecución de los objetivos de la auditoría mediante la utilización eficiente de los recursos.

Por lo anterior, el plan de auditoría debe ser más detallado que la estrategia de auditoría, puesto que en este se incluye la naturaleza, el momento de realización y la extensión de los procedimientos de auditoría que se aplicarán durante su ejecución. Actividades preliminares Al iniciar el encargo, el auditor debe evaluar el cumplimiento de los requerimientos de ética relativos a la independencia y establecer los términos de la auditoría. La realización de estas actividades facilita la identificación y el examen de situaciones que puedan afectar de manera negativa la capacidad para planificar y desarrollar adecuadamente la auditoría, evita que se generen malentendidos con el cliente y protege al auditor frente a incumplimientos que puedan generarle sanciones disciplinarias por parte de la Junta Central de Contadores –JCC–. Documentación de la auditoría La documentación de la auditoría sirve como registro de la naturaleza, el momento de realización y la extensión de los procedimientos de valoración del riesgo planificados. En la documentación el auditor debe incluir: La estrategia de auditoría. El plan de auditoría. Los cambios significativos que se realicen en la estrategia, el plan o el desarrollo de la auditoría, así como los motivos que dieron origen a dichos cambios. Este paso es muy importante para el auditor, debido a que se convierte en la única forma de probar que realizó el trabajo adecuadamente. Recordemos que el artículo 9 de la Ley 43 de 1990 establece que el contador público debe dejar constancia de las labores realizadas para emitir su juicio profesional, los cuales pueden ser examinados por las autoridades estatales y deben conservarse por un término mínimo de cinco (5) años contados a partir de su fecha de elaboración. Riesgos y materialidad de auditoria Se puede definir los riesgos de auditoria como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.

Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. Técnicas de evaluación de riesgos Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoria. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoria se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoria a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoria se relaciona con la organización global de la empresa así como los planes del negocio. Objetivos de controles y Objetivos de auditoria El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoria es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Procedimientos de auditoria Algunos ejemplos de procedimientos de auditoria son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas. Evaluación de fortalezas y debilidades de auditoria. Luego de desarrollar el programa de auditoria y recopilar evidencia de auditoria, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados. La Matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control.

En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoria. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello. Seguimiento de las observaciones de auditoria. El trabajo de auditoria es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoria si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoria. El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema.