Beruflich Dokumente
Kultur Dokumente
Planeación de la Auditoría
Fases de la Auditoría
Las auditorias relacionadas con el uso económico y eficiente de los recursos deberán
identificar situaciones tales como:
Subutilización de instalaciones.
Trabajo no productivo.
Procedimiento que no justifican su costo.
Exceso o insuficiencia de personal.
Uso indebido de las instalaciones.
Los auditores deberán revisar las operaciones o programas para cerciorarse si los
resultados son consistentes con los objetivos y metas establecidos y si las operaciones o
programas se llevan a cabo como se planearon.
Dentro de una auditoria en general, la planeación es uno de los pasos más importantes,
ya que una inadecuada planeación provocara una serie de problemas más que pueden
impedir que se cumpla con la auditoria o bien hacer que no se efectué con el
profesionalismo que debe tener cualquier auditor
La planeación deberá ser documentada e incluirá:
Para lograr una adecuada planeación, lo primero que se requiere es obtener información
general sobre la organización y sobre la función informática a evaluar. Para ello es preciso
hacer una investigación preliminar y algunas entrevistas previas, y con base en esto
plantear el programa de trabajo, el cual deberá incluir tiempos, costos, personal necesario
y documentos auxiliares a solicitar o formular durante el desarrollo de la auditoria.
Metas
Programas de trabajo de auditoría
Planes de contratación de personal y presupuesto financiero
Informes de actividades
Revisión Preliminar
Revisión Detallada
En esta fase se busca obtener la información necesaria para que el auditor tenga un
profundo entendimiento de los controles utilizados dentro del área de informática. Es
importante para el auditor identificar las causas de las perdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y los efectos causados por éstas. Al
terminar el proceso detallado el auditor deberá decidir en qué momento los controles
establecidos reducen las perdidas esperadas a un nivel aceptable. Cabe destacar que los
métodos utilizados para la obtención de información al momento de realizar la evaluación
detallada son los mismo que en la investigación preliminar, y lo único que difiere es la
profundidad con que se obtiene la información y se evalúa.
Examen y Evaluación de la Información
Los auditores deberán reportar los resultados del trabajo de auditoria. El auditor deberá
discutir las conclusiones y recomendaciones en los niveles apropiados de la
administración antes de emitir su informe final.
Los informes deberán ser objetivos, claros, concisos, constructivos y oportunos. Los
informes presentaran el propósito, alcance y resultados de la auditoria y, cuando se
considere apropiado, contendrá la opinión del auditor.
Pruebas de Consentimiento
En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de
las instalaciones informáticas, debido a que el usuario ejerce controles que compensan
cualquier debilidad dentro de los controles internos de informática. En ocasiones como
esta, se pueden realizar cuestionarios, entrevistas y evaluaciones hechas directamente
con los usuarios que ayuden a compensar dichas deficiencias.
Pruebas Sustantivas
El objetivo de esta fase es obtener evidencia suficiente que permita al auditor emitir su
juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el
procesamiento de la información. Se pueden identificar ocho diferentes pruebas
sustantivas
Una de las maneras de evaluar la importancia que puede llegar a tener para la
organización un determinado sistema, es considerar el riesgo que implica el no utilizarlo
adecuadamente, como puede ser la pérdida de información o la mala manipulación del
sistema por parte de personas ajenas a la organización.
Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a lo siguiente:
Investigación Preliminar
Antes de iniciar cualquier trabajo de auditoría, es necesario realizar como primer contacto,
un trabajo que permita la obtención de datos para tener una idea global de lo que se vaya
hacer, en este caso auditar. El objetivo de esto, es percibir rápidamente las estructuras
fundamentales y diferencias entre el organismo a auditar y otras organizaciones que sea
hayan investigado.
La investigación preliminar consta de dos fases: evolución del control gerencial y del
control de las aplicaciones. Durante la revisión de los controles gerenciales el auditor
debe tomar en cuenta la organización, las políticas y prácticas gerenciales usadas en
cada uno de los niveles, dentro de la jerarquía de la instalación en la cual se encuentran
los equipos de cómputo. Durante la revisión de los controles de las aplicaciones, el auditor
deberá conocer los controles ejercidos sobre el mayor tipo de transacciones que fluyen a
través de los sistemas de aplicaciones más significativos dentro de la instalación de
dichos equipos.
Se debe recolectar información para obtener una visión general del departamento por
medio de herramientas tales como: la observación, las entrevistas y solicitudes de
documentos; con la finalidad de definir el objetivo y alcance del estudio, así como el
programa detallado de la investigación.
Personal Participante
Uno de los diagramas aceptados para tener un adecuado control es que el personal que
intervenga esté debidamente capacitado, que posea un alto sentido de moralidad, al cual
se le exija la optimización de recursos (eficiencia) y se le retribuya justamente por su labor
realizada.
Con estas bases debemos considerar los conocimientos, la práctica y la capacitación que
debe tener el personal que participara en la auditoria. Hay que tomar en cuenta que hay
personal asignados por la organización y personal asignados por los usuarios; estos
primeros deberán tener el suficiente nivel para poder coordinar el desarrollo de la
auditoria, en tal sentido, proporcionar toda información que se solicite y programar las
reuniones y entrevistas requerida; y los segundos, para el instante que se requiera
alguna información, o bien sea, efectuar alguna entrevista de comprobación de hipótesis,
nos proporcionen aquello que se esté solicitando, ya que se debe analizar no solo el
punto de vista de la dirección de informática, sino también el del usuario de sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoria, se
deben tener personal con características como:
Técnico en informática
Conocimiento de administración, contaduría y finanzas
Experiencia en el área de informática
Experiencia en operación y análisis de sistemas
Conocimiento de los sistemas más importantes.
Es de mencionar, que para el caso de sistemas más complejos se debe contar con
personal con conocimientos y experiencias en áreas más específicas tales como: base de
datos, redes, comunicaciones, entre otros.
Referencias bibliográficas
Echenique García, José Antonio: Auditoria en Informática, Mc Graw Hill, 2 edición, pp.25-
42