Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tomado de la
CGR para fines
acadmicos.
PLANIFICACIN...........................................................................................................................................
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
1.11
1.12
B)
C)
1.13
1.14
EXAMEN.......................................................................................................................................................
B)
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
3
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
4
4.1
4.2
4.3
4.4
Tomado de la
CGR para fines
acadmicos.
Introduccin
Las auditoras de tecnologas y sistemas de informacin, se realizarn de acuerdo con la
metodologa planteada en este documento, las normas aplicables sobre la materia y las
guas y lineamientos que se establezcan.
Es importante sealar, que para el desarrollo de una auditora de tecnologas y sistemas
de informacin (TI/SI), se utilizar una metodologa similar a la de Auditora Operativa, con un
enfoque de auditora orientado hacia los resultados, salvo que el tipo de estudio requiera otro
enfoque.
El proceso de la auditora (TI/SI) comprende las siguientes cuatro etapas:
1.
2.
3.
4.
Planificacin
Examen
Comunicacin de Resultados
Seguimiento
FASE I PLANIFICACIN
La etapa de planificacin debe considerarse la etapa ms importante del proceso de la
auditora, por cuanto de ella depende el xito del trabajo de auditora. Una adecuada
planificacin permite asegurar que se preste la atencin apropiada a reas importantes,
se identifiquen los problemas potenciales y el trabajo es completado en forma expedita y
la apropiada asignacin y coordinacin del trabajo de los integrantes del equipo.
El grado de planificacin variar de acuerdo con el tamao de la entidad objeto de
auditora, la complejidad del estudio, la experiencia que posea el auditor y el
conocimiento que tenga el auditor de la entidad por fiscalizar.
a) Objetivos de la Planificacin
Los objetivos de la planificacin son:
Fases de la Planificacin
Tomado de la
CGR para fines
acadmicos.
El Gerente de Area seleccionar el coordinador del equipo que realizar el estudio. Para
efectuar la seleccin del coordinador, el Gerente considerar entre otras cosas el grado
de dificultada o complejidad del estudio, as como el conocimiento y experiencia que
poseen los funcionarios de su rea.
Asignacin del trabajo
El Gerente de rea designa formalmente al coordinador del equipo. Posteriormente, en
forma conjunta el Gerente y el Coordinador evaluarn la necesidad de recurso humano
adicional para desarrollar la fase de planificacin considerando las prioridades de trabajo,
la carga de trabajo asignada a los funcionarios, la disponibilidad de personal, la
complejidad de la auditora y los conocimientos requeridos para efectuar el estudio.
El nivel directivo procede a girar la instruccin al asistente administrativo del rea para
que registre inicio del trabajo en el control de procesos.
El Coordinador del Grupo se rene con los integrantes del equipo y les comunica
formalmente la asignacin del estudio, as como las fechas de inicio y finalizacin del
mismo. Adems, en esa reunin se procede a definir el objetivo u objetivos del estudio
(general y especficos), los resultados y productos esperados.
El equipo de auditora confecciona un plan general para la ejecucin del estudio,
detallando todas las actividades por desarrollar utilizando para ello la herramienta
escogida al efecto.
Elaboracin del programa para la revisin preliminar
Una de las primeras actividades que debe ser acometida por el equipo de auditora luego
de ser designado es realizar una revisin preliminar, la cual por lo general se realizar en
la oficina. La revisin preliminar tiene como propsitos:
El equipo designado elabora un programa para llevar a cabo la revisin preliminar. Dicho
programa contendr:
El objetivo de esta fase.
El alcance de la fase (comprende: mbito, perodo y normativa). En este debe
definirse con toda precisin el entorno y los lmites en que va ha desarrollarse
la auditora y se complementa con los objetivos de esta. Indefinicin en el
alcance compromete el xito de la auditora.
Los procedimientos a ejecutar.
Los recursos necesarios para ejecutar el referido programa.
Identificacin de las fuentes de informacin internas y externas
Para preparar el programa es imprescindible estudiar la informacin disponible en el
Sistema de Conocimiento de la Entidad (SICOEN) para determinar aquellos aspectos del
Tomado de la
CGR para fines
acadmicos.
perfil institucional que se deben actualizar, con el fin de cubrir los requerimientos de
informacin para la ejecucin del estudio.
Presentacin y traslado del equipo a la entidad fiscalizada
El equipo de auditora designado efecta una reunin inicial en la entidad objeto de
estudio, con el fin de presentarse formalmente con el mximo jerarca, enterarlo del
trabajo por realizar, solicitarle un espacio fsico para ubicarse en la institucin y coordinar
cualquier otro aspecto que se estime importante para la realizacin del estudio. Luego
que se efecte dicha reunin el equipo se trasladar a la institucin e iniciar el trabajo.
Esta fase requiere de la realizacin de las siguientes actividades:
Solicitar audiencia para realizar reunin.
Confeccionar una nota de presentacin a la entidad a fiscalizar.
Efectuar la reunin de presentacin del equipo (en esta reunin se comunica el
objetivo de a auditora y se solicita colaboracin para realizar el estudio. Se
discuten aspectos considerados importantes para la auditora, se identifican
eventos o legislacin importante para el estudio y se obtiene informacin sobre
aquellas reas particulares a las que la Administracin le gustara que el
equipo le prestara particular atencin en relacin con el objetivo de auditora).
Solicitar espacio en la institucin para ubicarse.
Traslado y ubicacin en la oficina designada en la institucin por auditar.
Ejecucin del programa de Revisin Preliminar
En esta fase el equipo de auditora ejecuta el programa de revisin preliminar y con base
en los resultados obtenidos actualiza el sistema de conocimiento de la entidad (SICOEN)
y define las reas de indagacin.
Los primeros esfuerzos que el equipo de auditora realizar al iniciar la ejecucin de la
revisin preliminar, se dirigirn a establecer contactos estratgicos con la auditora
interna y otras unidades claves de la institucin. Adems, se contactarn aquellas
unidades de la institucin con las cuales se tendr que tener relacin directa durante el
estudio.
La realizacin de contactos es de suma importancia, pues permitir una coordinacin de
las actividades de auditora por realizar, tendente a evitar la duplicacin de esfuerzos, as
como para lograr la participacin y apoyo de la auditora interna y administracin de la
entidad en la ejecucin del estudio.
Algunas actividades que deben realizarse en esta fase:
Visitas a las instalaciones para hacer observaciones del aspecto por auditar y el
ambiente en el que opera.
Entrevistas con la administracin superior (preparar agendas especficas,
reuniones y documentar su ejecucin).
Revisin de documentos significativa. Es esencial para desarrollar la estrategia de
la auditora. Es importante revisar la normativa que regula el ente auditado,
organigrama, polticas institucionales, el plan estratgico, plan anual operativo, el
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
el Sistema de Evaluacin del Riesgo SER, los cuales permitirn establecer un criterio
sobre cuales son las reas de mayor riesgo o criticidad y que por ende constituirn
reas de potencial inters de indagacin en la siguiente fase de la auditora.
Productos de la revisin preliminar
Al finalizar la revisin preliminar, con base en los resultados obtenidos, el equipo de
auditora podr emitir al menos dos productos:
Un informe interno para comunicar a la Gerencia de Area, los aspectos importantes
determinados y las actividades futuras de la auditora. Dicho informe debe ser discutido
oportunamente con la Gerencia de Area, con el fin de obtener de ella su criterio y
observaciones sobre los resultados. El informe en mencin contendr lo siguiente :
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
por la entidad fiscalizada en cuyo caso el fiscalizador debe estar satisfecho con dichos
documentos.
Los papeles de trabajo deben ser clasificados y retenidos en dos archivos de auditora
a saber Archivo Permanente y Archivo Peridico y el contenido de cada uno de
esos archivos ser el siguiente:
a) El Archivo Permanente contendr los documentos de importancia para estudios
futuros y debern ser actualizados al inicio de nuevos estudios, la con informacin
obtenida en la Revisin Preliminar.
b) El Archivo Peridico contendr informacin que se relaciona con cada estudio
particular.
Los papeles de trabajo se retendrn de acuerdo con los requisitos legales y
profesionales de retencin de documentacin, por un perodo suficiente para satisfacer
las necesidades de la oficina.
EXAMEN
Evaluacin de Controles.
Esta fase, consiste en realizar un mapeo del universo de controles asociados a cada
uno de los procesos que se ejecutan en las reas seleccionadas como reas de
potencial inters, con el fin de determinar los controles aplicables en operacin.
Identificados los controles en operacin, stos son evaluados mediante la aplicacin de
guas o listas de verificacin, diagramas de flujo, cuestionarios de control, alguna
tcnica de auditora asistida por computadora u otras pruebas identificadas para el
efecto, con el fin de establecer si los controles estn diseados, as como su
cumplimiento y efectividad.
Calificacin del Riesgo y Confeccin de la Matriz de Riesgo
Conjuntamente con la identificacin de los controles asociados a cada uno de los
procesos que se ejecutan en las reas seleccionadas como reas de potencial inters,
se deber hacer una evaluacin de los riesgos asociados, la cual permitir establecer
una calificacin de los riesgos asociados a cada una de esas reas.
Al realizar la calificacin del riesgo al que se encuentran expuestas cada una de las
diferentes reas de potencial inters, se deben valorar distintos escenarios de
cumplimiento de los controles relacionados a cada una de ellas (por ejemplo: bueno,
regular, malo). A cada uno de esos escenarios se debe asignar un valor y un peso en
concordancia con lo establecido en la normativa que al efecto se dicte sobre gestin de
riesgos.
Los resultados obtenidos en la calificacin del riesgo efectuada para cada control
evaluado deben ser cuantificados, sintetizados y tabulados en un documento
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
Efecta una comparacin entre la relevancia de las labores y el tiempo requerido, para lo
cual realiza un anlisis de costo/beneficio entre el costo estimado del trabajo y los
objetivos de auditora.
Tomado de la
CGR para fines
acadmicos.
Obtener evidencia sobre las reas crticas y desarrollar opinin y sentido crtico
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
2.6
Redaccin del borrador de los resultados del informe para presentacin a la administracin.
Luego de realizar la discusin de los resultados con la Gerencia de Area, se procede a
redactar en borrador del informe de auditora respectivo, de conformidad la estructura
definida y las normas establecidas, el cual servir como base para la presentacin de los
resultados a la administracin.
El borrador del informe debe elaborarse de tal forma que la informacin sea presentada
en forma clara y concisa. Adems, debe contener los soportes suficientes y convincentes
para soportar las conclusiones y recomendaciones.
El borrador del informe una vez confeccionado debe ser revisado, discutido y aprobado
en el seno del equipo de auditora. Asimismo, en caso de que el Gerente lo considere
necesario ser nuevamente sometido a conocimiento de la Gerencia para obtener de ella
sus observaciones y sugerencias finales.
2.7
Tomado de la
CGR para fines
acadmicos.
COMUNICACIN DE RESULTADOS
El objetivo de est etapa de comunicacin de resultados es dar a conocer los principales
resultados obtenidos a la administracin de la entidad y otros usuarios de los productos
de auditora.
Es importante destacar que el proceso de comunicacin tanto a lo interno del equipo de
auditora como con la entidad fiscalizada, se mantiene a travs de la ejecucin de todo el
proceso de la auditora. Por lo anterior, es importante sealar, que las actividades que
aqu se comentan corresponden a la comunicacin final de los resultados a la entidad
auditada y a otros usuarios de los productos de auditora.
La comunicacin final de resultados se realizar de dos formas, en forma oral
inicialmente y escrita posteriormente, tanto a la administracin de la entidad fiscalizada,
como a aquellos clientes y usuarios que se estime conveniente informarles.
Para efectos de esta metodologa la etapa de comunicacin de resultados comprender
las siguientes fases:
Definicin de la estrategia de comunicacin de resultados y elaboracin de la presentacin
Las primeras acciones que el equipo de auditora acomete en esta fase es la relativa a
la discusin y definicin de la estrategia que seguir para comunicar (en forma oral
inicialmente y escrita posteriormente) los principales resultados de la auditora, as
como las recomendaciones y/o disposiciones que se van a girar en el informe a la
entidad fiscalizada y/o clientes.
La definicin de la estrategia a seguir para la comunicacin de resultados podra
requerir que el equipo se rena una o varias veces, dependiendo de la complejidad,
naturaleza y amplitud de lo que se vaya a comunicar.
Una vez definida la estrategia que se va a utilizar para la presentacin de resultados, el
equipo de auditora dedicar sus esfuerzos a planear y elaborar la presentacin oral de
resultados a la administracin.
Las tareas fundamentales que el equipo realizar en esta fase comprenden lo siguiente:
a)
b)
c)
d)
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
e) Gerente de Area.
f)Cualesquiera otros funcionarios de la CGR que sean requeridos.
La participacin en la reunin del nivel jerrquico superior de la entidad fiscalizada y de
los directivos encargados del manejo de las operaciones es fundamental para motivar la
implementacin de las disposiciones y recomendaciones y para que tengan la
oportunidad de manifestar su criterio sobre las situaciones informadas. Tambin es
fundamental, y casi obligatoria, tanto la participacin de los gerentes o directores
generales que tengan a su cargo las unidades involucradas en el examen del sujeto
estudiado como del auditor interno, para involucrarlos en la discusin de las
recomendaciones que se van a girar, a los primeros y en la auditora del seguimiento
correspondiente a los aspectos contemplados en el informe, al segundo. En esta
reunin los funcionarios participantes de la entidad fiscalizada podrn presentar sus
comentarios, opiniones e informacin documental pertinente sobre los asuntos
contenidos en el borrador del informe.
La invitacin de los funcionarios de la entidad, Gerente de Area y cualesquiera otra
persona que se estime pertinente citar a la reunin, se efectuar mediante el envo
de una Convocatoria que contendr una agenda de los principales puntos por tratar
en la reunin. Dicha convocatoria (as como un resumen de los resultados cuando
se estime preciso) se enviar con antelacin a la realizacin de la reunin
mencionada para que los funcionarios invitados tengan la oportunidad de prepararse
y asesorarse.
La realizacin de la junta conlleva poner en marcha la planificacin realizada por el
equipo; sin embargo debe recordarse tomar en cuenta los siguientes aspectos:
a) La agenda establecida previamente define el curso de la reunin;
b) El proceso es participativo y por lo tanto debe promoverse el intercambio de
ideas;
c) La creacin de un ambiente positivo para la discusin y escucha de las ideas de
los fiscalizados por parte de los expositores;
d) Los modales de los oradores y la forma de presentar la informacin;
e) La presentacin del Gerente de Area;
f)La explicacin del objetivo de la junta y de las reglas de juego;
g) La presentacin de los participantes;
h) La explicacin del papel del moderador;
i)La utilizacin amplia del apoyo audiovisual y de las tecnologas de informacin;
j)La relevancia a los hechos e ideas claves;
k) La negociacin de los puntos en discusin y no entrar en debates que conlleven
a las respuestas emocionales y defensivas y al tono alto en las discusiones; y
l)Preparacin del papel del expositor: evitar movimientos excesivos, cuidarse con el
lenguaje no verbal (gestual), mantener contacto visual y un volumen de voz que
permita escuchar claramente al auditorio e inspirar sinceridad.
En la ejecucin de la presentacin de resultados, principalmente de aquellas
auditoras relevantes y complejas, la participacin del Gerente de Area es
fundamental, pues reviste de importancia la actividad y da respaldo y apoyo al
trabajo realizado por el equipo de auditora.
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.
que regula su calidad y a la vez cumplir con unos requisitos mnimos que prevn la
existencia de uniformidad en su presentacin.
No existe una estructura nica o estndar para la presentacin del informe final de
auditora, sin embargo, dicho documento debe incluir al menos las siguientes partes:
a) Introduccin: Incluye la informacin relativa a los antecedentes, el alcance del
estudio, las limitaciones que se presentaron para llevarlo a cabo.
b) Resultados: contiene el desarrollo de los hallazgos de auditora detallando aqu los
componentes de los mismos (condicin, criterio, causa y efecto).
c) Conclusiones: estn referidas a, por lo general a cada componente desarrollado
durante la auditora o parte de ella, en estas se consigna la posicin de la CGR
sobre lo auditado, fundamentndose en la medida de lo posible en los efectos
cuantificados.
d) Disposiciones y Recomendaciones:
este es un aparte muy importante del
informe, en el se consignan las disposiciones y recomendaciones que se le hacen a
la administracin tendentes a prevenir, solucionar o fortalecer las situaciones
determinadas en el estudio. En esta seccin se solicitar a la administracin el
cumplimiento de las disposiciones y recomendaciones contenidas en el informe en
un plazo determinado, de acuerdo con un plan de acciones que deben elaborar
para ello.
Los resultados de la auditora pueden presentarse de varias maneras atendiendo
algunas de las siguientes consideraciones:
a)
b)
c)
d)
Claridad y simplicidad.
Importancia del contenido.
Respaldo adecuado.
Objetividad.
Utilidad y oportunidad.
Tono constructivo.
Precisin.
Concisin.
Tomado de la
CGR para fines
acadmicos.
Tomado de la
CGR para fines
acadmicos.