PROPUESTA DE PUNTOS QUE SE DEBEN EVALUAR EN UNA AUDITORÍA DE SISTEMAS COMPUTACIONALES

En el desarrollo de sistemas se debe emplear la misma metodología que utilizan los diseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo primario del auditor es evaluar la suficiencia de los controles internos, el objetivo del diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberían compartir el deseo de ver que se logran los objetivos de cada uno.

PARTICIPACION DEL AUDITOR 

Aún cuando el auditor esté interesado en todos los aspectos del nuevo sistema, debe velar porque se establezcan todos los controles de aplicación. Su principal función es asegurar que los sistemas, recientemente implantados incluyan características de control sólidas y confiables. En términos generales es ayudar a prevenir que se implanten sistemas de aplicación que tengan riesgos importantes.

El auditor participa en el proceso de desarrollo de sistemas revisando la documentación generada como producto final de ciertas actividades de desarrollo de sistemas. 

En estas actividades su interés se concentrará primordialmente en el desarrollo e implantación de controles de aplicación adecuados. El auditor necesita reconocer que su participación durante el desarrollo de los sistemas puede amenazar su independencia y deberá tomar medidas para evitar esta pérdida. Estas medidas incluyen:

* Permanecer organizacionalmente independiente del grupo de sistema. Esto significa que el auditor no es un miembro en propiedad del grupo de desarrollo de sistema  y no le quita la dirección del proyecto al gerente del grupo del proyecto.

* Redactar los informes independientemente del grupo del proyecto. Las opiniones del auditor, sus recomendaciones y sus evaluaciones no deberían incluirse en los informes de status del proyecto puesto que el emisor de los informes (usualmente el gerente del grupo del proyecto) tiene autoridad editorial para modificar las declaraciones del auditor. 

* Investigar independientemente del grupo del proyecto. El grupo del proyecto puede estar restringido a ciertos contactos y cierta autoridad, pero el auditor tiene libre acceso a la información y al personal de la organización. 

PROGRAMA DE TRABAJO 

1. Establecer el planeamiento preliminar del trabajo de auditoría: En este primer paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas en relación con los objetivos de auditoría, a fin de determinar el alcance preliminar. 

2. Participación del Auditor en el Desarrollo de Sistemas: Determinar el grado de participación del auditor en cada fase del ciclo de vida del sistema, una vez que ha sido identificado. Los auditores de sistema necesitan participar en el proceso de desarrollo de los sistemas para garantizar que los nuevos sistemas de información diseñen las medidas adecuadas de auditoría y de control. Los dos tipos de autorización donde se involucra el auditor son: El auditor debe tener un grado de participación mediante un acuerdo y revisión de las fases. 

3. Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de desacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando indicando su posición y los items que requieren solución y lo envía o remite al siguiente nivel superior gerencial. 

4. Revisión: Los productos tangibles son presentados para información solamente; pueden hacerse comentarios pero ellos no son decisivos. 

5. Revisión de Productos Finales: Acordar y revisar las actividades y el producto final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe revisar que las firmas de aprobación para todos los productos tangibles están plasmadas en el control de aceptación de etapas. Así mismo el auditor debe preparar los papeles de trabajo con el propósito de evidenciar y documentar los resultados de la investigación del proyecto y que sirvan como material de referencia para esfuerzos futuros. 

6. Identificar las fuentes de información para las revisiones y/o pruebas de auditoría: Este paso incluye la identificación de las fuentes de información que se requieren en los procesos de prueba y revisión. Las fuentes de información proveen los medios para la revisión y documentación de las actividades de auditoría y verificación  de controles. 

TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS COMPUTACIONALES

En la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionales de auditoría, así como técnicas de valoración que permite hacer una evaluación más eficiente de los sistemas computacionales. Estas técnicas, métodos, procedimientos o herramientas son: 

EXAMEN: Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en una empresa, es utilizado para evaluar los registros, planes, presupuestos, programas, controles y todo lo demás aspectos que afectan la administración y control de una empresa o de las áreas que la integran.

INSPECCION: La inspección en sistemas computacionales es Sinónimo de supervisión, ya que trata de examinar la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones; también tiene como propósito monitorear el desarrollo cotidiano de las funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario, corregir su desarrollo beneficio.

CONFIRMACION: Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión; ya que el resultado final de una auditoria es la emisión de un dictamen en el que el auditor vierte sus opiniones, la característica fundamental de una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor emite sus opiniones, sean a favor o en contra. 

COMPARACION: Esta debe ser aplicada de acuerdo a las necesidades y características especificas del área de sistemas o del propio sistemas que va a ser auditado. Con la comparación de información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.

REVISION DOCUMENTAL: Es la forma más importante de evaluar a las empresas; además no solo sirve para aplicaciones en una auditoria tradicional, sino también como un importante apoyo en los diferentes tipo de auditoría de sistemas computacionales; claro esta adoptándola a las características especificas de evaluación de los sistemas computacionales. 

ACTA TESTIMONIAL: La importancia de este radica en que con su uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparición de algún bien de la empresa, para fincar responsabilidades por deficiencia en las actividades de la empresa; aunque puede ser levantada en cualquier otra incidencia de las actividades cotidiana de una empresa. 

MATRIZ DE EVALUACION: Es uno de los documentos de recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática, esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente). 

MATRIZ DOFA: es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y a la influencia que la empresa recibe del exterior.

INFORMES DE AUDITORIA

Objetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoría computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito porque es como dar un sello personal. Procedimientos para elaborar el informe. En el informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Los procedimientos para elaborar dicho informe se compone de los siguientes pasos. 

1. Aplicar instrumentos de recopilación 
2. Registrar el formato de situaciones encontrada. 
3. Comentar las situaciones encontrada con los auditados. 
4. Analizar, depurar y corregir las desviaciones encontradas. 
5. Presentar informe y dictamen final a los directivos de la empresa. 
6. Comentar las situaciones encontrada con los auditados. 

Elaboración del informe final y el dictamen del auditor: En ese informe el auditor solo debe incluir lo más relevante de la evaluación, incluyendo su opinión. En este informe es que denota la importancia de su actividad al señalar en qué situación estaba la empresa o departamento antes de la evaluación por los auditores. El informe es algo práctico y corto, cabe aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del el lenguaje que se maneja en los sistema computacionales. 

Características fundamentales: Se pueden identificar dos características fundamentales en los informes de auditoría en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente: 

Características de fondo: Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoría sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tener en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe. 

Características de forma: Estas características se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lo relacionado con la presentación del documento. 

Características de la presentación del informe: Otras de las características más importantes de un informe de auditoría de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe; para lograr mejores resultados en la elaboración del citado informe, el auditor debe tomar en cuenta las características que proponemos a continuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.

PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS COMPUTACIONES

A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.

Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.

Tipos de papeles de trabajo. 

En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos: 

• Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos. 

• Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.

• Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.