HERRAMIENTAS Y TÉCNICAS DE AUDITORIA

• Cuestionarios

 Es un Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.

Características:

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
.

Por otra parte los  cuestionario tiene la gran ventaja de que puede recopilar una gran cantidad de información, debido a que contiene preguntas sencillas cuyas respuestas no

implican ninguna dificultad; además, como en otros métodos, su aplicación es de carácter impersonal y libre de influencias y compromisos para el entrevistado. También tiene la ventaja de poder seleccionar los tipos de preguntas que se deben realizar, los cuales señalaremos a continuación.

Preguntas abiertas

Son las preguntas donde el encuestado es libre de responder de acuerdo con su criterio,o en las que tiene múltiples opciones para responder sin ninguna limitación, ni en tamaño ni en profundidad y le permiten que la expresión de sus ideas y opiniones fluya sin limitaciones.

La ventaja de este tipo de preguntas es que se puede obtener más información de la esperada; también dejan abierta la posibilidad de profundizar sobre tópicos no contemplados inicialmente, aunque tienen la desventaja de que dificultan la tabulación de los datos, e incluso pueden provocar que se desvíe la atención del encuestado.

Estas preguntas son de mucha utilidad en una auditoría de sistemas computacionales, principalmente para iniciar la recopilación de información, debido a que se obtiene mucha información, aunque se corre el riesgo de desviar la atención hacia temas ajenos al objeto de la auditoría.

No hay un formato específico para este tipo de preguntas; por esta razón, el auditor de sistemas puede emplear libremente la forma de preguntas abiertas que le sea útil, de acuerdo con sus necesidades de información.

Preguntas cerradas

Con este tipo de preguntas el encuestado tiene la oportunidad de elegir la respuesta que sea acorde con su opinión de entre las opciones presentadas. Hay varias formas de preguntas cerradas, entre las cuales tenemos las siguientes.

Preguntas dicotómicas

Estas preguntas sólo tienen dos posibles respuestas, que por lo general son opuestas entre sí, por ejemplo:

( ) Sí ( ) No 

( ) Masculino ( ) Femenino

( ) Presente ( ) Ausente

( ) Hardware ( ) Software

Preguntas tricotómicas

Son aquellas que tienen tres opciones de respuesta, por ejemplo: 

( ) Sí ( ) No ( ) Sin respuesta 

( ) Redes ( ) Equipo mayor ( ) PCs  

¿Cuál es su nivel de responsabilidad en el centro de cómputo? 

( ) Operador ( ) Líder de proyecto ( ) Gerente 

Preguntas de opción múltiple

También conocidas como preguntas peine o ítems, presentan varias respuestas de entre las que se puede elegir sólo una; por lo general, estos ítems tienen una gama de respuestas que varían de un extremo a otro, por ejemplo:

Elija la respuesta marcando con una “x”

Soltero ( ) Excelente ( ) Empleado ( ) 

Divorciado ( ) Bueno ( ) Usuario ( )

Viudo ( ) Regular ( ) Proveedor ( ) 

Unión libre ( ) Malo ( ) Asesor ( )

Casado ( ) Deficiente ( ) Directivo ( )

Preguntas de opción de rangos o grupos

Son las preguntas cuyas respuestas se encuentran comprendidas en ciertos rangos o grupos, dentro de los cuales el encuestado puede elegir sólo una de las respuestas, por ejemplo:

Elija su tiempo de trabajo en computadora de entre alguno de los siguientes rangos:

Menos de 2 horas al día ( )

De 2 a 4 horas al día ( )

De 4 a 6 horas al día ( )

De 6 a 8 horas al día ( )

Más de 8 horas al día ( )

Nunca la utiliza ( )

Gradación (preguntas de grados opuestos)

También conocida como gradación de Likert; en este tipo de preguntas cerradas, las respuestas se emplean para recopilar las opiniones, intereses o actitudes de los entrevistados, concentrando gradualmente cada una de las respuestas, una por una, hasta obtener porcentajes representativos de ellas, por lo general estas preguntas se hacen bajo cinco grados o tipos de respuestas, donde los extremos son totalmente opuestos entre sí, por ejemplo:

La empresa pretende modificar el sistema actual de procesamiento de datos por un sistema de redes. ¿Qué opina?

Totalmente de acuerdo ( )

Generalmente de acuerdo ( )

No sé ( )

Generalmente en desacuerdo ( )

Totalmente en desacuerdo ( )

 La entrevista 

 Es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada,que la proporcionada por medios propios puramente técnico so por las respuestas escritas a cuestionarios. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcrituda una serie de preguntas variadas,también sencillas.Sin embargo ,esta sencillez es solo aparente.

Ciclo de la entrevista de auditoría

Es conveniente señalar que para realizar una entrevista adecuada es indispensable entender y seguir un procedimiento bien estructurado, cuya eficacia en las auditorías tradicionales y en las ciencias sociales, donde es muy utilizada esta técnica, está plenamente comprobada. Esto le servirá al auditor de sistemas computacionales para llevar a cabo una buena investigación, apoyado en una serie de preguntas previamente establecidas y enfocadas al objetivo de la entrevista; con este método se busca captar una mayor información sobre lo que se auditará; además, esta información es más valiosa que la que se puede obtener por medio de un cuestionario, una observación o cualquier otra técnica de auditoría.

El siguiente procedimiento es indispensable para realizar una buena entrevista:

Inicio

Apertura

Cima o clímax

Cierre

 Inicio

Aquí es donde se inicia la entrevista, a través de una breve presentación con la cual se busca romper el hielo, y con una corta explicación del objetivo de la entrevista; si es necesario, aquí se hace la solicitud de cooperación por parte del entrevistado (personal auditado) para que éste proporcione la información requerida por el auditor.

En un ambiente puramente práctico, ésta es quizá la misión más difícil del auditor, ya que por la misma naturaleza de la misión que debe realizar (la de evaluar), lleva implícito el rechazo por parte de la persona a quien va a entrevistar; evidentemente, la apertura es un camino muy difícil bajo estas condiciones, pero es indispensable para el éxito en la aplicación de esta técnica. Algunas veces es importante iniciar con una breve plática informal o con algún tema de interés mutuo.

Apertura también conocida como el inicio formal de la entrevista o despertar el interés del entrevistado, es la parte donde el auditor inicia formalmente su interrogatorio, con preguntas breves, simples y de sondeo, sin profundizar sobre algún tema en especial; el propósito básico de este punto es obtener posibles respuestas para iniciar la conversación, tratando de concentrar la plática sobre un tema de interés común entre el auditado y el auditor, de preferencia relacionado con el aspecto que se pretende evaluar.

Apertura 

Este punto, la apertura de la entrevista, es de suma importancia para el trabajo del auditor, pues aquí es donde inicia la conversación formal con el entrevistado, en el cual se busca evitar cualquier posible rechazo y resistencia de su parte; debemos tomar en cuenta que muchas veces el auditado está a la defensiva, es evasivo y frío, por lo que suele responder en forma vaga, evitando, hasta donde le es posible, proporcionar alguna información comprometedora para él o sus compañeros. Saber aplicar esta técnica de auditoría es quizás el trabajo más difícil para el auditor, ya que requiere de una

amplia experiencia y habilidad, además de sólidos conocimientos sobre sus características, uso y formas de aplicación.

Cima o clímax

Ésta es la parte de la entrevista en donde el auditor, con base en su habilidad y experiencia, obtiene la información medular para la investigación, la cual se va propiciando conforme el tema objeto de la entrevista adquiere mayor interés.

Con una buena aplicación de este punto, el auditor obtiene la información necesaria para evaluar las opiniones, comentarios y datos arrojados en la entrevista.

 Cierre

Ésta es la parte final de la entrevista, en donde el auditor proporciona una absoluta libertad al entrevistado por si puede o quiere agregar algo que le permita complementar los datos antes recopilados; en muchas ocasiones, y más en la aplicación de una Auditoría, ésta es una parte sustantiva, pues el entrevistado supone que la entrevista ya terminó; entonces, libre de presión, proporciona al auditor la información de mayor utilidad que le permite a este último confirmar, avalar o rectificar lo captado anteriormente.

Además, mediante una hábil conducción del cierre, el auditor consigue tips, comentarios y orientaciones que le serán de mucha utilidad para continuar con la evaluación del aspecto auditado.

Evidentemente, en esta etapa se debe agradecer la participación del entrevistado.

Tipos de entrevistas para una auditoría

Hay dos tipos de entrevistas, las que se hacen de manera libre y espontánea, sin formalidades ni limitaciones, y las destinadas a la participación del entrevistado, mediante un método previamente establecido. Para el caso de la auditoría también podríamos agregar otros tipos de entrevistas, por ejemplo, las utilizadas para iniciar una evaluación, otras que sirven para corroborar y comprobar aspectos detectados con anterioridad o las empleadas para que el auditor informe o confronte los hechos y actores en determinadas situaciones. Concretamente, los tipos de entrevistas para la auditoría de sistemas computacionales serán los siguientes.

Entrevistas libres

Son las entrevistas en las que se sigue un guión básico para obtener la información requerida, pero la participación del entrevistado es libre y sin ninguna atadura. Con este tipo de entrevistas se pretende dar libertad al entrevistado para que se explaye; el propósito es tener una mayor intimidad en la plática para que la información sea más verídica y con más profundidad; aunque se corre el riesgo de que el entrevistado se aparte del tema central y pueda perderse en temas intranscendentes.

Es bueno utilizar este tipo de entrevistas para cualquier evaluación de sistemas, pues ayudan a que el auditado se extienda libremente en comentarios y aportaciones sobre lo que se está investigando, aunque se corre el grave riesgo de desviarse del tema sustantivo, deliberada o inconscientemente y que el entrevistado actúe casi siempre

a la defensiva.

Entrevistas dirigidas

En estas entrevistas siempre se dirigen las opiniones del entrevistado, forzando sus respuestas dentro de un parámetro o guión prestablecido, sin admitir ni permitir ninguna variación significativa. Aquí, de acuerdo con la habilidad del auditor para conducir la entrevista, la participación del entrevistado puede llegar a tener mayor profundidad y la calidad de los datos, aunque se puede variar en cuanto a contenido y la utilidad de la información para la evaluación del auditor.

Entrevistas de exploración

En una auditoría de sistemas es recomendable que el primer contacto con los auditados sea a través de este tipo de entrevistas, pues por lo general son de carácter libre y pueden ser muy útiles para buscar algún punto de partida para la evaluación. Además, ayudan al auditor a obtener información importante para explorar el contorno y apreciar los alcances que pudiera tener la revisión; también le ayudan a conocer el ambiente en el que se desarrollará la auditoría y como será la participación del entrevistado en la misma.

Las entrevistas de exploración también se hacen con la intención de familiarizar al auditor con los sistemas que va a evaluar, debido a que existen muchos tipos de sistemas, programas y paqueterías, utilizados en una institución de acuerdo con sus necesidades específicas; por esta razón, el auditor debe entender dichos sistemas para  poder evaluarlos, y le ayudan a identificar el mejor punto de partida de la auditoría.

Entrevistas de comprobación

Estas entrevistas son de mucha utilidad para el auditor, ya que se realizan para comprobar la veracidad de la información recopilada durante la evaluación y permiten corroborar o rectificar los datos y percepciones sobre las observaciones encontradas con las pruebas e instrumentos aplicados en la auditoría; además, ayudan a profundizar en la evaluación, a reforzar su orientación o a cambiar el rumbo de la evaluación.

Este tipo de entrevistas requiere una amplia experiencia y conocimientos sobre las técnicas de entrevista, pues cuando se da este tipo de conversaciones, por lo general el auditado está a la defensiva y es difícil conducirlas, sin embargo, cuando se conducen bien, son muy útiles para ratificar o rectificar datos de una auditoría.

Entrevistas de información

En la metodología propuesta para desarrollar una auditoria de sistemas hablamos de la necesidad de comentar las observaciones con los auditados o con los funcionarios responsables del área de sistemas, según sea el caso; para eso se utiliza este tipo de entrevistas, para que el auditor comente cada una de las desviaciones que reporta en su informe, y con ello obtiene información valiosa del entrevistado que le sirve para rectificar o ratificar las situaciones que está informando, además le ayudan para recopilar datos útiles para encontrar las causas y soluciones que complementen sus observaciones.

No es fácil llevar a cabo este tipo de entrevistas, ya que requieren de mucha habilidad y experiencia por parte del auditor; recordemos que no es nada fácil comentar con el auditado las desviaciones de su trabajo o su responsabilidad en el manejo de los sistemas auditados. Sin embargo, es indispensable llevar a cabo estas entrevistas y realizarla de la mejor manera posible

.

Entrevistas informales

Estas entrevistas son de suma importancia aunque propiamente no sean entrevistas de trabajo, ya que cuando el auditor las aplica de manera correcta, le ayudan a conocer algún tipo de problemática que sólo se expresa cuando no existe la presión de una entrevista formal como las indicadas anteriormente.

Por lo general, estas entrevistas son totalmente ajenas al ambiente de trabajo, casi personales y casi siempre son conversaciones informales que se dan entre personas para tratar temas sin importancia, sin embargo, el auditor aprovecha estos encuentros para conocer algún problema específico que pueda influir en la evaluación y que de otra manera no conocería.

Checklist (lista de cotejo): 

El auditor profesional y experto es aquél que re elabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklist.

•Trazas y/o Huellas:

    Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas,y no otras. Para ello se apoya en productos Software muy potentes y modular es que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Las trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.

DOCUMENTACIÓN DE AUDITORIA

La documentación de la auditoria es el principal registro de los procedimientos de la auditoria aplicables, evidencia obtenida, y conclusiones alcanzadas en la participación. La documentación de la auditoria debería incluir toda la información que el auditor considere necesaria para realizar la auditoria de forma correcta y proporcionar el apoyo para el informe de auditoria. La documentación de la auditoria también podría referirse a los papeles de trabajo. Ha ido la manera en que la documentación de la auditoria se mantiene en archives de computadora.

Objetivos de la documentación de la auditoria

El objetivo general, es la de ayudar al auditor a proporcionarle una seguridad razonable de que una auditoria adecuada se realice de acuerdo con las normas establecidas. La documentación de la auditoria, si pertenece al año corriente de la auditoria, provee la base para la planeación de la auditoria, un registro de la evidencia acumulada y los resultados de las pruebas, datos para determinar el tipo adecuado del informe de auditoria y una base para la revisión por parte de supervisor y socios.

La documentación de auditoria es el recurso más importante para demostrar por medio de documentos que una auditoria fue realizada de forma adecuada y conforme a las normas de auditoria generalmente aceptadas.

La documentación de la auditoria proporciona una importante fuente de información para ayudar al auditor a decidir la emisión del informe de auditoria adecuado en determinadas circunstancias. Los datos en los archives son útiles para la evaluación de un ámbito adecuado de auditoria y de la objetividad de los estados financieros.

Los archives de auditoria son el marco de referencia más importante utilizado por el personal supervisor para evaluar si la evidencia competente recopilada es suficiente para justificar el informe de auditoria.

Propiedad de los archives de auditoria

Son propiedad del auditor la documentación de auditoria preparada durante su cargo en la compañía, incluyendo los calendarios elaborados por el cliente para el auditor. El único momento en el que cualquier persona, incluyendo al cliente, tiene el derecho legal de examinar los archives es cuando éstos son citados ante un tribunal como evidencia legal. Al momento de la terminación del contrato, los archivos de la auditoria son guardados en las instalaciones de los contadores públicos para referencias futuras.

Confidencialidad de los archivos de auditoria

La norma 301 del código de Conducta profesional indica lo siguiente:

* Un miembro no deberá revelar ninguna informaciónconfidencial que haya obtenido en el curso de la prestación de auditoria profesional excepto con el consentimiento del cliente.

Durante la auditoria, los auditores consiguen una gran cantidad de información de naturaleza confidencial, incluyendo los sueldos de los funcionarios, los precios de los productos, los planes de publicidad e información sobre el costo del producto. Si los auditores divulgaran esta información a gente externa o a empleados del cliente a quienes se les haya negado su acceso, su relación con la dirección se vería muy afectada.

Requisitos de la Sarbanes-Oxley para la conservación de los papeles de trabajo

La ley Sarbanes-Oxley requiere que los auditores de las compañías públicas preparen y conserven los papeles de trabajo y otra información relacionada con cualquier informe de auditoria con suficiente detalle para sustentar las conclusiones del auditor, por un periodo no menor de siete años. La ley Sarbanes-Oxley castiga a quienes con conocimiento de causa y premeditación destruyen los documentos de auditoria dentro del periodo de siete años; y son acreedores a multas financieras y encarcelamiento por más de diez años.

Contenido y Organización

Cada despacho de contadores establece su propio método para preparar los papeles de trabajo, y el auditor principiante adopta el método de su despacho.

Archivos permanentes

Tienen como objetivo contener los datos de naturaleza histórica o continua relativos a la presente auditoria. Estos archivos proporcionan una fuente conveniente de la información sobre la auditoria que es de interés permanente de un año al otro. Los archives permanentes incluyen lo siguiente:

* Resúmenes o copias de documentos de la compañía que son importancia permanente como el acta constitutiva, los estatutos, los convenios legales de emisión y compra de bonos y contraltos. Los contraltos son los planes de pensiones, los arrendamientos, las opciones de compra de acciones, etc.

* Análisis de años anteriores de cuentas que tienen importancia perdurable para el auditor. Éstas incluyen cuentas tales como deudas a largo plazo, cuentas de capital de accionistas, crédito mercantil y actives fijos.

* Información relacionada con el conocimiento de la estructura del control interno y la evaluación del riesgo de control. Incluye organigramas, diagramas de fluyo, cuestionarios y otra información de control interno, incluyendo la lista de controles y desventajas en el sistema.

* Los resultados de los procedimientos analíticos de auditorias de años anteriores. Entre estos datos están las proporciones y porcentajes calculados por el auditor y el balance total o el balance mensual para cuentas seleccionadas. 

PAPELES DE TRABAJO PARA LA AUDITORÍA

      A lo largo de todo el trabajo de auditoria, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.

     Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.

Estructura de contenidos.

Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.

Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.

En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes: - Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.

- Presentar informes a las partes interesadas.

- Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.

- Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició.

- Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.

Tipos de papeles de trabajo.

En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos:

a) Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos

b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.

c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones.

Sistemas de archivo.

Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.

Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.

El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al período de realización de la auditoría.

a) Archivo general

Agrupa toda información referente a la organización de la auditoría, al mismo tiempo recogerá la documentación en la que se han ido reflejando los principales problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que a ha ido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de la sección general del expediente del ejercicio:

- Estados financieros a auditar

- Proceso de planificación y programas de auditoría

- Informe sobre el sistema de control interno contable

- Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados

- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado

- Puntos de informe

- Correspondencia con el cliente y resumen de las conversaciones mantenidas

- Hechos posteriores

- Terminación de la auditoría

b) Archivo por áreas de trabajo

INFORME DEL AUDITOR

Objetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoría computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito por es como dar un sello personal. 

Procedimiento para elaborar el informe de auditoría

En el informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación,  pero también se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados.

Sin embargo, la elaboración del informe, el cual es el punto más importante de la auditoría de sistemas, es uno de los aspectos más difíciles para los auditores, debido a que requiere procedimientos complicados, propios de las auditorías, los cuales se tienen que llevar a cabo mediante una secuencia, como la que se propone en la figura. En ella se describe un ordenamiento general de realización del informe, el cual va desde la aplicación de los instrumentos de recopilación, hasta la presentación del dictamen final a los directivos de la empresa.

Está claro que el producto final y el más importante de una auditoría de sistemas es la elaboración correcta del informe, ya que en éste se presentan los resultados obtenidos durante la evaluación de la gestión administrativa del centro de cómputo, o de cualquier otro aspecto relacionado con los sistemas.

El procedimiento para elaborar dicho informe se compone de los siguientes pasos:

1.  Aplicar instrumentos de recopilación
2.  Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión
3.  Comentar las situaciones encontradas con los auditados
4.  Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones
5.  Analizar, depurar y corregir las desviaciones encontradas
6.  Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes
7.  Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones
8.  Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen del auditor
9. Presentar el informe y dictamen final a los directivos de la empresa

Aplicar instrumentos de recopilación

De acuerdo con el programa para la auditoría de sistemas, el auditor aplica los instrumentos, técnicas, procedimientos y herramientas que diseñó en la etapa de planeación, con el propósito de realizar la evaluación a los sistemas computacionales, a las áreas del centro de cómputo o a cualquier otro aspecto.

Con la aplicación de estos instrumentos, el auditor detecta las posibles desviaciones a la actividad que está evaluando y, de acuerdo con sus conocimientos y experiencia, las analiza y las registra, en el formato de situaciones encontradas que analizaremos a continuación.

 Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión

Con la aplicación de los instrumentos diseñados en la etapa de planeación, el auditor identifica aquellas posibles desviaciones que encontró durante su evaluación, y hace un análisis comparativo de la operación normal contra la esperada. Una vez hecho este análisis, entonces puede definir aquellas situaciones que considera como desviaciones y las reporta como situaciones encontradas en su evaluación.

Las desviaciones que reporta el auditor tienen características especiales, las cuales debe plasmar por escrito en un documento de carácter formal, al que llamaremos formato de situaciones encontradas. Además, como requerimiento ineludible, dicho reporte debe estar perfectamente elaborado, en cuanto a su redacción, claridad, oportunidad y a otras características propias de los informes de auditoría que analizaremos en el apartado correspondiente

Está claro que la principal función del auditor es reportar todas las desviaciones que observó durante la auditoría de sistemas, para lo cual puede utilizar el formato que más le plazca y de la manera en que se acostumbre reportar dichas observaciones en la empresa en donde se realiza la auditoría; sin embargo, a continuación sugerimos la adopción de un formato muy fácil de elaborar por la simplicidad y sencillez para plasmar esas desviaciones. Éste es el formato de situaciones encontradas, el cual contiene las siguientes columnas: las situaciones, las causas, las soluciones, los responsables de la solución y las fechas de solución.

Comentar las situaciones encontradas con los auditados

Una vez identificadas las situaciones encontradas, es responsabilidad del encargado de la auditoría que el auditor, o su supervisor (que puede ser el propio responsable de la auditoría), comenten cada una de esas desviaciones con el personal responsable de la operación, sistema o función auditada.

Es indispensable que cada una de estas desviaciones sean discutidas con los empleados, funcionarios o usuarios que fueron auditados, ya que, de alguna manera, éstos son los responsables de que se presenten dichas situaciones (o cuando menos están involucrados en ellas); el propósito de informarles es que ratifiquen o rectifiquen el origen de tales desviaciones; además, también le sirve al auditor para complementar la redacción de las situaciones que reporta; con ello se busca que éstas sean lo más claras posibles y más entendibles, a fin de que se reporten exactamente como se quiere señalar cada desviación.

Encontrar conjuntamente con los auditados

Las causas de las desviaciones y sus posibles soluciones Así como señalamos en el punto anterior la necesidad de comentar las desviaciones con los responsables de la operación, también remarcaremos que de estos comentarios se pueden obtener, de manera más fidedigna y confiable, las causas que generan cada una de las desviaciones, a fin de reportarlas en el informe de auditoría lo más apegado posible a la realidad.

Está claro que al conocer las desviaciones que se le imputan, el auditado tratará de defenderse, señalando las causas que originaron cada una de las desviaciones encontradas; con ello el auditor puede corroborar o rectificar las causas que había planteado; además le permite obtener, de manera directa y en voz de los involucrados, las posibles soluciones a estas desviaciones. Incluso hasta el responsable de llevarlas a cabo.

Éste es el verdadero trabajo del auditor, reportar las desviaciones que encontró durante su evaluación, encontrar las causas que las originaron y acordar las posibles soluciones conjuntamente con el auditado. Así es como se entiende y debe entenderse la función de la auditoría de sistemas.

Cuando se da esta retroalimentación con el personal auditado, de ellos mismos se puede seleccionar a los posibles responsables de la solución y la fecha compromiso en que se puede llegar a solucionar cada una de las desviaciones presentadas. 

Es muy conveniente que el auditor obtenga la firma de enterado del auditado al finalizar los comentarios de estas desviaciones, causas, soluciones, responsables de estas soluciones y fechas de solución, aunque esto no es una norma ni un requisito indispensable para su informe. Si el auditado se negara a proporcionar su firma, al auditor no le afectaría en lo más mínimo para hacer su reporte, ya que dicha firma no influye en el resultado de la auditoría.

Analizar depurar y corregir las desviaciones encontradas

Una vez que se comentaron las desviaciones con los auditados, y se obtuvieron sus causas y posibles soluciones, el responsable de la auditoría de sistemas será el encargado de analizar las desviaciones, vigilando que cada una esté perfectamente plasmada y correctamente redactada en el formato de situaciones encontradas. La redacción y presentación de estas desviaciones debe hacerse lo más correctamente posible, sin admitir ni el más mínimo error de ortografía, redacción o tipografía. Ésta es la principal responsabilidad del encargado de la auditoría de sistemas, vigilar el correcto reporte de las situaciones encontradas.

Cada auditor elabora, en borrador o mecanografiadas, las desviaciones que observó durante su evaluación, y al mismo tiempo es el responsable de comentarlas con el personal auditado para obtener de ellos sus causas y soluciones. Una vez que fueron comentadas y en su caso corroboradas o rectificadas, entonces entrega el informe al responsable de la auditoría, quien será el encargado de analizar cada una de estas desviaciones, a fin de redactarlas mejor, concentrarlas y darles una estructura jerárquica de presentación en un informe global de situaciones relevantes encontradas durante la evaluación de los sistemas.

Jerarquizar las desviaciones encontradas y concentrar

Las más importantes en el formato de situaciones relevantes Una vez que el responsable de la auditoría de sistemas haya supervisado que el informe de desviaciones encontradas esté correctamente elaborado, debe analizar todas las desviaciones reportadas, a fin de escoger las que considere más importantes para reportarlas en el formato de situaciones relevantes;* el propósito es enfatizar lo que considera como lo más importante de la evaluación practicada, a fin de que los directivos conozcan los aspectos más relevantes.

Las situaciones que se reportan como las más relevantes se deben redactar tal y como fueron reportadas en el formato de situaciones encontradas (se sugiere que siempre sea así), sin modificarlas (es propiamente una copia fiel de éstas). Esto es lo más conveniente para evitar confusiones de interpretación y errores mecanográficos o cualquier otra alteración de lo que se desea reportar como relevante. Además, así se corrobora que las desviaciones fueron comentadas con el personal auditado. Con esto no habrá lugar para ninguna mala interpretación ni evasión de responsabilidades cuando el informe de situaciones relevantes sea comentado con los directivos del área de sistemas; además, será más fácil mecanografiar dicho informe.

Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones 

Así como las situaciones encontradas se comentaron con los auditados, también las situaciones relevantes se deben comentar con los directivos del área de sistemas, a fin de que éstos las conozcan; el personal auditado puede, a juicio de los directivos, estar presente para cualquier posible aclaración sobre lo informado. Esto es lo más recomendable.

El responsable de la auditoría debe encabezar la presentación de este informe al directivo de mayor jerarquía del área de sistemas. Por lo general, esta reunión es de carácter formal y en ella se reportan todas y cada una de las situaciones consideradas como relevantes; aunque también se pueden presentar las llamadas situaciones encontradas.

Además, si el encargado de la auditoría lo considera pertinente, cada auditor puede presentar el informe de la parte que le tocó evaluar, o puede hacerlo una sola persona en representación del responsable de la evaluación. Todo se hace de acuerdo con el estilo y costumbre de realizar estas presentaciones. También es decisión del encargado que cada auditor aclare las dudas de los participantes en esta reunión.

En esta reunión se presentan los resultados obtenidos en la auditoría de sistemas computacionales, y el informe a los directivos del área auditada se debe hacer en forma abierta y preferentemente en presencia de todo el personal auditado; esto obedece a que aún podría ser posible aclarar, ratificar o rectificar las desviaciones reportadas, así como sus causas y soluciones. Aunque esto no es muy usual, ya que se debe tomar en cuenta que las problemáticas, situaciones, incidencias, desviaciones u observaciones encontradas durante la auditoría y reportadas en el formato de situaciones relevantes,

ya fueron comentadas con cada uno de los auditados. 

Concentrar depurar y elaborar el informe final de auditoría y el dictamen del auditor

El siguiente paso es que el auditor responsable de la auditoría depure cada una de las situaciones relevantes reportadas, con el fin de concentrarlas en el llamado informe final de auditoría. Debido a que el informe es para el área directiva de la empresa, no debe exceder de dos a tres hojas. En este informe el auditor sólo debe señalar lo más relevante de la evaluación, incluyendo su opinión.

La elaboración del informe es el verdadero trabajo del responsable de la auditoría, debido a que en este documento es donde realmente se muestra la importancia de su actividad, al señalar en qué situación estaba el área de sistemas antes de la evaluación practicada por los auditores a su cargo; además, debe emitir una opinión autorizada sobre el funcionamiento del centro de cómputo, sus sistemas de información, el cumplimiento del personal y usuarios o sobre cualquier otro aspecto relacionado con los sistemas computacionales de la empresa auditada.

Debemos aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del lenguaje que se maneja en los sistemas de la institución; por lo tanto, el informe final debe ser lo más sencillo, claro y comprensible para ellos, procurando evitar, al máximo posible, el uso de términos demasiado técnicos y desconocidos para personas ajenas a la informática. Sólo se deben destacar los aspectos más importantes del área, desde el punto de vista de los directivos y no del personal que maneja los sistemas. 

Cabe señalar un ejemplo de esto: a un director general poco o nada le va a interesar que la red esté configurada en forma de estrella, con cable de par trenzado, en Frame Relay y una de las siete capas OSI no cumpla con su función, y que por eso tenga caídas constantes cuando exista saturación de transmisión y procesamiento de datos en horas pico de transmisión y procesamiento de datos; este directivo no lo va a entender, ya que sólo le interesará saber cómo se solucionaron los problemas de emisión de información, y si la solución es oportuna y confiable.

Presentar el informe y dictamen final a los directivos de la empresa

El último paso del informe de auditoría de sistemas computacionales es la presentación oficial del dictamen (informe final de la auditoría), lo cual se puede hacer de dos maneras, ya sea en forma directa, mediante una reunión ejecutiva con los directivos de la empresa, o por envío formal del dictamen final de la auditoría al directivo mayor de la firma. Éste ya es el informe final de la auditoría practicada y, por lo tanto, no se debe admitir ningún comentario adicional que pudiera modificar lo ahí presentado; ya que es el producto final de la auditoría y, por lo tanto, ya no cabe ninguna alteración al mismo. De hacerlo, sería tanto como crear expectativas de duda sobre la veracidad y confiabilidad de su contenido.

Por lo general, a esta presentación solamente asisten el cuerpo directivo de la empresa auditada y el cuerpo ejecutivo de la empresa encargada de realizar la auditoría; aunque nada impide que estén presentes tanto el personal del área de sistemas auditada, como los auditores participantes. En el caso de una auditoría interna, sólo asisten el auditor interno y su cuerpo ejecutivo.

Una vez identificada las siguientes situaciones encontrada, es responsabilidad del encargado de la auditoria comente cada una de esas desviaciones con el personal responsable de la operación o sistema de o función auditada. Además, comentarla comentarlo con los auditado esto permite preparar las posibles soluciones para esas desviaciones.Nota: la auditoria no es una cacería de brujas para cortar las cabezas de los auditados, es una revisión para encontrar posibles desviaciones en su actividad cotidiana y es deber del auditor comentarlas con ellos para resolverlas de común acuerdo.

Encontrar causas de las desviaciones con los auditados. También se recomienda encontrar de manera más fidedigna y confiable las causas que generan cada una de las desviaciones, a fin de reportarla en el informe lo mas apegado posible a la realidad.Es necesario tener pendiente que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse, señalando las causa que generaron cada una de las desviaciones encontradas, así directamente al escuchar la voz del auditado el auditor puede comprobar o ratificar las causas que había planteado. No obstante, como es natural, en las reuniones muchos de los auditados trataran de evadir o justificar su responsabilidad en las desviaciones e incluso, en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situación que se le imputa.

Elaboración del informe final y el dictamen del auditor es informe el auditor solo debe lo más relevante de la evaluación, incluyendo su opinión. En este informe es que denota la importancia de su actividad al señalar en que situación estaba la empresa o departamento antes de la evaluación por los auditores.El informe es algo practico y corto, cabe aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del el lenguaje que se maneja en los sistema computacionales.

 Características fundamentales. Se pueden identificar dos características fundamentales en los informes de auditoria en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente: Características de fondo.Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoria sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tender en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe.

 Características de forma. Estas características se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lo relacionado con la presentación del documento.
Características de la presentación del informe. Otras de las características mas importantes de un informe de auditoria de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe; para lograr mejores resultados en la elaboración del citado informe, el auditor debe tomar en cuenta las características que proponemos a continuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.