Objetivos
Destacar
la importancia que tiene el saber presentar profesionalmente los informes de auditoría
computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro,
documento o escrito por es como dar un sello personal.
Procedimiento para elaborar el informe de auditoría
En
el informe de auditoría, también llamado dictamen, se reportan las situaciones
encontradas durante la evaluación, pero también se deben incluir las
causas que originan esas situaciones y las posibles sugerencias para solucionar
los problemas encontrados.
Sin
embargo, la elaboración del informe, el cual es el punto más importante de la
auditoría de sistemas, es uno de los aspectos más difíciles para los auditores,
debido a que requiere procedimientos complicados, propios de las auditorías,
los cuales se tienen que llevar a cabo mediante una secuencia, como la que se
propone en la figura. En ella se describe un ordenamiento general de
realización del informe, el cual va desde la aplicación de los instrumentos de
recopilación, hasta la presentación del dictamen final a los directivos de la
empresa.
Está
claro que el producto final y el más importante de una auditoría de sistemas es
la elaboración correcta del informe, ya que en éste se presentan los resultados
obtenidos durante la evaluación de la gestión administrativa del centro de
cómputo, o de cualquier otro aspecto relacionado con los sistemas.
El
procedimiento para elaborar dicho informe se compone de los siguientes pasos:
- Aplicar
instrumentos de recopilación
- Registrar
en el formato de situaciones encontradas las desviaciones halladas durante
la revisión
- Comentar
las situaciones encontradas con los auditados
- Encontrar,
conjuntamente con los auditados, las causas de las desviaciones y sus
posibles soluciones
- Analizar,
depurar y corregir las desviaciones encontradas
- Jerarquizar
las desviaciones encontradas y concentrar las más importantes en el
formato de situaciones relevantes
- Comentar
las situaciones relevantes con los directivos del área de sistemas y confirmar
las causas y soluciones
- Concentrar,
depurar y elaborar el informe final de auditoría, así como el dictamen del
auditor
- Presentar
el informe y dictamen final a los directivos de la empresa
Aplicar instrumentos de recopilación
De
acuerdo con el programa para la auditoría de sistemas, el auditor aplica los
instrumentos, técnicas, procedimientos y herramientas que diseñó en la
etapa de planeación, con el propósito de realizar la evaluación a los
sistemas computacionales, a las áreas del centro de cómputo o a cualquier
otro aspecto.
Con
la aplicación de estos instrumentos, el auditor detecta las posibles
desviaciones a la actividad que está evaluando y, de acuerdo con sus
conocimientos y experiencia, las analiza y las registra, en el formato de
situaciones encontradas que analizaremos a continuación.
Registrar
en el formato de situaciones encontradas las desviaciones halladas durante la
revisión
Con
la aplicación de los instrumentos diseñados en la etapa de planeación, el
auditor identifica aquellas posibles desviaciones que encontró durante su
evaluación, y hace un análisis comparativo de la operación normal contra la
esperada. Una vez hecho este análisis, entonces puede definir aquellas
situaciones que considera como desviaciones y las reporta como situaciones
encontradas en su evaluación.
Las
desviaciones que reporta el auditor tienen características especiales, las
cuales debe plasmar por escrito en un documento de carácter formal, al que
llamaremos formato de situaciones encontradas. Además, como requerimiento
ineludible, dicho reporte debe estar perfectamente elaborado, en cuanto a su
redacción, claridad, oportunidad y a otras características propias de los
informes de auditoría que analizaremos en el apartado correspondiente
Está
claro que la principal función del auditor es reportar todas las desviaciones
que observó durante la auditoría de sistemas, para lo cual puede utilizar el
formato que más le plazca y de la manera en que se acostumbre reportar dichas
observaciones en la empresa en donde se realiza la auditoría; sin embargo, a
continuación sugerimos la adopción de un formato muy fácil de elaborar por la
simplicidad y sencillez para plasmar esas desviaciones. Éste es el formato de
situaciones encontradas, el cual contiene las siguientes columnas: las
situaciones, las causas, las soluciones, los responsables de la solución y las
fechas de solución.
Comentar
las situaciones encontradas con los auditados
Una
vez identificadas las situaciones encontradas, es responsabilidad del encargado
de la auditoría que el auditor, o su supervisor (que puede ser el propio
responsable de la auditoría), comenten cada una de esas desviaciones con el
personal responsable de la operación, sistema o función auditada.
Es
indispensable que cada una de estas desviaciones sean discutidas con los
empleados, funcionarios o usuarios que fueron auditados, ya que, de alguna
manera, éstos son los responsables de que se presenten dichas situaciones (o
cuando menos están involucrados en ellas); el propósito de informarles es que
ratifiquen o rectifiquen el origen de tales desviaciones; además, también le
sirve al auditor para complementar la redacción de las situaciones que reporta;
con ello se busca que éstas sean lo más claras posibles y más entendibles, a
fin de que se reporten exactamente como se quiere señalar cada desviación.
Encontrar
conjuntamente con los auditados
Las
causas de las desviaciones y sus posibles soluciones Así como señalamos en el
punto anterior la necesidad de comentar las desviaciones con los responsables
de la operación, también remarcaremos que de estos comentarios se pueden
obtener, de manera más fidedigna y confiable, las causas que generan cada una
de las desviaciones, a fin de reportarlas en el informe de auditoría lo más
apegado posible a la realidad.
Está
claro que al conocer las desviaciones que se le imputan, el auditado tratará de
defenderse, señalando las causas que originaron cada una de las desviaciones
encontradas; con ello el auditor puede corroborar o rectificar las causas que
había planteado; además le permite obtener, de manera directa y en voz de los
involucrados, las posibles soluciones a estas desviaciones. Incluso hasta el
responsable de llevarlas a cabo.
Éste
es el verdadero trabajo del auditor, reportar las desviaciones que encontró
durante su evaluación, encontrar las causas que las originaron y acordar las
posibles soluciones conjuntamente con el auditado. Así es como se entiende y
debe entenderse la función de la auditoría de sistemas.
Cuando
se da esta retroalimentación con el personal auditado, de ellos mismos se puede
seleccionar a los posibles responsables de la solución y la fecha compromiso en
que se puede llegar a solucionar cada una de las desviaciones
presentadas.
Es
muy conveniente que el auditor obtenga la firma de enterado del auditado al
finalizar los comentarios de estas desviaciones, causas, soluciones, responsables
de estas soluciones y fechas de solución, aunque esto no es una norma ni un
requisito indispensable para su informe. Si el auditado se negara a
proporcionar su firma, al auditor no le afectaría en lo más mínimo para hacer
su reporte, ya que dicha firma no influye en el resultado de la auditoría.
Analizar
depurar y corregir las desviaciones encontradas
Una
vez que se comentaron las desviaciones con los auditados, y se obtuvieron sus
causas y posibles soluciones, el responsable de la auditoría de sistemas será
el encargado de analizar las desviaciones, vigilando que cada una esté
perfectamente plasmada y correctamente redactada en el formato de situaciones
encontradas. La redacción y presentación de estas desviaciones debe hacerse lo
más correctamente posible, sin admitir ni el más mínimo error de ortografía,
redacción o tipografía. Ésta es la principal responsabilidad del encargado de
la auditoría de sistemas, vigilar el correcto reporte de las situaciones
encontradas.
Cada
auditor elabora, en borrador o mecanografiadas, las desviaciones que observó
durante su evaluación, y al mismo tiempo es el responsable de comentarlas con
el personal auditado para obtener de ellos sus causas y soluciones. Una vez que
fueron comentadas y en su caso corroboradas o rectificadas, entonces entrega el
informe al responsable de la auditoría, quien será el encargado de analizar
cada una de estas desviaciones, a fin de redactarlas mejor, concentrarlas y
darles una estructura jerárquica de presentación en un informe global de
situaciones relevantes encontradas durante la evaluación de los sistemas.
Jerarquizar
las desviaciones encontradas y concentrar
Las
más importantes en el formato de situaciones relevantes Una vez que el
responsable de la auditoría de sistemas haya supervisado que el informe de
desviaciones encontradas esté correctamente elaborado, debe analizar todas las
desviaciones reportadas, a fin de escoger las que considere más importantes
para reportarlas en el formato de situaciones relevantes;* el propósito es
enfatizar lo que considera como lo más importante de la evaluación practicada,
a fin de que los directivos conozcan los aspectos más relevantes.
Las
situaciones que se reportan como las más relevantes se deben redactar tal y
como fueron reportadas en el formato de situaciones encontradas (se sugiere que
siempre sea así), sin modificarlas (es propiamente una copia fiel de éstas).
Esto es lo más conveniente para evitar confusiones de interpretación y errores
mecanográficos o cualquier otra alteración de lo que se desea reportar como
relevante. Además, así se corrobora que las desviaciones fueron comentadas con
el personal auditado. Con esto no habrá lugar para ninguna mala interpretación
ni evasión de responsabilidades cuando el informe de situaciones relevantes sea
comentado con los directivos del área de sistemas; además, será más fácil
mecanografiar dicho informe.
Comentar
las situaciones relevantes con los directivos del área de sistemas y
confirmar las causas y soluciones
Así
como las situaciones encontradas se comentaron con los auditados, también las
situaciones relevantes se deben comentar con los directivos del área de
sistemas, a fin de que éstos las conozcan; el personal auditado puede, a juicio
de los directivos, estar presente para cualquier posible aclaración sobre lo
informado. Esto es lo más recomendable.
El
responsable de la auditoría debe encabezar la presentación de este informe al
directivo de mayor jerarquía del área de sistemas. Por lo general, esta reunión
es de carácter formal y en ella se reportan todas y cada una de las situaciones
consideradas como relevantes; aunque también se pueden presentar las llamadas
situaciones encontradas.
Además,
si el encargado de la auditoría lo considera pertinente, cada auditor puede
presentar el informe de la parte que le tocó evaluar, o puede hacerlo una sola
persona en representación del responsable de la evaluación. Todo se hace de
acuerdo con el estilo y costumbre de realizar estas presentaciones. También es
decisión del encargado que cada auditor aclare las dudas de los participantes
en esta reunión.
En
esta reunión se presentan los resultados obtenidos en la auditoría de sistemas
computacionales, y el informe a los directivos del área auditada se debe hacer
en forma abierta y preferentemente en presencia de todo el personal auditado;
esto obedece a que aún podría ser posible aclarar, ratificar o rectificar las
desviaciones reportadas, así como sus causas y soluciones. Aunque esto no es
muy usual, ya que se debe tomar en cuenta que las problemáticas, situaciones,
incidencias, desviaciones u observaciones encontradas durante la auditoría y
reportadas en el formato de situaciones relevantes,
ya
fueron comentadas con cada uno de los auditados.
Concentrar
depurar y elaborar el informe final de auditoría y el dictamen del auditor
El
siguiente paso es que el auditor responsable de la auditoría depure cada una de
las situaciones relevantes reportadas, con el fin de concentrarlas en el
llamado informe final de auditoría. Debido a que el informe es para el área
directiva de la empresa, no debe exceder de dos a tres hojas. En este informe
el auditor sólo debe señalar lo más relevante de la evaluación, incluyendo su
opinión.
La
elaboración del informe es el verdadero trabajo del responsable de la
auditoría, debido a que en este documento es donde realmente se muestra la
importancia de su actividad, al señalar en qué situación estaba el área de
sistemas antes de la evaluación practicada por los auditores a su cargo;
además, debe emitir una opinión autorizada sobre el funcionamiento del centro
de cómputo, sus sistemas de información, el cumplimiento del personal y
usuarios o sobre cualquier otro aspecto relacionado con los sistemas
computacionales de la empresa auditada.
Debemos
aclarar que la razón de plasmar este informe en tan poco espacio es que los
directivos de una empresa, por lo general, tienen poco conocimiento del
lenguaje que se maneja en los sistemas de la institución; por lo tanto, el
informe final debe ser lo más sencillo, claro y comprensible para ellos,
procurando evitar, al máximo posible, el uso de términos demasiado técnicos y
desconocidos para personas ajenas a la informática. Sólo se deben destacar los
aspectos más importantes del área, desde el punto de vista de los directivos y
no del personal que maneja los sistemas.
Cabe
señalar un ejemplo de esto: a un director general poco o nada le va a interesar
que la red esté configurada en forma de estrella, con cable de par trenzado, en
Frame Relay y una de las siete capas OSI no cumpla con su función, y que por
eso tenga caídas constantes cuando exista saturación de transmisión y
procesamiento de datos en horas pico de transmisión y procesamiento de datos;
este directivo no lo va a entender, ya que sólo le interesará saber cómo se
solucionaron los problemas de emisión de información, y si la solución es
oportuna y confiable.
Presentar
el informe y dictamen final a los directivos de la empresa
El
último paso del informe de auditoría de sistemas computacionales es la
presentación oficial del dictamen (informe final de la auditoría), lo cual se
puede hacer de dos maneras, ya sea en forma directa, mediante una reunión
ejecutiva con los directivos de la empresa, o por envío formal del dictamen
final de la auditoría al directivo mayor de la firma. Éste ya es el informe
final de la auditoría practicada y, por lo tanto, no se debe admitir ningún
comentario adicional que pudiera modificar lo ahí presentado; ya que es el producto
final de la auditoría y, por lo tanto, ya no cabe ninguna alteración al mismo.
De hacerlo, sería tanto como crear expectativas de duda sobre la veracidad y
confiabilidad de su contenido.
Por
lo general, a esta presentación solamente asisten el cuerpo directivo de la
empresa auditada y el cuerpo ejecutivo de la empresa encargada de realizar la
auditoría; aunque nada impide que estén presentes tanto el personal del área de
sistemas auditada, como los auditores participantes. En el caso de una auditoría
interna, sólo asisten el auditor interno y su cuerpo ejecutivo.
Una
vez identificada las siguientes situaciones encontrada, es responsabilidad del
encargado de la auditoria comente cada una de esas desviaciones con el personal
responsable de la operación o sistema de o función auditada. Además, comentarla
comentarlo con los auditado esto permite preparar las posibles soluciones para
esas desviaciones.Nota: la auditoria no es una cacería de brujas para cortar
las cabezas de los auditados, es una revisión para encontrar posibles
desviaciones en su actividad cotidiana y es deber del auditor comentarlas con
ellos para resolverlas de común acuerdo.
Encontrar
causas de las desviaciones con los auditados. También se recomienda encontrar
de manera más fidedigna y confiable las causas que generan cada una de las
desviaciones, a fin de reportarla en el informe lo mas apegado posible a la
realidad.Es necesario tener pendiente que al conocer las desviaciones que
se le imputan, el auditado tratara de defenderse, señalando las causa que
generaron cada una de las desviaciones encontradas, así directamente al
escuchar la voz del auditado el auditor puede comprobar o ratificar las causas
que había planteado. No obstante, como es natural, en las reuniones muchos de
los auditados trataran de evadir o justificar su responsabilidad en las desviaciones
e incluso, en algunos casos extremos, pueden hasta negar la existencia o
conocimiento de la situación que se le imputa.
Elaboración
del informe final y el dictamen del auditor es informe el auditor solo debe lo
más relevante de la evaluación, incluyendo su opinión. En este informe es que
denota la importancia de su actividad al señalar en que situación estaba la
empresa o departamento antes de la evaluación por los auditores.El informe es
algo practico y corto, cabe aclarar que la razón de plasmar este informe en tan
poco espacio es que los directivos de una empresa, por lo general, tienen poco
conocimiento del el lenguaje que se maneja en los sistema computacionales.
Características fundamentales. Se pueden identificar dos características fundamentales en los informes de auditoria en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente: Características de fondo.Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoria sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tender en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe.
Características fundamentales. Se pueden identificar dos características fundamentales en los informes de auditoria en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente: Características de fondo.Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoria sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tender en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe.
Características de forma. Estas características se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lo relacionado con la presentación del documento.
Características de la presentación del informe. Otras de las características mas importantes de un informe de auditoria de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe; para lograr mejores resultados en la elaboración del citado informe, el auditor debe tomar en cuenta las características que proponemos a continuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.
No hay comentarios.:
Publicar un comentario