Informe del Auditor

Es un medio formal para comunicar los objetivos de la Auditoría, el cuerpo de las normas de Auditoría, el alcance de la Auditoría, y los hallazgos y conclusiones del proceso de evaluación relacionado con las áreas de informática. La elaboración del informe representa el momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculación con el factor de riesgo, tarea eminentemente de carácter profesional y ético, según el leal saber y entender del Auditor Informático.

No existe un formato específico. Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los Auditores.

El Informe de Auditoría deberá ser:

- Claro

- Adecuado

- Suficiente

- Comprensible

El formato del Informe debe reflejar una presentación lógica y organizada. El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas. 

Requisitos del Informe

Los requisitos de un Informe de Auditoría son:

1- Ser veraz

2- Estar documentado formalmente

3- Mostrar las observaciones (debilidades) encontradas

4- Tener recomendaciones y soluciones para cada observación

5- Reflejar las áreas de oportunidad y cursos de acción 

Desarrollo del Informe 

Los puntos esenciales de un Informe de Auditoría son: 

1- Identificación del Informe:

El título del Informe deberá identificarse como objeto de disitnguirlo de otros informes

2- Identificación del Cliente:

Debe identificarse a los destinatarios y a las personas que efectúen el encargo 

3- Identificación de la Entidad auditada:

Identificación de la entidad objeto de la Auditoría Informática

4- Objetivos de la Auditoría Informática:

Declaración de los objetivos de la Auditoría para identificar su propósito, señalando los objetivos incumplidos.

5- Normativa aplicativa y excepciones:

Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la Auditoría

6- Alcance de la Auditoría:

Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información..., señalando limitaciones del alcance y restricciones del auditado

7- Conclusiones: Informe corto de opinión. El Informe debe contener uno de los siguientes tipos de opinión:

a) Opinión favorable: es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional 

b) Opinión con salvedades: se reitera lo dicho en la opinión favorable al respecto de las salvedades cuando sean significativas en relación con los objetivos de auditoría, describiéndose con precisión la naturaleza y razones

c) Opinión desfavorable: es aplicable en el caso de identificación de irregularidades y de incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de la AI.

d) Opinión denegada: puede tener su origen en las limtaciones al alcance de auditoría, irregularidades, y al incumplimiento de normativa legal y profesional

e) Resumen: consiste en una opinión personal de lo llevado a cabo

8- Resultado: Informe largo y otros informes. Este tipo de informe permite saber más. Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la Auditor. 

9- Informe previo: Este tipo de informe permite tener información de referencia 

10- Fecha del Informe: Permite conocer la magnitud del trabajo y sus implicaciones

11- Identificación y firma del Auditor 

12- Distribución del Informe: Se define quienes podrán hacer uso del Informe

Conclusiones: Es un juicio de valor u opinión personal con justificación

Papeles de Trabajo en las Auditorías

Son el conjunto de documentos, planillas o cédulas, en las cuales el auditor registra  los datos y la información obtenida durante el proceso de Auditoría, los resultados y las pruebas realizadas. Los papeles de trabajo también pueden constituir la información almacenada en cintas, películas u otros medios (diskettes), y puede habilitarse  sobre listados, y fotocopias de documentos claves de la organización, sin incurrir a exceso de copiar todo el archivo.

 

Al preparar el auditor los papeles de trabajo debe evitar acumular exceso de documentación, (Calidad vs Cantidad), esto se simplifica utilizando marcas de auditoria, es decir, certificando o validando información o actuaciones físicas que se tuvo a la vista, mediante marcas y referencias previamente definidas, tales como:

√  Verificado y cruzado contra registros contables.

∑  Sumado

%  Porcentaje observado.

₫   Totalizado

≈ Cifras verificadas.

∞  Soportes originales vistos.

... entre otras. 

Los papeles de trabajo tienen los siguientes propósitos:

• Soportar por escrito la planeación del trabajo de auditoría.
• Instrumento o medio de supervisión y revisión del trabajo de auditoría.
• Registra la evidencia como respaldo de la auditoria y de informe
• Se constituye en soporte legal en la medida de requerir pruebas.
• Memoria escrita de la auditoría.

En los papeles de trabajo se registran:

• La planeación.
• La naturaleza, oportunidad y el alcance de los procedimientos de auditoría desarrollados.
• Los resultados
• Las conclusiones extraídas y las evidencias obtenidas.
• Incluyen sólo asuntos importantes que se requieran junto con la conclusión del auditor y los hechos que fueron conocidos por el auditor durante el proceso de auditoría.

La NIA (Norma Internacional de Auditoría) en su Documentación señala que la extensión de los papeles de trabajo es un caso de juicio profesional por lo que es necesario y práctico documentar todos los asuntos importantes que el auditor considere.

La SAS (Statistical Analysis Systems) y NIA  indican que los papeles de trabajo incluyen, entre otros, las siguientes

informaciones:

•  Información referente a la estructura orgánica de la entidad examinada.
• Extractos o copias de documentos legales importantes, convenios, y estatutos.
• Información concerniente al entorno económico y legislativo dentro de los que opera la  entidad.
• Evidencia del proceso de planeamiento incluyendo programas de auditoría y cualquier cambio al respecto.
• Evidencia de la comprensión de los sistemas de contabilidad y de control interno.
• Evidencia de evaluaciones de los riesgos inherentes y de control.
• Evidencia sobre la evaluación del trabajo de auditores internos y las conclusiones

           alcanzadas.

• Evidencia de que los trabajos realizados por los auxiliares fue supervisado y revisado.
• Análisis de transacciones y balances.
• Análisis de tendencias e índice importantes.
• Un registro de la naturaleza, tiempo y grado de los procedimientos de auditoría

desarrollados y de los resultados de dichos procedimientos.

• Una indicación sobre quien desarrolló los procedimientos de auditoría y cuando fueron desarrollados.

• Copias de comunicaciones con otros auditores, expertos y otras terceras partes.
• Copias de cartas o notas referentes a asuntos de auditoría comunicados, o discutidos con la entidad, incluyendo los términos del trabajo y las debilidades sustanciales en control interno.

• Cartas de presentación recibidas de la entidad.
• Conclusiones alcanzadas por el auditor,  concernientes a aspectos importantes de la auditoría, incluyendo cómo se resolvieron los asuntos excepcionales o inusuales, revelados por los procedimientos del auditor.
• Copias de los estados financieros, dictamen u otros informes del auditor, etcétera.

Propiedad y custodia de los papeles de trabajo

El auditor debe custodiar con cuidado
la integridad de los papeles de trabajo

Los papeles de trabajo son de propiedad de los órganos o firmas de auditoría. El auditor debe custodiar con cuidado y vigilancia la integridad de los papeles de trabajo, debiendo asegurar en todo momento, y bajo cualquier circunstancia, el carácter secreto de la información contenida en los mismos.

Es difícil establecer el tiempo que un auditor debe conservar los papeles de trabajo, pero es recomendable conservarlos porque son importantes para auditorias futuras y para cumplir con los requerimientos legales en caso de litigios.

Los archivos de papeles de trabajo para cada examen pueden dividirse en dos grupos básicos:

a) Los archivos corrientes: contienen las informaciones relacionadas con la planificación y Supervisión que no son de uso continuo en auditorias posteriores tales como:

• Revisiones corrientes de controles administrativos.
• Estados financieros motivo de auditoria.

• Análisis de información financiera
• Notas a los estados financieros.
• Correspondencia corriente. (Entrada y salida) 
• Programas de auditoría y otros papeles que respaldan las observaciones.
• Preparación del informe, inclusive el borrador del informe.

b) Los archivos permanentes: deberán contener informaciones importantes para utilizar en

Auditorias  futuras tales como:

• El historial legislativo sobre la creación de la entidad y sus programas y actividades
• La legislación de aplicabilidad continúa en la entidad, políticas y procedimientos de la entidad. 
• Financiamiento, organización y personal.
• Políticas y procedimientos de presupuestos. Contabilidad e informes, estatutos, memorias anuales, etc.
• Manuales, (Contable, presupuesto, tesorería, contratación, almacén, procesos misionales, entre otros).  
• En general la información que no varia con el tiempo.

La documentación de la auditoría

La documentación de la auditoría es el principal registro de los procedimientos aplicables de la auditoria, la evidencia obtenida, y conclusiones alcanzadas en la ejecución de esta. La documentación de la auditoría debería incluir toda la información que el auditor considere necesaria para realizar la auditoría de forma correcta y proporcionar el apoyo para el informe de auditoría. La documentación de la auditoría también podría referirse a los papeles de trabajo.

Objetivos de la documentación de la auditoría

El objetivo general es la de ayudar al auditor a proporcionarle una seguridad razonable de que una auditoría adecuada se realice de acuerdo con las normas establecidas. La documentación de la auditoría, si pertenece al año corriente de la auditoría, provee la base para la planeación de la auditoría, un registro de la evidencia acumulada y los resultados de las pruebas, datos para determinar el tipo adecuado del informe de auditoría y una base para la revisión por parte de supervisor y socios.

La documentación de auditoría es el recurso más importante para demostrar por medio de documentos que una auditoría fue realizada de forma adecuada y conforme a las normas de auditoría generalmente aceptadas. La documentación de la auditoría proporciona una importante fuente de información para ayudar al auditor a decidir la emisión del informe de auditoría adecuado en determinadas circunstancias.

Los datos en los archivos son útiles para la evaluación de un ámbito adecuado de auditoría y de la objetividad de lo auditado. Los archivos de auditoría son el marco de referencia más importante utilizado por el personal supervisor para evaluar si la evidencia competente recopilada es suficiente para justificar el informe de auditoría.

Propiedad de los archivos de auditoría

Son propiedad del auditor la documentación de la auditoría preparada durante su cargo en la compañía, incluyendo los calendarios elaborados por el cliente para el auditor. El único momento en el que cualquier persona, incluyendo al cliente, tiene el derecho legal de examinar los archivos es cuando éstos son citados ante un tribunal como evidencia legal. Al momento de la terminación del contrato, los archivos de la auditoría son guardados en las instalaciones de los contadores públicos para referencias futuras.

Confidencialidad de los archivos de auditoría

No se deberá revelar ninguna información confidencial que se haya obtenido en el curso de la prestación de auditoría profesional excepto con el consentimiento del cliente. Durante la auditoria, los auditores consiguen una gran cantidad de información de naturaleza confidencial, incluyendo los sueldos de los funcionarios, los precios de los productos, los planes de publicidad e información sobre el costo del producto. Si los auditores divulgaran esta información a gente externa o a empleados del cliente a quienes se les haya negado su acceso, su relación con la dirección se vería muy afectada.

Herramientas y técnicas para la Auditoría Informática

CUESTIONARIO:

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.

Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

ENTREVISTAS:

El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 

• Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 
• Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 
• Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. 

El auditor experto entrevista al auditado
siguiendo un cuidadoso sistema

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.

CHECKLISTS:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación: 

• Checklist de rango: 

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.

• Checklist Binaria:

Las Checklists Binarias siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor riqueza del intervalo.

TRAZAS O HUELLAS:

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean productos que comprueban los valores asignados por Técnica de Sistemas a cada uno de los parámetros variables de las Librerías más importantes del mismo. Estos parámetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el número de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignación de unidades de servicio para según cuales tipos carga. Estas actuaciones, en principio útiles, pueden resultar contraproducentes si se traspasan los límites.