Auditoría informática, conceptualización
INTRODUCCION:
A finales del siglo
XX, los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar uno de los conceptos más vitales y necesarios para
cualquier organización empresarial, los Sistemas de Información de la empresa.
El auditor informático
ha de velar por la correcta utilización de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz Sistema de Información.
Claro está, que para la realización de una auditoría informática eficaz, se
debe entender a la empresa en su más amplio sentido, ya que una Universidad, un
Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa
Pública. Todos utilizan la informática para gestionar sus "negocios"
de forma rápida y eficiente con el fin de obtener beneficios económicos y
reducción de costes. Por eso, al igual que los demás órganos de la empresa
(Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas
Informáticos están sometidos al control correspondiente, o al menos debería
estarlo.
OBJETIVOS DE LA AUDITORIA INFORMATICA:
La Auditoría
Informática la podemos definir como el conjunto de procedimientos y técnicas
para evaluar y controlar un sistema informático con el fin de constatar si sus
actividades son correctas y de acuerdo a las normativas informáticas y
generales prefijadas en la organización.
La Auditoría
Informática deberá comprender no sólo la evaluación de los equipos de cómputo,
de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de información.
CASO PRÁCTICO AUDITORIA OPERACIONAL
CARACTERISTICAS GENERALES DE LA EMPRESA
Ubicación de la empresa
La empresa “Industria
“X”, S .A.” está ubicada en la ciudad de Bogotá lugar que fue seleccionado por
estar cerca del mercado más grande del país. La empresa cuenta con una planta y
oficinas administrativas. En la decisión para determinar el lugar en que
debería estar la empresa, nunca se llevo a cabo ningún estudio; el único
argumento que se tomó en cuenta fue el anotado de estar cerca del mercado más
grande existente.
Organización
La organización de la
empresa está estructurada como sigue: Presidente de la compañía. Al mismo nivel
gerente de ventas, gerente de producción, gerente de compras, gerente de
finanzas y gerente de personal. Dependiendo de estos gerentes existe un
Subgerente, en ocasiones llamado ayudante o asistente, y abajo de ellos el
resto del personal
No existe ninguna
gráfica de organización que la defina, y es muy común que exista invasión de
funciones y que los empleados y obreros, en ocasiones se encuentren confundidos
en cuanto a quién es su jefe; en épocas de reajuste en que ha llegado a faltar
el gerente de producción, el gerente de ventas ha intervenido en las funciones
de producción por acuerdo de la presidencia, sin que ello se haya notificado al
personal de manufactura.
Los procedimientos que
la empresa tiene para dar fluidez a su funcionamiento (compras, ventas,
contratación de personal, etc.) siempre han quedado al juicio del gerente
respectivo. Esto ha originado que en ocasiones en que se ha cambiado algún
gerente, este imponga un nuevo estilo y cambie los procedimientos a seguir,
creando confusión en el personal subordinado. En algunas entrevistas con
supervisores de producción, contabilidad y ventas, encontramos quejas de que en
ocasiones se les exigen responsabilidades que nunca se le habían notificado,
sin habérseles concedido tampoco la autoridad correspondiente, por ejemplo: A
un supervisor de producción se le llamó la atención porque tres hombres bajo
sus órdenes no estaban trabajando pues su máquina se había descompuesto; el
supervisor, desde dos días antes, había pedido mantenimiento sin habérsele
proporcionado. A un supervisor de ventas se le llamó la atención porque sus
vendedores no habían cumplido la cuota asignada, sin embargo esta cuota no se
les había notificado y en su determinación, nunca se les consultó. Al
supervisor de cuentas por pagar en el departamento de contabilidad se le llamó
la atención por no haber pagado tres facturas a un proveedor muy importante el
cual dejó de surtir por este hecho; estas facturas si habían sido aprobadas por
ese departamento un mes antes pero en la programación de pagos no había sido
incluida porque, por órdenes del gerente de finanzas, todos los pagos mayores a
$ 50.000 deberían ser detenidos.
Producción
La empresa se dedica a
la elaboración de productos farmacéuticos utiliza tecnología inglesa y alemana
por la que paga regalías y, esporádicamente, asistencia técnica.
Finanzas
Anualmente se elabora
un presupuesto, que se encomienda al gerente de finanzas. Dicho presupuesto
tiene las siguientes características: En su elaboración sólo interviene el
departamento de finanzas y esporádicamente se consulta a los gerentes de los
departamentos. El presupuesto solo es por un año. No está dividido por áreas de
responsabilidad. La principal fuente de financiamiento es la cobranza de la
empresa.
Instalaciones productivas
La compañía cuenta con
una planta la cual se ha ampliado por órdenes de expansión debido al desarrollo
de nuevos productos y a la mayor demanda de los ya existentes. El crecimiento
de la planta ha sido desordenado e improvisado.
La compañía cuenta con
el siguiente personal: Obreros 8,800 Empleados 400. La mano de obra no requiere
ser muy calificada, y generalmente se le entrena dentro de la empresa y no
existen problemas para hacer contrataciones.
Ha sido costumbre de
la empresa el estricto cumplimiento de las disposiciones laborales, que se
rigen por medio de un contrato colectivo firmado con el sindicato al que se
encuentran afiliados los obreros. En lo que a los empleados administrativos se
refiere, las relaciones se rigen por contratos individuales firmados con ellos
y las disposiciones de la ley del trabajo. Los sueldos del personal se
encuentran dentro de los niveles que pagan las industrias del ramo. La gerencia
de personal se encarga de desarrollar todas las labores de “relaciones
industriales”.
Abastecimiento de materia prima
El 60% de la materia
prima se compra en el país y el resto es importada de Inglaterra, Alemania y
Estados Unidos. La coordinación de compras está asignada al departamento
respectivo.
Ventas
Las ventas son
realizadas a través de agentes. Existen centros de distribución (bodegas
atendidas por un almacenista) en las ocho ciudades más importantes del país. Se
efectúa la publicidad a través de las revistas médicas.
Sistema de información
Existe una
organización contable bien definida que permite la captación de información
requerida para procesar los estados financieros necesarios a la empresa.
En una entrevista
llevada a cabo con el contralor se obtuvo la siguiente Información:
Mensualmente se procesan estados financieros, que se terminan 20 días después
al que pertenecen. Los estados financieros de referencia se presentan en un
legajo que incluye Balance General, Estado de Resultados, Estado de costo de
producción, y relaciones de todas las cuentas; este legajo asciende
aproximadamente 100 hojas tamaño carta. La información que se muestra sólo
tiene la información del mes y no se compara con nada; ni se incluye ninguna
explicación; sólo anualmente se comparan los estados financieros con el presupuesto.
Este legajo es enviado únicamente al presidente de la Compañía.
Auditoría interna
Dependiendo del
gerente de finanzas, existe un departamento de Auditoría interna que cuenta con
5 personas y que invierte anualmente el tiempo como sigue:
Revisión de
Conciliaciones 5 %
Visitas a oficinas
foráneas (se visitan todas varias veces al año) 30 %
Revisión de corrección
aritmética de estados financieros mensuales 5 % d.
Revisión de todas las
cuentas por pagar que aprueba la contabilidad 10%
Elaboración de la
declaración anual del impuesto sobre la renta 5 %
Revisión de: 45 %
Circulación de cuentas
por cobrar. Revisión de evaluación de inventarios a final de año. Revisión de
cuentas de gastos. Revisión de importaciones. Pruebas de ingresos. Otras
revisiones encomendadas por la gerencia de finanzas.
Beneficios por área haciendo auditoría
Área financiera
|
Área operativa
|
Área administrativa
|
Área informática
|
|
conocimiento
|
agilidad
|
orden
|
integración
|
|
Seguridad
|
agilidad
|
confianza
|
equilibrio
|
|
tranquilidad
|
comodidad
|
efectividad
|
capacidad
|
|
eficiencia
|
productividad
|
capacidad
|
participación
|
|
capacidad
|
rendimiento
|
simplificación
|
potencia
|
Herramientas y Técnicas para la Auditoría Informática
Cuestionarios:
Las auditorías informáticas se materializan
recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes entornos.
El trabajo de campo del auditor consiste en lograr toda la información
necesaria para la emisión de un juicio
global objetivo, siempre amparado en hechos demostrables, llamados también
evidencias.
Para esto, suele ser lo habitual comenzar
solicitando la cumplimentación de cuestionarios pre-impresos que se envían a
las personas concretas que el auditor cree adecuadas, sin que sea obligatorio
que dichas personas sean las responsables oficiales de las diversas áreas a
auditar.
Estos cuestionarios no
pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y
muy específicos para cada situación, y muy cuidados en su fondo y su forma.
Cabe aclarar, que esta
primera fase puede omitirse cuando los auditores hayan adquirido por otro
medios la información que aquellos pre-impresos hubieran proporcionado.
Entrevistas:
El auditor comienza a
continuación las relaciones personales con el auditado. Lo hace de tres formas:
Mediante la petición
de documentación concreta sobre alguna materia de su responsabilidad.
Mediante “entrevistas”
en las que no se sigue un plan predeterminado ni un método estricto de
sometimiento a un cuestionario.
Por medio de
entrevistas en las que el auditor sigue un método pre establecido de antemano y
busca unas finalidades concretas.
La entrevista es una de las actividades
personales más importante del auditor; en ellas, éste recoge más información, y
mejor matizada, que la proporcionada por medios propios puramente técnicos o
por las respuestas escritas a cuestionarios.
El auditor informático
experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversación correcta y lo
menos tensa posible, el auditado conteste sencillamente y con pulcritud a una
serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es
solo aparente. Tras ella debe existir una preparación muy elaborada y
sistematizada, y que es diferente para cada caso particular.
Checklist:
El auditor profesional y experto es aquél
que reelabora muchas veces sus cuestionarios en función de los escenarios
auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son
vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual
no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el contrario, el auditor conversará y hará
preguntas “normales”, que en realidad servirán para la cumplimentación
sistemática de sus Cuestionarios, de sus Checklists.
El conjunto de estas preguntas recibe el
nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas
oralmente, ya que superan en riqueza y generalización a cualquier otra forma.
Según la claridad de
las preguntas y el talante del auditor, el auditado responderá desde posiciones
muy distintas y con disposición muy variable. El auditado, habitualmente
informático de profesión, percibe con cierta facilidad el perfil técnico y los
conocimientos del auditor, precisamente a través de las preguntas que éste le
formula. Esta percepción configura el principio de autoridad y prestigio que el
auditor debe poseer.
El auditor deberá aplicar la Checklist de
modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo
menos posible a éste, y solamente en los casos en que las respuestas se aparten
sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar
a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso,
se deberá evitar absolutamente la presión sobre el mismo.
Algunas de las preguntas de las Checklists
utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia
distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las
mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con
mayor facilidad los puntos contradictorios; el auditor deberá analizar los
matices de las respuestas y reelaborar preguntas complementarias cuando hayan
existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no
debe percibir un excesivo formalismo en las preguntas. El auditor, por su
parte, tomará las notas imprescindibles en presencia del auditado, y nunca
escribirá cruces ni marcará cuestionarios en su presencia.
Los cuestionarios o
Checklists responden fundamentalmente a dos tipos de “filosofía” de
calificación o evaluación:
Checklist de rango
Contiene preguntas que
el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de
1 a 5, siendo 1 la respuesta más
negativa y el 5 el valor más positivo)
Checklist Binaria
Es la constituida por
preguntas con respuesta única y excluyente: Si o No. Aritmeticamente, equivalen
a 1(uno) o 0(cero), respectivamente.
Las Checklists de rango son adecuadas si el
equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes
en las valoraciones. Permiten una mayor precisión en la evaluación que en la
checklist binaria. Sin embargo, la bondad del método depende excesivamente de
la formación y competencia del equipo auditor.
Las Checklists Binarias siguen una
elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión,
como corresponde a la suma precisión de la respuesta. Una vez construidas,
tienen la ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genérico del <si o no> frente a la mayor riqueza del
intervalo.
No existen Checklists estándar para todas y
cada una de las instalaciones informáticas a auditar. Cada una de ellas posee
peculiaridades que hacen necesarios los retoques de adaptación correspondientes
en las preguntas a realizar.
Trazas y/o Huellas:
Con frecuencia, el auditor informático debe
verificar que los programas, tanto de los Sistemas como de usuario, realizan
exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones,
rastrean los caminos que siguen los datos a través del programa.
Muy especialmente, estas “Trazas” se
utilizan para comprobar la ejecución de las validaciones de datos previstas.
Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la
herramienta auditora produce incrementos apreciables de carga, se convendrá de
antemano las fechas y horas más adecuadas para su empleo.
No obstante la utilidad de las Trazas, ha de
repetirse lo expuesto en la descripción de la auditoría informática de
Sistemas: el auditor informático emplea preferentemente la amplia información
que proporciona el propio Sistema: Así, los ficheros de <Accounting> o de
<contabilidad>, en donde se encuentra la producción completa de aquél, y
los <Log*> de dicho Sistema, en donde se recogen las modificaciones de
datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera
automáticamente exacta información sobre el tratamiento de errores de maquina
central, periféricos, etc.
Software de Interrogación:
Hasta hace ya algunos años se han utilizado
productos software llamados genéricamente <paquetes de auditoría>,
capaces de generar programas para auditores escasamente cualificados desde el
punto de vista informático.
Más tarde, dichos productos evolucionaron
hacia la obtención de muestreos estadísticos que permitieran la obtención de
consecuencias e hipótesis de la situación real de una instalación.
En la actualidad, los
productos Software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente
por los auditores externos, por cuanto los internos disponen del software
nativo propio de la instalación.
Del mismo modo, la proliferación de las
redes locales y de la filosofía “Cliente-Servidor”, han llevado a las firmas de
software a desarrollar interfaces de transporte de datos entre computadoras
personales y mainframe, de modo que el auditor informático copia en su propia
PC la información más relevante para su trabajo.
Finalmente, ha de indicarse la conveniencia
de que el auditor confeccione personalmente determinadas partes del Informe.
Para ello, resulta casi imprescindible una cierta soltura en el manejo de
Procesadores de Texto, paquetes de Gráficos, Hojas de Cálculo, etc.
|
cuestionarios
|
abundante información
|
diversidad en los
aspectos
|
múltiples áreas
|
|
entrevistas
|
apreciación personal
|
claridad y precisión
|
múltiples detalles
|
|
checklist
|
aclaraciones
directas
|
experiencias
compartidas
|
solidez informativa
|
|
trazas y o huellas
|
amplitud y
profundidad
|
completo panorama
|
racionalidad
sistemática
|
|
software de
interrogación
|
alcance y
complejidad
|
alcance y solidez
|
automatización y
equilibrio
|
Conclusiones:
La informática crece
porque hay auditoría, entre diversos asuntos de diversa índole, y no solo transforma
las costumbres, usos y normas sociales, sino que lo económico, lo científico y
lo administrativo también dan el salto de los que autores muy serios, nada de
ficciones, definen como el salto a las estrellas, el gran viaje del que algunos
no quieren saber nada, y que realizan como dinosaurios o intrusos enajenados
(sic).
CONTROL INTERNO SENA (emprendedoresipiales)
No hay comentarios.:
Publicar un comentario