Pruebas del consentimiento El objetivo de la fase de pruebas
sustantivas es obtener evidencia
El objetivo de la fase de prueba de suficiente que permita al auditorio emitir consentimiento es el de determinar si los su juicio en las conclusiones acerca de controles internos Operan cómo fueron cuándo pueden ocurrir pérdidas diseñados para operar. El auditor debe materiales durante el procesamiento de determinar si los controles declarados en la información. El auditor externo realidad existen y si realmente trabajan expresará este juicio en forma de opinión confiablemente. sobre cuándo puede existir un proceso Además de las técnicas manuales de equivocado o falta de control de la recolección de evidencias, muy información. se pueden identificar ocho frecuentemente el auditor debe recurrir a diferentes pruebas sustantivas: técnicas de recolección de información Pruebas para identificar errores asistidas por computadora, Para en el procesamiento o de falta de determinar la existencia y confiabilidad seguridad o confidencialidad. de los controles. Por ejemplo, Para Pruebas para asegurar la calidad evaluar la existencia y confiabilidad de de los datos. los controles de un sistema en red, se requerirá el entrar a la red y evaluar Pruebas para identificar la
directamente el sistema. inconsistencia de los datos
Pruebas para comprar con los Pruebas de controles del usuario datos o contadores físicos. En algunos casos el auditor puede decidir Confirmación de datos con el no confiar en los controles internos fuentes externas dentro de las instalaciones informática, Pruebas para confirmar la porque el usuario ejerce controles que adecuada comunicación compensan cualquier debilidad dentro de Pruebas para determinar falta de los controles internos de informática. seguridad Estas pruebas que compensan las Pruebas para determinar deficiencias de los controles internos se problemas de legalidad pueden realizar mediante cuestionarios, Debemos cuestionarnos el beneficio de entrevistas, vistas y evaluación hechas tener un excesivo control o bien evaluar directamente con el usuario. el beneficio marginal de tener mayor Pruebas sustantivas control contra el costo que representa éste. Para ello es necesario evaluar el Obtener mayor soporte de la alta costo por falta del sistema, y sus gerencia. repercusiones para determinar el grado Realizar una auditoria en informática en de riesgo y confianza necesarios contra un trabajo complejo. Por ello, Para lograr el costo de implantación de controles y el los objetivos, el auditor necesitas dividir costo recuperación de la información o los sistemas en una serie de subsistemas, eliminación de las repercusiones. identificando los componentes que El auditor debe participar en tres Estados realizan las actividades básicas de cada del sistema: subsistema, evaluar la confianza de cada componente, y la de los subsistemas, y Durante la fase de diseño del en forma agregada evaluar cada sistema. subsistema hasta llegar a una evaluación Durante la fase de operación. global sobre la confianza total del Durante la fase posterior a la sistema. Esto se deberá realizar sin auditoría. olvidar el postulado de investigación de En general, la opinión del gerente de operaciones, que no señala que: informática y de la alta gerencia La suma de los próximos parciales de los consideran que el auditor participe en la subsistemas no es igual al óptimo del fase de diseño disminuye la sistema, pero nos da una buena independencia del auditor, pero existen aproximación. varias formas en las cuales se puede eliminar esto: Los pasos que involucran una auditoría informática son similares a aquellos que Aumentando los conocimientos se realizan para auditar un sistema en informática del auditor. manual. Primero se realiza una Asignar diferentes auditores a la investigación preliminar del área de fase de diseño, al trabajo de informática, para lograr un auditoria y al posterior a la entendimiento de cómo está siendo auditoría. administrada la instalación y de los Crear una sección de auditoria principales sistemas que son procesados. informática dentro del En segundo lugar, si el auditor determina departamento de auditor interno confiar en los controles internos del coma especializado en auditoría sistema, se realiza una investigación en informática. detallada. en tercero, el auditor, de Algunos sistemas de aplicaciones acuerdo con su juicio, prueba la son de más alto riesgo que otros confianza sobre aquellos controles qué debido a que: son críticos. En cuarto, se realizan Son susceptibles a diferentes pruebas sustantivas de los tipos de pérdidas económicas procedimientos. Finalmente, el auditor Fraudes y desfalcos entre los cuales están debe dar una opinión. Después de estos los sistemas financieros. pasos el auditor evalúa los controles internos del sistema y decide sí debe El auditor debe de poner especial proceder con pasos alternativos. atención a aquellos sistemas que requieran de un adecuado control Durante la auditoría informática deben financiero. tomarse muchas decisiones difíciles. cada evaluación sobre la confianza de los Flujo de caja, inversiones cuenta por sistemas de control interno requiere de pagar y cobrar, nómina. Las fallas evaluaciones complejas realizadas en pueden impactar grade grandemente a la forma conjunta con las evidencias organización obtenías. Las fallas pueden impactar grandemente a la organización.
Evaluación de los sistemas de acuerdo Una falla en el procesamiento de la
al riesgo. nómina puede tener como consecuencia el que se tenga una huelga. Una de las formas de evaluar la importancia que puede tener para la Interfieren con otros sistemas, y organización un determinado sistema, es los errores generados permean a considerar el riesgo que implica el que otros sistemas. no se ha utilizado adecuadamente, la Potencialmente, al riesgo debido perdida de la información o bien el que a daños en la competencia. sea usado por personal ajeno a la Algunos sistemas le dan a la organización. Para evaluar el riesgo de organización un nivel un sistema con mayor detalle véase el competitivo muy alto dentro de apartado “Plan de contingencia y un mercado. procedimiento de respaldo para casos de Sistema de planeación estratégica. desastre”, en el capítulo 6. Patente, derecho de autor, los cuáles son las mayores fuentes de recursos de la otras organizaciones que se hayan organización. Otros a través de los cuales investigado. su perdida puedes destruir la imagen de La investigación preliminar debe la organización. incorporar fases de evaluación del Sistemas de tecnología de punta control en gerencial y del control de las o avanzada. Sí lo sistema aplicaciones. Durante la revisión de los utilizan tecnología avanzada o controles gerenciales el auditor debe de punta. entender a la organización y las políticas y prácticas gerenciales usadas en cada Sistemas de bases de datos, sistemas uno de los niveles, dentro de la jerarquía distribuidos o de comunicación, de la instalación en que se encuentran las tecnología sobre la cual la organización computadoras. Durante la revisión de los tenga muy poca experiencia o respaldo, controles de las aplicaciones, el auditor la cuál es más probable que sea una debe entender los controles ejercidos fuente de problemas de control. sobre el mayor tipo de transacciones que Sistemas de alta de alto costo. fluyen a través de los sistemas de Sistemas que son muy costosos aplicaciones mas significativos dentro de de desarrollar, los cuáles son la instalación de computadoras. frecuentemente sistemas Se debe recopilar información para complejos que pueden presentar obtener una visión general del muchos problemas de control departamento por medio de problemas de control. observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad
Investigación Preliminar es definir el objetivo y alcance del
estudio, así como el programa detallado Es necesario iniciar el trabajo de de la investigación. obtención de datos con un contacto preliminar que permita una primera idea Se deberá observar el estado general del
global. El objetivo de este primer departamento o área, su situación dentro
contacto es percibir rápidamente las de la organización, si existe la
estructuras fundamentales y diferencias información solicitada, si es o no
principales entre organismos auditar y necesaria y la fecha de su última
actualización. En el caso de la auditoría en informática personal responsable aplique la misma debemos comenzar la investigación disciplina de trabaja y los métodos que se preliminar con una visita al organismo, exigen normalmente a los usuarios. al área de informática y a los equipos de Podemos hablar de tener el control, cómputo, y solicitar una serie de únicamente cuando se contemplaron los documentos. La investigación preliminar objetivos, se estableció un presupuesto y se debe hacer solicitando y revisando la se registraron correctamente los costos información de cada una de las áreas, en el desarrollo de la aplicación, y basándose en los siguientes puntos: cuando ésta contempla el nivel de servicio en términos de calidad y tiempos Administración. Se recopila la mínimos de entrega de resultados de la información para obtener una visión operación del computador. general del departamento por medio de observaciones, entrevistas preliminares El éxito de la dirección de informática y solicitud de documentos para poder dentro de una organización depende definir el objetivo y alcances del finalmente de que todas las personas departamento. responsables adoptan una actitud positiva respecto a su trabajo y evalúen La eficiencia en el departamento de constantemente la eficiencia en su propio informática sólo se puede lograr si sus trabajo, así como el desarrollado en su objetivos están integrados con los de la área, estableciendo metas y estándares institución y si permanentemente se que incrementen su productividad. adapta a los posibles cambios de éstos. La dirección de informática, según las Esta adaptación únicamente puede ser diferentes áreas de la organización, es posible si los altos ejecutivos y los evaluada desde diferentes puntos de usuarios de los sistemas toman parte vistas. activa en las decisiones referentes a la dirección y utilización de los sistemas de Los usuarios a nivel operativo información, y si el responsable de dicho generalmente la ven como una sistema constantemente consulta pide herramienta para incrementar su asesoría y cooperación a los ejecutivos y eficiencia en el trabajo. Para estos usuarios. usuarios, la dirección de informática es una función de servicio. Cada grupo de Asimismo, el control de la dirección de usuarios tiene su propia expectativa del informática no es posible, a menos que el tipo y nivel de servicio, sin considerar el costo del mismo y normalmente sin incremento del factor económico o tomar en cuenta las necesidades de otros viceversa. grupos de usuarios. Para poder analizar y dimensionar la Los altos ejecutivos consideran a la estructura a auditar se debe solicitar. dirección de informática como una A nivel organización total: inversión importante, que tiene la función de participar activamente en el Objetivos a corto y largo plazos.
cumplimiento de los objetivos de la Manual de la organización.
organización. Por ello, esperan un Antecedentes o historia del máximo del retorno de su inversión; organismo esperan que los recursos destinados a la Políticas generales. dirección de informática proporcionen A nivel del área de informática: un beneficio máximo a la organización y que esta participe en la administración Objetivos a corto y largo plazos.
eficiente y en la minimización de los Manual de organización del área
costos mediante información que que incluya puesto, funciones,
permita una adecuada toma de niveles jerárquicos y tramos de
decisiones. Los directivos, con toda la mando.
razón, consideran que la organización Manual de políticas, reglamentos
cada día depende más del área de internos y lineamientos
informática y consecuentemente esperan generales.
que se deba administrar lo mas eficiente Número de personas y puestos en
y eficaz posible. el área. No ésta actualizado Esencialmente, la meta principal de los No es la adecuada administradores de la dirección de Se usa, está actualizada, es la informática es la misma que inspira adecuada y está completa. cualquier departamento de servicio: combinar un servicio adecuado con una En el caso de que no se disponga de la operación económica. información y se considere que no se necesita, se debe evaluar la causa por la El problema estriba en balancear el nivel que no es necesaria, ya que se puede de servicio a los usuarios, que siempre estar solicitando un tipo de información puede ser incrementado a costa de un que debido a las características del organismo no se requiera. Eso nos dará auditoría no solo debe considerar errores, un parámetro muy importante para hacer sino también señalar los aciertos. una adecuada planeación de la auditoría. Antes de concluir esta etapa no se olvide En el caso de que no se tenga la que el éxito del análisis crítico depende información pero que sea necesaria, se de las consideraciones siguientes: debe recomendar que se elabore de Estudiar hechos y no opiniones acuerdo con las necesidades y con el uso (no se toman en cuenta los que se le va a dar. rumores ni la información sin En el caso de que se tenga la información fundamento). Investigar las pero que no se utilice, se debe analizar causas, no los efectos. por qué no se usa. El motivo puede ser Atender razones, no excusas. que esté incompleta, que no esté No confiar en la memoria, actualizada, que no sea la adecuada, etc. preguntar constantemente. Hay que analizar y definir las causas para Criticar objetivamente y a fondo señalar alternativas de solución, lo que todos los informes y los datos nos lleva a la utilización de la recabados. información.
En caso de que se tenga la información,
se debe analizar si se usa, si está actualizada, si es la adecuada y si está completa; de ser así, se considerará dentro de las conclusiones de la evaluación, ya que como se dijo la