viernes, 1 de febrero de 2013

Proceso de auditoría - Parte 2 de 2 - Auditoría de Sistemas


VI. EJECUCIÓN DE LA AUDITORÍA

-   Desarrollo del plan de auditoría
 
La ejecución de la auditoría corresponde a la puesta en marcha del plan. En este tópico registramos los resultados de la aplicación tanto de las pruebas de cumplimiento como sustantivas.

  • Pruebas de cumplimiento
Ejecutadas  las  pruebas  de  cumplimiento,  redactaremos  los  resultados.  Aquellas desviaciones  a  los  estándares  o  procedimientos  establecidos  por  la  empresa conformarán los insumos para los hallazgos y observaciones redactadas en el informe final.
  • Pruebas sustantivas
Con la ejecución de estas pruebas, el auditor está en condiciones de determinar la validez de los controles respecto a lo normado. También se identifican las brechas con los modelos referenciales propuestos.
Por ejemplo: Después de ejecutar la prueba sustantiva de “task force”, uno de los resultados puede ser:  Se tiene ID de usuarios con Claves de usuario en blanco. Si el modelo de referencia es COBIT 4.1. Podemos decir que hemos encontrado una brecha con la actividad DS5.3 “Administración de identidad” del Dominio “ Entregar y Dar soporte”, Proceso DS5 “Garantizar la seguridad de los sistemas”. Esta situación no garantiza la autenticidad de la identidad del usuario.



VII. INFORME DE AUDITORÍA – GENERAL

En la presente guía, nos vamos a centrar en el informe corto, orientado a la alta dirección del negocio. Este tipo de informe también se le denomina informe corto. La longitud en número de páginas, se recomienda esté en el rango de 3 a 5. Detalle de los componentes de este informe, se describen más adelante.


VIII. CONCLUSIONES

El  proyecto  de  auditoría,  se  enmarca  dentro  del  proceso  de  mejora  continua  de  las organizaciones.  Por  ende  el  equipo  auditor  confirma  o  descubre  nuevos  aspectos relacionados a su labor.
Ejemplo de una conclusión puede ser “Los trabajos de auditoría, requieren de equipos de trabajo cohesionados, donde cada integrante además de cumplir plenamente su rol se integra rápidamente de manera armónica con sus compañeros.”



IX. RECOMENDACIONES

Siempre hay aspectos que mejorar, por ende debemos registrar propuestas que busquen elevar el nivel competitivo de la labor.
Ejemplo de una Recomendación sería “Mantener una Bitácora del rendimiento y productividad de los miembros del equipo de tal forma de mantener los niveles de  cohesión del equipo”.


X. BIBLIOGRAFÍA


XI. ANEXOS

Generalmente registraremos en esta sección información adicional o papeles de trabajo.




Estructura del informe corto del Informe de Auditoría

-    Título del informe
 
Como ya se mencionó podemos generalizar más de un objeto auditable o ser específico. Un ejemplo de título puede ser: “Auditoría al soporte informático en la empresa XYZ”

-   Lista de distribución
 
Si bien es cierto en el trabajo de auditoría se tuvieron muchos participantes no todos tendrán acceso al informe. Vamos a caracterizar la lista de distribución en los siguientes niveles:

  • Nivel corporativo más alto
Ejemplo:Directorio, Gerencia General.
  • Responsables directos
Ejemplo:Dirección de Tecnologías
  • Equipo de auditoría
El auditor debe mantener copia del informe como parte de sus archivos permanentes.

-   Detalle del equipo de Auditoría
 
Incluiremos la lista de los miembros del equipo auditor y el rol que desempeñaron en el proyecto.

-   Resumen Ejecutivo
 
Como ya se mencionó este informe está centrado en el más alto nivel directriz, por ende la información que aquí se detalla debe ser breve y sobre todo relevante en términos de negocio.

  • Antecedentes
Se debe indicar si en la organización han existido trabajos previos de auditoría. Es conveniente también mencionar la razón que dio origen al trabajo de auditoría.

  • Alcance de la auditoría y objetivos (Considerar el período cubierto)
Es importante incluir el período cubierto durante la revisión. Del mismo modo se debe precisar el objetivo del desarrollo de la auditoría.

  • Principales  observaciones  de  auditoría (Considerar  por  cada  observación  la respuesta del auditado)
Si bien es cierto durante la ejecución se pueden tener múltiples observaciones lo que debemos hacer en este informe es considerar las más relevantes. De acuerdo a su relevancia, las podemos agrupar en: 
- Primarias
- Secundarias

  • Conclusiones
Las conclusiones deben estar en función de
  • Recomendaciones
Las  recomendaciones,  representan  las  fortalezas  del  auditor.  Estas  deben  estar centradas en el negocio de tal forma de mostrar el rol de agente de cambio que distingue al auditor.

-   Agradecimientos por el apoyo a la auditoría
 
Como se mencionó en líneas anteriores, el proceso de auditoría se realiza durante las actividades cotidianas de la organización. Esto implica que el personal de la empresa brindó las facilidades para que el proyecto llegue a buen término. Por ende el equipo auditor debe expresar su agradecimiento y plasmarlo el informe.

-   Calificación del proceso de auditoría (Por parte del auditado)
 
Es conveniente considerar la opinión del auditado de tal forma que contribuya a la mejora del equipo auditor.
Un instrumento para recabar la opinión del auditado pueden ser encuestas con preguntas cerradas para reducir los niveles de subjetividad.




Espero haber ayudado en algo. Hasta la próxima oportunidad!

No hay comentarios:

Publicar un comentario en la entrada