Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

1

Mg, Ing. Jack Daniel Cáceres Meza, PMP

Auditoría de SistemasIngeniería de Sistemas y Seguridad Informática

Mg. Ing. Jack Daniel Cáceres Meza, [email protected]

Sesiones 01 a 06

2


Bibliografía

Mario G. Piattini Velthuis y Emilio del Peso Navarro. Auditoría

informática – Un enfoque práctico. Editorial RA-MA, 2000.

José Antonio Echenique. Auditoría en informática. McGraw-Hill,

2001.

Enrique Hernández Hernández. Auditoría en informática.

Compañía Editorial Continental, 2004.

Carlos Muñoz Pazo. Auditoría en sistemas. Pearson, 2009.

ISACA, COBIT 5

ONGEI. Auditoría de sistemas. Disponible en:

http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm

http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm

3


¿Qué esperamos encontrar en las empresas?

Economía

Eficiencia

Eficacia Efectividad

Transparencia

Estrategia

Estándares

Mejores prácticas

Gestión

http://www.robeco.es/vision-del-mercado/global-premium/la-filosofia-de-los-tres-circulos.jsp

Ejec

uci

ón

4


5


Experiencias –la realidad

(in) Cumplimiento de licencias de software -identificar software pirata, control delicencias)

Incompatibilidad del hardware y software –problemas de integración, responsabilidad

Errores frecuentes de la aplicación -“caída”, resultados inexactos, lentitud

Bases de Datos con problemas de integridad

Bajo desempeño del hardware y software –planeamiento de capacidad inadecuado,insuficiente, inapropiado, inexistente

Proyectos con retrasos o que “nunca terminan” –deficiencias de gestión o su inexistencia

Insatisfacción de los usuarios para con los sistemas de información –¿niveles de servicio?¿qué es eso?

Demoras en la atención –más de lo mismo

Corrección frecuente a los programas de las aplicaciones –¿sabemos programar?

Fallas en el control de versiones -¿quién es dueño de la información?

Retrabajos –¿qué pasó aquí?

Alta rotación de personal –aburrimiento, desconfianza, inseguridad

Funciones no establecidas –más de lo mismo y menos S/.S/.S/.

6


Riesgos

• Desconfianza en el servicio

• Pérdida de confianza en la corrección y compleción de la información

• Pérdida o divulgación no autorizada de información valiosa para la empresa

• Manipulación no adecuada o autorizada de la información.

• Acceso no controlado a la información.

• Protección inapropiada contra software malicioso.

• Objetivos institucionales no alcanzados

• Incremento desmedido y no controlado del CAPEX y OPEX

• Pérdida de control de los plazos de entrega

• Retraso en la toma de decisiones.

• Regulaciones incumplidas

7


Impacto

Imagen

Rentabilidad

8


Recomendaciones

Implementar políticas de seguridad, apoyar la concientización y las capacitaciones continuas a los usuarios.

Actualizar la política interna de seguridad de la información.

Realizar la definición de las políticas de acceso a la información de acuerdo a los roles y funciones establecidos para los empleados.

Establecer políticas y procedimientos de gestión de activos de información y realizar capacitaciones continuas sobre el tema.

Aplicar criterios de seguridad de la información basándose en los controles estipulados en las buenas prácticas de organismos internacionales como ISO.

Aplicar metodologías para la gestión de servicios de TI.

Aplicar metodologías para la gestión de proyectos como PMBoK.

Realizar e implementar metodologías y buenas prácticas descritas en el documento de detalle referidas a la gestión de la seguridad de la información y controles COBIT.

9


Pero…

¿cómo sabemos que logramos los objetivos?

¿cómo sabemos si obtuvimos los resultados esperados?

¿cómo sabemos cuán bien –o mal- nos fue?

¿cuánto realmente invertimos –gastamos, malgastamos?

CO

STO

TO

TAL

DE

PR

OP

IED

AD

AC

UER

DO

S D

E N

IVEL

DE

SER

VIC

IO

PR

OY

ECTO

RIE

SGO

S

GESTIÓN

10


Inquietudes

¿Está apoyando la función informática las estrategias de negocio?

¿Se utilizan estrategias, estándares internacionales y mejores prácticas en la industria?

¿Están establecidos y maduros los procesos utilizados?

¿Están validados los avances reportados en su función dentro de la empresa?

11


Estándares nacionales a considerar

Norma Técnica Peruana NTP ISO

9001:2008

• Sistemas de gestión de la calidad. Requisitos

RESOLUCIÓN MINISTERIAL N° 246-

2007-PCM, Norma Técnica Peruana NTP ISO/IEC 17799:2007

• EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información

RESOLUCIÓN MINISTERIAL N° 129-

2012-PCM, Norma Técnica Peruana NTP ISO/IEC 27001:2008

• EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de seguridad de la Información. Requisitos

Norma Técnica Peruana

NTP ISO/IEC 20000-2:2008

• Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas. 1a Edición

Fuente: http://searchdatacenter.techtarget.com/tip/What-to-look-for-in-a-Tier-III-data-center-provider

http://searchdatacenter.techtarget.com/tip/What-to-look-for-in-a-Tier-III-data-center-provider

12


Costo total de propiedad -TCO

Se utiliza para conocer el costo y riesgos a la hora de invertir entecnologías de la información.

Information Technology Infrastructure Library -ITIL (ITIL, 2013) laconsidera una estrategia del servicio.

Factores intervinientes:

Complejidad de la propia infraestructura tecnológica y de su propiaadministración.

Riesgos de implementación –que crecen con la complejidad de laimplementación.

Riesgos operacionales –periodos de inactividad, pérdida de datos,incumplimiento regulatorio o normativo, entre otros.

Los riesgos podrían generar un mayor costo ante la aparición de undeterminado evento.

Mejores prácticas en la industria.

13


Consideraciones

Costos directos (presupuestados –la adquisición del bien).

Costos indirectos y recurrentes (no presupuestados –el uso y mantenimientodel bien) como, pero no limitados a, los siguientes:

De operación.

De maquinaria.

De implantación de las TIC.

De trabajos de consultoría.

De infraestructura (energía eléctrica, espacio físico, climatización, sistemas contraincendio, controles de temperatura y humedad, otros).

Aspectos del uso, mantenimiento, reparaciones, reposiciones, depreciación.

Proyecciones de gastos recurrentes.

Capacitación para el personal de soporte y para usuarios.

Período de inactividad del usuario final.

Investigación y desarrollo, documentación, otros.

Marketing y publicidad.

Beneficios esperados.

14


Acuerdos de nivel de servicio

Con este acuerdo o contrato, el usuario es quien determina el nivel de calidad en laprestación del servicio que proporciona cada proveedor (lo que puede ofrecer), deacuerdo con sus necesidades y expectativas (lo que se necesita y espera), y sujetas a unacuerdo mutuo (lo que se puede obtener y es aceptado).

Un acuerdo de nivel de servicio es parte del diseño mismo del servicio (ITIL, 2013) y se leconsidera una herramienta para la mejora continua del servicio.

15


Consideraciones

Según foro-helpdesk.com, el éxito de la implementación de un ANSdepende en gran medida de la correcta elección de los indicadores ylos objetivos a alcanzar para cada uno de ellos.

Un indicador representa algunas de las variables que componen unproceso o servicio brindado –sólo aquellas variables de servicio queestén directamente ligadas con la percepción de calidad por parte delusuario y que respondan a los intereses del negocio son importantes.

Los objetivos estarán relacionados con la eficiencia, la eficacia, laefectividad -o la disponibilidad de dicho servicio.

Téngase presente que los elementos constitutivos deben ser: mediblesy específicos –a mayor detalle, menor ocurrencia de malosentendidos y expectativas no satisfechas.

16


Ámbito de solución

Necesidades de los usuarios:

Levantamiento de información.

Consultoría.

Recursos asignados:

Cantidad.

Experiencia.

Calidad.

Tiempo asignado:

Planeamiento.

Diseño / análisis.

Coordinaciones.

Investigación.

Implementación.

Alcances.

Qué sí se hará.

Exclusiones:

Qué no se hará.

Co

sto

s

• Responsabilidades y límites compartidos

• Métricas de Soporte• Indicadores de rendimiento para el

servicio al cliente• Indicadores de rendimiento para la

organización• El precio de la no conformidad

Involucra varias áreas

Aspectos fuera del alcance técnico

Aspectos de posible resolución directa

Aspectos que

requieren mayor

experiencia

Escalamiento

Límite técnico

Límite funcional

Esca

lam

ien

to

17


Procesos: definiciones, terminología

Proceso:

Conjunto de actividades interrelacionadas que interactúan

Transforman elementos de entrada en elementos de salida

Cuentan con retroalimentación

Provee valor añadido -agregado

Tipos

Clave y de soporte

Actividades

Traspaso, control

Entradas y salidas poseen atributos:

Garantizado, uniforme, conforme.

Confiable, estable, íntegro, preciso.

Previsión, profesionalismo, seguridad.

Comunicación clara, concisa, entendible, completa, considerada.

Otros.

Las cosas deben hacerse:- En el momento preciso

- Por quien debe hacerlas

- De manera correcta

–> desde la primera vez

Eficiencia, eficacia, efectividad

R

e

q

u

i

s

i

t

o

s

S

e

r

v

i

c

i

o

s

Recomendaciones, políticas, estándares -buenas prácticas

Capacitación, entrenamiento

Reacción o satisfacción

Aprendizaje

Aplicación e implementación

Impacto en el negocio

18


Beneficios de un proceso bien diseñado

Satisfacción del cliente.

Flexibilidad ante requerimientos del cliente.

Mayor conocimiento y control.

Mejor flujo de información y materiales.

Reducción de tiempos y costos.

Reducción y/o eliminación de burocracia.

Mejora de la cadena de valor.

Economía para la empresa.

Mayor competitividad.

Lograr resultados.

Innovación.

…

19


ATRIBUTOS• Definidos• Documentados• Comunicados• Entendidos• Repetibles• Seguidos consistentemente• Capacidad de realización

Elementos de un proceso

Entradas

PROVEEDOR

PROCESO(Conjunto de actividades

mutuamente relacionadas o que

interactúan, las cuales transforman

elementos de entrada en resultados –

ISO9000)

Salidas

CLIENTE

Mecanismos y controles

Recursos

Requisitos Requisitos• Datos• Materia prima• Materiales• Servicios

• Sistemas de información útil y usable• Producto terminado –o entregado• Servicio implementado -o realizado• Hardware instalado y configurado

ATRIBUTOS• Predecibles• Estables• Consistentes• Medidos• Controlados• Alcanzar resultados esperados

En un proceso las cosas deben hacerse:- En el momento preciso- Por quien debe hacerlas- De manera correcta

–> desde la primera vez

Pro

ceso

s an

teri

ore

s Pro

cesos

po

steriores

Necesidad o expectativa establecida, generalmente

implícita u obligatoria

20


Proceso general de información

21


La gestión por procesos vs. la gestión por funciones

Fuente: Vicente Andreu, Director de DHO Consultores

22


¿Control de calidad?

INSUMOS PRODUCTO

EFICIENCIA EFICACIA

LÓGICA PROCESAL LÓGICA DIRECCIONAL

EFECTOS INDESEADOS

EFECTOS DESEADOS

EFECTOS SERENDIPÍTICOS

EFECTOS ANTIPARÍSTASIS

EFEC

TIV

IDA

D

Antiparístasis: interacción de dos opuestos, uno de los cuales, por su oposición, excita y aumenta la fuerza del otro.

Serendipia: un descubrimiento científico afortunado e inesperado que se ha realizado accidentalmente.

BALANCE

RESULTADOS

Capacidad para lograr un fin empleando los mejores medios posibles

Capacidad para lograr el efecto que se desea o se espera, sin que primen para ello los recursos o los medios empleados

PROCESO PROCESO Cuantificación del logro de una meta

Calidad del producto al presentar el máximo de efectos deseados y mínimo de indeseados, reduciendo así los reprocesos, retrabajos y el desperdicio

Cantidad, calidad, espacio y tiempo

PROCESO TÉCNICO ESTRUCTURADO NORMALIZADO

PROCESO TÉCNICO-POLÍTICO REQUIERE CONSTRUCCIÓN DE

VIABILIDAD

Adaptación de: Kilian Zambrano D., 2004,

"Planificación y Control de la Producción Pública"

23


Puntos sugeridos de control

24


Glosario

NAGU: Normas de auditoría gubernamental. Resolución de Contraloría N°162-95-CG.

NIA: Normas internacionales de Auditoría

Statements on Auditing Standards -SAS: Declaraciones sobre Normas de Auditoría

Financial Accounting Standards Board -FASB: Normas de Contabilidad Financiera

NIC: Normas Internacionales de Contabilidad –oficializadas

Normas Internacionales de Contabilidad para el Sector Público -NICSP

¿Qué normas guían el trabajo de los profesionales de auditoría interna?

La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

Ley orgánica del sistema nacional de control y de la contraloría general de la república. Ley 27785. Marco normativo.

Aplicables en la obtención

de la evidencia y

preparación de los

papeles de trabajo para

fundamentar la opinión o

dictamen del auditor independiente.

Tienen aplicación en la

formulación de los estados

financieros, que es

responsabilidad de la

gerencia de la empresa.

Normas Internacionales para el

Ejercicio Profesional de la

Auditoría Interna (las Normas),

Código de Ética, Consejos

para la Práctica, y ayudas para

el desarrollo y la práctica

http://www.perucontadores.com/audgub/NAGU.pdf

http://www.oas.org/juridico/PDFs/mesicic4_per_res162.pdf

http://www.perucontadores.com/audnia.htm

http://perucontadores.com/sasindex.htm

http://www.fasb.org/

http://www.mef.gob.pe/index.php?option=com_content&view=article&id=3348&Itemid=101379&lang=es

https://www.mef.gob.pe/index.php?option=com_content&view=article&id=3352&Itemid=101378&lang=es

http://www.iaiperu.org/index.php?option=com_content&view=article&id=91:ique-normas-guian-el-trabajo-de-los-profesionales-de-auditoria-interna&catid=49:preguntas-frecuentes&Itemid=40

http://www.unsa.edu.pe/control_interno/docs/1_normaslegales/l_27785.pdf

http://www.mef.gob.pe/index.php?option=com_content&view=article&id=3072&Itemid=101571&lang=es

25


Auditoría –un enfoque moderno

La auditoría es una función de dirección, un procesosistémico, crítico, cuantitativo y detallista, basado enla evidencia, y realizado por un tercero, competente,distinto y sin relación con quien preparó o serelaciona con la información motivo de la auditoría, yque tampoco tiene relación directa con lainformación que se audita.

Este proceso es necesario para determinar laautenticidad, integridad y calidad de la informaciónque se produce, con el propósito de determinar einformar sobre el grado de correspondenciaexistente entre la información cuantificable y loscriterios establecidos.

26



Una auditoría constituye una herramienta de control y supervisión quecontribuye a la creación de una cultura de la disciplina de la organización, alocuparse “fundamentalmente del conjunto de medidas, políticas yprocedimientos establecidos en las empresas para proteger el activo,minimizar las posibilidades de fraude, incrementar la eficiencia operativa yoptimizar la calidad de la información en general”, -un enfoque tradicionalque se veía como algo negativo por la fiscalización inherente.

El enfoque moderno es “proporcionar determinada información a la direcciónpara que pueda evaluar si sus objetivos y metas se están cumpliendoconforme a los esperado o si son efectivos los controles establecidos paraincrementar la eficacia de la empresa partiendo de la evaluación sistemáticadel proceso de control interno de la empresa” -por ejemplo, al descubrir fallasen las estructuras o vulnerabilidades existentes y presentarlas de modoconveniente para que la empresa pueda tomar las acciones correctivasnecesarias.

Fuente: Morell González, Luisa María. “Manual de auditoria interna. Una herramienta indispensable para el auditor”. 2013. Disponible en: http://www.monografias.com/trabajos27/manual-auditoria/manual-auditoria.shtml.http://www.cofinhab.uh.cu/index.php/cofin/article/view/49/49

http://www.monografias.com/trabajos27/manual-auditoria/manual-auditoria.shtml

http://www.cofinhab.uh.cu/index.php/cofin/article/view/49/49

27



Además, “ayuda a la organización a cumplir sus objetivos aportandoun enfoque sistemático y disciplinado para evaluar y mejorar laefectividad de los procesos de gestión de riesgos, control y dirección”.

El objetivo es detectar las desviaciones en cuanto al plan establecido ydetectar los problemas concretos con la finalidad de encontrar lamanera de rectificar las actuaciones y solucionar las contingencias.

La imagen que la auditoría tiene hoy es lade una actividad consultiva y docente queañade valor a la empresa:

Fuente: Hevia, E. “Concepto moderno de auditoria interna”. Partida Doble, número 139, 1999.

Una metodología para auditar normas de calidad orientada a la

gestión de clientes en una empresa proveedora de internet

“Tiene derecho a criticar, quien tiene un corazón dispuesto a ayudar”

Abraham Lincoln

http://revistasinvestigacion.unmsm.edu.pe/index.php/electron/article/view/3020/2540

28


Control interno

Es un proceso integral de gestión efectuadopor el titular, funcionarios y servidores de unaentidad, diseñado para enfrentar los riesgos enlas operaciones de la gestión y dar seguridadrazonable que se alcanzarán los objetivos de lamisma, es decir, es la gestión misma orientadaa minimizar riesgos.

El Órgano de Control Institucional –OCI- es launidad orgánica especializada responsable dellevar a cabo el control gubernamental en unainstitución o entidad pública, de conformidadcon lo señalado en los artículos 7 y 17 de la LeyOrgánica del Sistema Nacional de Control y dela Contraloría General de la República.

La finalidad de la OCI es promover la correcta ytransparente gestión de los recursos y bienes dela entidad, cautelando la legalidad y eficienciade sus actos y operaciones, así como el logro desus resultados, mediante la ejecución de laboresde control.

Fuente: http://www.contraloria.gob.pe/http://www.mef.gob.pe/contenidos/Portal_de_Transparencia/cci/Normas_de_Control_Interno.pdf

Normas de control relacionadas a los distintos tipos de control que ejerce tanto la Contraloría General de la República como los demás órganos del Sistema Nacional de Control:1. Normas Profesionales2. Control Previo3. Control Preventivo4. Control Posterior5. Actividades de Control6. Sistema Nacional de Control7. Potestad sancionadora8. Control Interno9. Organización de documentos

normativos10. Soporte y servicios

complementarios11. Aseguramiento de la Calidad

http://www.contraloria.gob.pe/wps/wcm/connect/902f9091-c7a8-4636-8756-f238c621d208/Ley+Org%C3%A1nica+del+Sistema+Nacional+de+Control+y+de+la+Contralor%C3%ADa+General+de+la+Rep%C3%BAblica.pdf?MOD=AJPERES

http://www.contraloria.gob.pe/

http://www.mef.gob.pe/contenidos/Portal_de_Transparencia/cci/Normas_de_Control_Interno.pdf

http://www.contraloria.gob.pe/wps/portal/portalcgrnew/siteweb/normativadecontrol/libro2/!ut/p/b1/rVLLCsIwEPwiyTZJ03PsMxb7sBZrLlJBSqEPDyL498YqSpFGQfcWMrMzs7tIogLJrjzXVXmq-65sbm_Jdr4bh9QGDD6mDggvWiZmSggISwG2CgATxWHgYyCE2GsmKJs7wAWFjAeh8GLjwX8KxHFKVVucY4OvwA2tsf7428REz2c20fpP6Xf-J9onxm_8l_9v-VP-p_LzP-d_3_8Cyarp9-pUNkjqwg67GAA6Mf25YL3EcC5aDyl8AKiBRUHfHtCxze9VXDJRi9kVIjj8RQ!!/dl4/d5/L2dBISEvZ0FBIS9nQSEh/#Ancla

29


¿Ética? –claro que sí

Código de ética del auditor

gubernamental –Perú

Aptitud de servicio

Calidad de servicio

Compromiso con el país

Cordialidad

Cuidado y esmero profesional

Independencia, objetividad e

imparcialidad

Probidad administrativa

Reserva o confidencialidad

Tecnicismo

Vocación por la verdad y la

transparencia

Instituto de Auditores Internos

Principios

Integridad

Objetividad

Confidencialidad

Competencia

Normas de conducta

Integridad

Objetividad

Confidencialidad

Competencia

Revisar: http://gestion.pe/empresas/cual-importancia-actual-auditorias-internas-2108548

¿Quién puede ser un auditor?¿Qué se necesita para ser auditor?

“Tiene derecho a criticar, quien tiene un corazón dispuesto a ayudar”

Abraham Lincoln

http://doc.contraloria.gob.pe/libros/2/pdf/RC_077_99_CG.pdf

http://www.iaiperu.org/

30


31


¿Tipos de auditoría?

Gobierno Peruano (MAGU)

Financiera: “proporciona certidumbre sobre aseveraciones de la administración”

Gestión: “identifica situaciones que inciden en la gestión y promueve mejoras en efectividad, eficiencia y economía, y en los controles gerenciales”

Especial: “identifica deficiencias de carácter financiero-operativo e incumplimiento a la normativa legal”

Operacional

Eficacia de los sistemas de administración y de los instrumentos de control interno incorporados a ellos.

Eficiencia, eficacia, y economía de las operaciones.

NO CONFORMIDAD

Es aquella confrontación de lo escrito con

las pruebas de lo acontecido y las

respectivas referencias de los registros. El

auditor observa la exactitud, integridad y

autenticidad de tales demostraciones,

registros y documentos que fueron

elaborados por una empresa durante un

periodo determinado.

http://doc.contraloria.gob.pe/libros/2/pdf/RC_152_98_CG_.pdf

http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADaOperacional.aspx

http://www.ccpm.org.mx/servicios/gaceta_universitaria/junio_julio_2012/espacio_universitario.html

32



Ambiental (un sistema)

La auditoría ambiental es una parte integrante de un sistema de gestión ambientalen el que la gerencia determina si los sistemas de control ambiental de laorganización son adecuados para asegurar el cumplimiento de requerimientosregulatorios y políticas internas.

Determinar si las operaciones cumplen con las regularizaciones.

Determinar si los pasivos en las transferencias de propiedad se minimizan.

Determinar si los operadores contratados para el tratamiento de desechos/poluciónson competentes.

Determinar si las decisiones sobre administración ambiental son tomadas sobre basesfácticas.

Determinar la identificación y seguimiento de requerimientos regulatorios, ydeterminar la distribución de la información.

Determinar el cumplimiento real (riesgo legal) de las leyes, regulaciones ambientales ylas políticas y procedimientos organizacionales.

Evaluar la efectividad de los sistemas de gestión ambiental.

Determinar los riesgos operativos de negocios y financieros de las prácticas ambientalesactuales.

Fuente: http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2001/segundo/objetivos_procesos_auditor%C3%ADa.htmhttp://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2000/primer/audito_medio.htm

http://www.profepa.gob.mx/innovaportal/v/542/1/mx/auditoria_ambiental.htmlhttp://datateca.unad.edu.co/contenidos/358033/358033_CORE/leccin_1__auditora_ambiental_definicin_aspectos_generales_de_la_aud

itora_ambiental_historia_de_la_auditora_ambiental.html

Un sistema de gestión ambiental es una estructura organizacional de responsabilidades y políticas, prácticas, procedimientos, procesos y recursos para proteger el ambiente y administrar cuestiones ambientales.

http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2001/segundo/objetivos_procesos_auditor%C3%ADa.htm

http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2000/primer/audito_medio.htm

http://www.profepa.gob.mx/innovaportal/v/542/1/mx/auditoria_ambiental.html

http://datateca.unad.edu.co/contenidos/358033/358033_CORE/leccin_1__auditora_ambiental_definicin_aspectos_generales_de_la_auditora_ambiental_historia_de_la_auditora_ambiental.html

33



Proyectos de Inversión Pública

Auditoría de fases o etapas concluidas. Consiste en evaluar el logro de losresultados y/o el cumplimiento de disposiciones legales aplicablesrelacionadas con el objeto de auditoría.

Si corresponde se evaluará, por ejemplo en función dela importancia delobjeto de la auditoría, la pertinencia de opinar sobre la eficiencia y/o laeconomía con que se lograron los resultados de la fase o etapa objeto delexamen.

Auditoría de fases o etapas sin concluir. Consiste en evaluar si lossistemas operativos diseñados y los efectivamente implementadosaseguran:

El logro de los objetivos; y/o

La utilización eficiente de los recursos en el funcionamiento del sistema; y/o

El uso económico de los recursos en el funcionamiento del sistema; y/o

El cumplimiento de la legislación y normativa aplicable.

Fuente: http://cybertesis.unmsm.edu.pe/bitstream/cybertesis/2851/1/noriega_mj.pdfhttp://doc.contraloria.gob.pe/libros/2/pdf/rc_177_2007_cg.pdf

http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasdeProyectosdeInversi%C3%B3nP%C3%BAblica.aspx

http://cybertesis.unmsm.edu.pe/bitstream/cybertesis/2851/1/noriega_mj.pdf

http://doc.contraloria.gob.pe/libros/2/pdf/rc_177_2007_cg.pdf

34


Etapas de un proyecto de inversión

IDEAS

PERFIL

PRE FACTIBILIDAD

FACTIBILIDAD

ESTUDIOS DEFINITIVOS (DISEÑO

TÉCNICO)

EJECUCIÓN(INVERSIÓN)

OPERACIÓN (FUNCIONAMIENTO)

• Problemas a resolver• Oportunidades

• Análisis de la demanda (juicio o experiencia)

• Negociaciones sobre financiamiento• Construcción e instalación• Capacitación y organización• Pruebas y puesta en marcha

• Inversiones probables, los costos de operación y los ingresos que demandara y generara el proyecto

• Estudio de recursos• Tecnología• Tamaño• Localización • Planes de desarrollo y estrategia

Si el proyecto es viable en todos sus aspectos

Entonces el proyecto es factible

PRE INVERSIÓN

35



Informática o de Tecnologías de la Información y la Comunicación –TIC (un sistema)

A la confidencialidad, integridad, disponibilidad y confiabilidad de la información.

Al uso eficaz de los recursos tecnológicos.

Al ciclo de vida de sistemas

A un sistema en operación

A controles generales del computador

A la administración de la función informática

Auditoría a las microcomputadoras aisladas

Auditoría de redes

….

A la efectividad del sistema de control interno asociado a las Tecnologías de la Información y la Comunicación.

Fuente: http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAuditoriaGestionTICs.pdfhttp://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf

http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAuditoriaGestionTICs.pdf

http://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf

36



Tributaria

La auditoría del área fiscal persigue un doble objetivo: en primer lugar comprobarque la compañía ha reflejado [cumplido] adecuadamente las obligacionestributarias, en función del devengo, habiendo provisionado correctamente losriesgos derivados de posibles contingencias fiscales, y, en segundo, si se haproducido su pago efectivo según los plazos y de acuerdo a los requisitos formalesestablecidos.

La auditoría fiscal es el proceso sistemático de obtener y evaluar objetivamente laevidencia acerca de las afirmaciones y hechos relacionados con actos yacontecimientos de carácter tributario, a fin de evaluar tales declaraciones a la luzde los criterios establecidos y comunicar el resultado a las partes interesadas.

Ello implica verificar la razonabilidad con que la entidad ha contabilizado lasoperaciones económicas resultantes de sus relaciones con la hacienda pública –sugrado de adecuación [cumplimiento] con Principios y Normas Contables Ge-neralmente Aceptados– debiendo para ello investigar si se han presentado lasdeclaraciones tributarias oportunas, y si se han realizado de una forma razonablecon arreglo a las normas fiscales de aplicación.

Fuente: ftp://ftp.usmp.edu.pe/separatas/FCCEF/SilabosPregrado/ESCUELA%20CONTABILIDAD%20Y%20FINANZAS/CICLO%20X/ESPECIALIDAD%20DE%20TRIBUTACI%D3N/AUDITORIA%20TRIBUTARIA/MANUAL%20AUDITOR%CDA%20TRIBUTARIA%20-%202013%20-%20I%20-%20II.docxhttp://www.ief.es/documentos/recursos/publicaciones/libros/Investigaciones/Inves2003_09.pdf

ftp://ftp.usmp.edu.pe/separatas/FCCEF/SilabosPregrado/ESCUELA CONTABILIDAD Y FINANZAS/CICLO X/ESPECIALIDAD DE TRIBUTACI%D3N/AUDITORIA TRIBUTARIA/MANUAL AUDITOR%CDA TRIBUTARIA - 2013 - I - II.docx



http://www.ief.es/documentos/recursos/publicaciones/libros/Investigaciones/Inves2003_09.pdf

37



Calidad

Métodos.

Mediciones.

Controles de los bienes y servicios.

Social

Revisa la contribución a la sociedad así como la participación enactividades socialmente orientadas

Muchos otros tipos

Legal

De procesos

Parcial

Global

Programada

Extraordinaria

…

http://es.wikipedia.org/wiki/Auditor%C3%ADa

38


Algunas definiciones

Acción correctiva Acción tomada para eliminar una no conformidad detectada u otra situación indeseable.

Acción preventivaAcción tomada para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable.

Auditado Organización que es auditada.

Auditor Persona con la competencia para llevar a cabo una auditoría.

Conclusiones de la auditoría

Resultado de una auditoría que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.

Conformidad Cumplimiento de un requisito.

Criterios de auditoría Conjunto de políticas, procedimientos o requisitos.

Defecto Incumplimiento de un requisito asociado a un uso previsto o especificado.

Equipo auditorUno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos.

Evidencia de la auditoría

Registros, declaraciones de hechos o cualquier otra información que sea pertinente para los criterios de auditoría y que sea verificable.

Evidencia objetivaDatos que respaldan la existencia o veracidad de algo, obtenidos por medio de la observación, medición, prueba, etc.

Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor.

Hallazgos de la auditoría

Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.

¿tipos?

¿cliente?

Juicio experto

39


Algunas definiciones

NO CONFORMIDAD INCUMPLIMIENTO DE UN REQUISITO.

Plan de auditoría Descripción de las actividades y de los detalles acordados de una auditoría.

Procedimiento Forma especificada para llevar a cabo una actividad o un proceso.

ProcesoConjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados.

Programa de auditoría

Conjunto de una o más auditorías planificadas para un período de tiempo determinado y dirigidas hacia un propósito específico.

RegistroDocumento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas.

Sistema de gestiónEs el conjunto de elementos mutuamente relacionados o que interactúan para establecer la política y los objetivos y para lograr dichos objetivos.

Verificación Confirmación mediante evidencia objetiva del cumplimiento de los requisitos.

Fuente: Norma Técnica Peruana NTP-ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión

https://www.iso.org/obp/ui/#iso:std:iso:19011:ed-2:v1:es

40


Cliente

El cliente es la persona u organización que solicitauna auditoría.

Funciones:

Definir los objetivos de la auditoría.

Determinar las normas de referencia a emplear.

Seleccionar o contratar al personal auditor.

Determinar el período de duración de la auditoría.

Colaborar en todo momento con el auditor.

41


Funciones del auditado

Nombrar a un interlocutor entre el auditor y el cliente.

Disponer de los medios suficientes para la ejecución de la auditoría yponerlos al alcance del auditor.

Proponer, implantar y dar fe de las acciones correctivas adecuadas alas no conformidades registradas en el informe final.

Fuente: http://portaljuridico.lexnova.es/articulo/JURIDICO/25766/auditorias-ambientales-i-definiciones-objetivos-caracteristicas-generales-y-participantes

La figura del cliente y del auditado coincide en la misma organización o persona, cuando ésta encarga a un tercero, una entidad de certificación, por ejemplo, la realización de una auditoría de su propio sistema de gestión ambiental, a fin de obtener un certificado.

http://portaljuridico.lexnova.es/articulo/JURIDICO/25766/auditorias-ambientales-i-definiciones-objetivos-caracteristicas-generales-y-participantes

42


Categorías de auditor

Auditor

Persona con la competencia necesaria para realizar la auditoría bajo la dirección del líder del equipo.

Líder del equipo auditor; sus funciones son:

Dirigir, planificar y ejecutar la auditoría.

Informar al auditado acerca del plan de auditoría –interlocutor principal.

Elaborar el informe final de no conformidades.

Verificar la eficacia de las acciones correctivas adoptadas a raíz del informe.

Conservar los documentos y registros de la auditoría o entregarlos para su conservación en poder del auditado, respetando la confidencialidad.

Pueden sumarse a los auditores otros colaboradores, tales como auditores en prácticas, traductores e intérpretes o, incluso, observadores –todos los cuales deben permanecer neutrales en cuanto al desarrollo de la auditoría y no interferir en su ejecución.

43

Mg, Ing. Jack Daniel Cáceres Meza, PMPPara salvaguardar el principio de independencia, el auditor interno debe ocupar un nivel

jerárquico en la empresa suficiente para que se sienta respaldado en su actuación

Fuente: http://www.mcgraw-hill.es/bcv/guide/capitulo/8448178971.pdfhttp://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf

http://www.mcgraw-hill.es/bcv/guide/capitulo/8448178971.pdf

http://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf

44


¿Cómo hacemos una auditoría? –características generales (1)

Disponibilidad de personal competente.

Establecer, previamente, el objetivo, alcance y criterios empleadospara determinar la conformidad.

Realizar el acopio y revisión de la documentación pertinente –incluyendo los registros e informes de auditorías previas.

Establecer los oportunos contactos, mediante reuniones previas y deapertura, entre el cliente, el equipo auditor y el auditado. En estasreuniones se explicará el objetivo de la auditoría y las líneas generalesde actuación durante su desarrollo.

Revisión de la documentación, para comprobar que la organizaciónposee los Procedimientos e Instrucciones técnicas que le sonaplicables. Del mismo modo, se debe comprobar que la emisión ycontrol de los documentos se realiza de manera adecuada.

45


¿Cómo hacemos una auditoría? –características generales (2)

Examen de los registros y evidencias documentales que demuestren elcumplimiento de las disposiciones del sistema de gestión ambiental.

Se evaluarán, solamente, las evidencias objetivas y contrastadas.

En caso de detectarse una posible deficiencia, se investigará, hasta confirmarla ono, averiguando si es fortuita o sistemática, y, si es posible, se identificarán suscausas y efectos.

Se realizará un seguimiento exhaustivo de las anomalías detectadas en anterioresauditorías.

Supervisión directa de los procesos, para comprobar que las actividades sedesarrollan conforme a lo previsto en la documentación del sistema degestión.

Realizar una reunión con el auditado, o persona delegada, al que expondrá lasdesviaciones encontradas, para obtener su acuerdo con éstas o para queformule sus observaciones y, conjuntamente, proponer las accionescorrectivas y preventivas pertinentes.

Redactar el Informe de Auditoría.

46

Mg, Ing. Jack Daniel Cáceres Meza, PMPAdaptado de: M.C.T.C. Adrián Zaragoza Tapia

Red de los Sistemas Bibliotecarios de las Universidades del Centro –RESBIUCReunión de Auditores Internos de Calidad para el análisis de hallazgos de auditoria, 2012

3.9.5 hallazgos de la auditoríaresultados de la evaluación de la evidencia de la auditoría (3.9.4) recopilada frente a los criteriosde auditoría (3.9.3)

NOTA Los hallazgos de la auditoría pueden indicar conformidad (3.6.1) o no conformidad (3.6.2) con los criterios de auditoría, u oportunidades de mejora.

auditoria

criterios

evidencia hallazgo

resultadosdiscretos o continuos

conformidad

no conformidad

ISO 9000:2005

ÁREA DE CONTRASTACIÓN

ÁREA DE INTERPRETACIÓN

0 ….. 1

ZONA DE SESGO DISCRECIONAL

ZONA DE SESGO OBSERVACIONAL

PERCEPCIÓN DEL AUDITADO

PERCEPCIÓN DEL AUDITOR

evaluación

evaluación

¿observación?

Aparición de una diferencia en los resultados o conclusiones experimentales debido a asuntos personales, culturales o antecedentes. Tipos: entrevistador, los recuerdos y la clasificación errónea.

Intencional, selectivo, representativo.

47


RESBIUCREUNIÓN DE AUDITORES INTERNOS DE CALIDAD PARA EL ANÁLISIS DE HALLAZGOS DE AUDITORIA

ISO 9001:2008

8.2.2 Auditoría interna

Se debe planificar un programa de auditorías tomando en consideración el estado y laimportancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas.Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y lametodología. La selección de los auditores y la realización de las auditorías deben asegurar laobjetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propiotrabajo.

criterios de auditoría

alcance

frecuencia

metodología

Programa de auditoría

Necesario para la

redacción de hallazgosde auditoría

Adaptado de: M.C.T.C. Adrián Zaragoza Tapia

Recordemos: una auditoría evalúa el grado en el que el sistema es eficaz

48


Comunicación efectiva: la responsabilidad es tanto del emisor como del receptor

Características

El transmisor debe establecer credibilidad, debe conocer el tema, conocer aquien y cómo se debe emitir el mensaje para evitar malos entendidos.

El mensaje debe mostrar componentes intelectuales (lenguaje que nosayude entender y razonar) y componentes emocionales (las emociones ysentimientos explican nuestro sentir sobre el mensaje).

El receptor debe escuchar y entender el mensaje para responder efectivamente a la situación.

El mensaje debe ser claro, organizado, preciso (datos correctos, concretos y medibles), objetivo, veraz, correcto, completo, conciso, asertivo, convincente.

Fuente: http://comunicacion-efectiva.blogspot.com/2006/10/comunicacin-efectiva-definicin-y.htmlhttp://www.eoi.es/blogs/mintecon/2013/06/11/la-comunicacion-efectiva-en-las-empresas/

http://promocionyturismo.galeon.com/productos2058802.html

Barreras:• Creemos que lo que comunicamos es

tan claro para los demás como lo es para nosotros.

• Creemos que todos damos el mismo significado a las palabras.

• Creemos que la manera en que percibimos las situaciones es igual a como la perciben los demás.

• Creemos que estamos en lo correcto y los demás están equivocados.

• Creemos que sólo hay una manera correcta de hacer las cosas, por supuesto la nuestra.

Elementos de una

comunicación

Emisor o transmisor

Codificación

Mensaje

Medios

Decodificador

Receptor

Barreras

Respuesta

Retroalimentación

RuidoProblemas:• Inadecuado aprendizaje• Falta de hábito de lectura• Falta de atención y concentración• Personalidad• Escribir para sí mismo• Olvido de normas gramaticales y sintácticas• Hábitos y actitudes• Miedo a comprometerse con la información• Limitación de tiempo

Gestión de interesados en el PMBoK

http://comunicacion-efectiva.blogspot.com/2006/10/comunicacin-efectiva-definicin-y.html

http://www.eoi.es/blogs/mintecon/2013/06/11/la-comunicacion-efectiva-en-las-empresas/

http://promocionyturismo.galeon.com/productos2058802.html

49


Papeles de trabajo (NIA 230)

Los papeles de trabajo son el conjunto de documentos preparados por el auditor,los cuales le permiten disponer de la información y de las pruebas efectuadasdurante su trabajo profesional en la empresa, así como también de las decisionestomadas para fundamentar su opinión, suministrar la evidencia del trabajollevado acabo para respaldar la opinión del auditor, y servir de evidencia legal.

Es el conjunto de formularios y/o documentos en los cuales el auditor revela toda laevidencia encontrada como consecuencia de la realización de un examen deauditoría.

Permite la revisión de la calidad del trabajo efectuado.

Los papeles de trabajo se elaboran en el momento en que se realiza el trabajo yson propiedad del auditor, quien debe adoptar las medidas oportunas paragarantizar su protección sin peligro y su confidencialidad ya que el auditor vaintegrando en los papeles de trabajo documentos reservados y de uso exclusivode la empresa.

Fuente: https://www.scribd.com/doc/126465012/Hallazgos-de-Auditoria-de-Sistemaswww.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdf

http://aobauditores.com/nias/nia230.pdf

Para ser considerados como tales deben contar con referencias y “marcas de auditoria”, leyenda, comentarios y conclusiones del auditor, además de ser codificados y visados por los auditores que

efectuaron el trabajo.

Garantiza en forma

adecuada, que una

auditoría se hizo de

acuerdo a las normas de auditoría

generalmente aceptadas.

http://aobauditores.com/nias/nia230

https://www.scribd.com/doc/126465012/Hallazgos-de-Auditoria-de-Sistemas

http://www.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdf


50


Papeles de trabajo

La extensión de los papeles de trabajo es un caso de juicio profesional.

Evitar el exceso en la documentación, es decir medir el trabajo por la calidad y nopor la cantidad.

Permiten el registro eficiente de la información que se recolecta en el procesode evaluación, planificación, ejecución, supervisión y revisión de la auditoria.

Se registran la naturaleza, oportunidad y el alcance de los procedimientos deauditoría desarrollados.

Es afectada por factores como:

La naturaleza del trabajo de auditoría

El tipo de dictamen o informe del auditor

La naturaleza y evaluación de los sistemas auditados y control interno de la entidad

Las necesidades en las circunstancias particulares, de dirección, supervisión, yrevisión de los trabajos realizados por los auxiliares

Metodología y tecnología de auditoría usadas en el curso del examen.

Fuente: http://artemisa.unicauca.edu.co/~gcuellar/normas.htmhttp://186.116.129.40/gat/pdf/fase_ejecucion.pdf

http://artemisa.unicauca.edu.co/~gcuellar/normas.htm

http://186.116.129.40/gat/pdf/fase_ejecucion.pdf

51


Evidencia (3.3 NTC – ISO 19011)

Son registros, declaraciones de hechos o cualquier otra información que son pertinentespara los criterios de auditoría y que son verificables.

Clasificación:

Evidencia documental: puede ser de carácter física o electrónica. Pueden ser externas ointernas a la organización. Las evidencias externas abarcan, entre otras, cartas, facturas deproveedores, contratos, auditorías externas y otros informes o dictámenes y confirmaciones deterceros. Las evidencias internas tienen su origen en la organización, incluye, entre otros,registros contables, correspondencias enviadas, descripciones de puestos de trabajo, planes,presupuestos, informes internos, políticas y procedimientos internos.

Evidencia física: se obtiene mediante inspección y observación directa de las actividades,bienes o sucesos; esta evidencia puede presentarse en forma de documentos, fotografías,gráficos, cuadros, mapas o muestras materiales.

Evidencia testimonial: se obtiene de otras personas en forma de declaraciones hechas en elcurso de investigaciones o entrevistas.

Evidencia analítica: surge del análisis y verificación de los datos. El análisis puede realizarsesobre cálculos, indicadores de rendimiento y tendencias reportadas en los informes financieros

Evidencia informática: puede encontrarse en datos, sistemas de aplicaciones, instalaciones ysoportes, tecnologías y personal informático.

La evidenciade la auditoríapuede sercualitativa o cuantitativa

Fuente: https://isocalidad2000.wordpress.com/2013/08/02/como-obtener-evidencias-objetivas-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-ix/

http://aobauditores.com/nias/nia500.pdfhttp://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf

Sólo son admisibles las evidencias que no están sometidas a interpretación

https://isocalidad2000.wordpress.com/2013/08/02/como-obtener-evidencias-objetivas-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-ix/



52


Factores para la evaluación

Experiencia obtenida en auditorías previas.

La evaluación de la naturaleza y nivel del riesgo inherente, del giro delnegocio, situación económica y financiera de la entidad.

Fuente y confiabilidad de información disponible.

Cuanto mayor sea el nivel de riesgo inherente mayor será la cantidadde evidencia necesaria.

Evaluación de riesgos de control, así como de los sistemas decontabilidad y de control interno.

Materialidad de la partida o transacción que se examina.

Fuente: http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140http://artemisa.unicauca.edu.co/~gcuellar/normas.htm

• La evidencia obtenida de fuentes externas es de mayor confiabilidad que la obtenida dentro la empresa. Porejemplo, las confirmaciones recibidas de una tercera persona es más confiable que la generada internamente.

• La evidencia generada internamente es más confiable cuando los sistemas de contabilidad y de control internorelacionados son efectivos.

• La evidencia obtenida directamente por el auditor es más confiable que la obtenida en la propia entidad.• La evidencia en la auditoría en forma de documentos y manifestaciones escritas es más confiable que las

manifestaciones orales.

http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140


53


Características

Competencia

Es la "medida de la calidad de evidencia de la auditoría y su relevancia para una particular afirmación y su confiabilidad".

La evidencia será más confiable cuando se base en hechos más que en criterios.

Suficiencia

Es la "medida de la cantidad de evidencia de la auditoría".

El auditor, a su criterio profesional, obtiene evidencia suficiente al tener en cuenta los factores como: posibilidad de información errónea, importancia y costo de la evidencia.

Fuente: http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140http://www.atconsultores.com/coldataPersonal/upload/documentales/Obtencion_de_Evidencia_en_Auditoria.pdf

• Relevancia.- Cuando ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.

• Autenticidad.- Cuando es verdadera en todas sus características.

• Verificabilidad.- Requisito que permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.

• Neutralidad.- Requisito de que esté libre de prejuicios –o de intereses especiales.

Pruebas selectivas o de muestreo estadístico

Aplicación de pruebas y procedimientossustantivos y/o métodos (técnicas)

La calidad de la

evidencia está influida

por su fuente de

procedencia.

Las que son

independientes de la

empresa, en principio,

ofrecen mayores

garantías que las que

están bajo el control

de la misma.

La evidencia obtenida

directamente por el

auditor es más

persuasiva que la que

procede de un tercero

o de la propia

empresa.

Si la evidencia de una

prueba se corrobora

con la de otras, la confianza es superior.

http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140

http://www.atconsultores.com/coldataPersonal/upload/documentales/Obtencion_de_Evidencia_en_Auditoria.pdf

54


Pruebas y procedimientos sustantivos

Las pruebas de cumplimiento representan procedimientos de auditoriadiseñados para verificar si el sistema de control interno del cliente estásiendo aplicado de acuerdo con lo establecido.

Si, después de la comprobación, los controles del cliente parecen estaroperando efectivamente, el auditor justifica el poder tener confianza enel sistema y por consiguiente puede reducir sus pruebas sustantivas.

“Procedimientos [Pruebas] sustantivos” (NIA 330 Procedimientos delAuditor en Respuesta a los Riesgos Evaluados), significa pruebasrealizadas para obtener evidencia de auditoría para detectarrepresentaciones erróneas de importancia en los estados financieros.

Son de dos tipos:

Pruebas de detalles de transacciones y balances

Procedimientos analíticos sustantivos

Fuente: http://aobauditores.com/nias/normativa-internacional-auditoria-nias.pdfhttp://aobauditores.com/nias/nia330.pdf

http://disagahon.blogspot.com/2012/10/nia-330-respuestas-del-auditor-los.htmlhttp://artemisa.unicauca.edu.co/~gcuellar/normas.htm

http://aobauditores.com/nias/nia330

http://aobauditores.com/nias/normativa-internacional-auditoria-nias.pdf


http://disagahon.blogspot.com/2012/10/nia-330-respuestas-del-auditor-los.html


55


Métodos (técnicas)

Métodos prácticos de investigación y pruebas que el auditor utiliza para obtener la evidencia y la certeza necesaria para fundamentar su opinión, con relación al examen realizado.

Fuente: www.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdfhttp://tecnicasdeauditoriainvest.blogspot.com/

http://www.eumed.net/libros-gratis/2010e/804/Tecnicas%20de%20auditoria.htm

Las técnicas son el conjunto de recursos que se emplean en un arte o una ciencia.

http://www.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdf

http://tecnicasdeauditoriainvest.blogspot.com/

http://www.eumed.net/libros-gratis/2010e/804/Tecnicas de auditoria.htm

56


Hallazgos (3.4 NTC – ISO 19011)

Clasificación:

Conforme: cumplen con los requisitos

No conforme: incumplimiento con los requisitos especificados. Puede originarno conformidades de consecuencias limitadas o mayores

Observación: se entiende como observación a un aspecto de un requisito quepodría mejorarse y que no se requiere que se haga de manera inmediata

Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.htmlhttp://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf

Los hallazgos de auditoría pueden conducir a la identificación de oportunidades de mejora o registro de buenas prácticas.

• Hecho relevante que se constituye en un resultado determinante en la evaluación de un asunto en particular, al comparar la condición [situación detectada, la realidad o condición que el auditor está determinando en la instancia o unidad que está evaluando –LO QUE ES] con el criterio [la conformidad con las normas, leyes, reglamentos y sanas prácticas administrativas –LO QUE DEBE SER].

• Aquellas situaciones que revisten importancia relativa, para la actividad u operación objeto de examen del auditor, que requiere ser documentada y debidamente comprobada, que va a ser de utilidad para exponer o emitir criterio, en el respectivo documento o informe de auditoría.

¿Conveniencia?¿Acuerdo?

http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.html

http://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf

57


Factores para la evaluación

Las condiciones y circunstancias existentes al momento en que ocurrióel hecho o se efectuó la transacción o hecho.

La índole, complejidad y magnitud de las operaciones que se estánevaluando La necesidad de someter el hallazgo potencial o un análisishonesto y crítico.

La labor debe ser lo suficientemente completa para presentar una basesólida para las conclusiones y recomendaciones

El ambiente de control en que se presenta, no verlos en forma aislada,sino integral de todo el proceso que se está auditando.

Diferencias de opinión con respecto a los auditados.

Análisis crítico de cada hallazgo importante.

Integridad del trabajo de auditoría.

Autoridad legal.

58


Factores que generan una desviación

Fuente: http://es.slideshare.net/1116238557yina/capacitacin-redaccin-de-hallazgos-para-blog

http://es.slideshare.net/1116238557yina/capacitacin-redaccin-de-hallazgos-para-blog

59


Ayuda: 6W-2HWhat - Qué (objeto)

•¿Qué hacer?

•¿Qué se está haciendo?

•¿Qué debería hacerse?

•¿Qué otra cosa puede ser hecha?

•¿Qué otra cosa debería hacerse?

Why - Por qué (propósito)

• ¿Por qué él/ ella lo hace?

•¿Por qué lo hace?

•¿Por qué lo hace allí?

•¿Por qué de esta manera?

•¿Por qué en ese momento?

Where - Dónde (localización)

•¿Dónde hacerlo?

•¿Dónde está siendo hecho?

•¿Dónde debería ser hecho?

•¿Dónde más puede hacerse?

•¿Dónde más debería hacerse?

•¿Por qué tiene que hacerse allí?

When - Cuándo (tiempo, secuencia)

•¿Cuándo hacerlo?

•¿Cuándo está siendo hecho?

•¿Cuándo debería hacerse?

•¿Es necesario hacerlo en ese momento?

Who - Quién (persona)

•¿Quién hace la tarea?

•¿Quién la está haciendo?

•¿Quién debería estarla haciendo?

•¿Quién más puede hacerla?

•¿Quién más debería estar haciéndola?

•¿Por qué soy yo (él/ella) el que hace esto?

To Whom (a/para quién)

•¿A quién le sirve?

•¿Quién se beneficia a continuación?

•¿Quién emplea directamente mi entregable?

How - Cómo (método)

•¿Cómo hacerlo?

•¿Cómo es hecho?

•¿Cómo debería ser hecho?

•¿Existe otra forma de hacerlo?

•¿Es ésta la mejor forma de hacerlo?

How much - Cuánto (costo)

•¿Cuánto cuesta?

•¿Cuánto está costando?

•¿Cuánto debería costar?

•¿Cuánto deberíamos ahorrar?

How much - Cuánto (tiempo)

•¿Cuánto toma?

•¿Tiene un hito?

Fuente: https://isocalidad2000.wordpress.com/2013/07/19/las-preguntas-en-una-auditoria-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-vii/

https://isocalidad2000.wordpress.com/2013/07/19/las-preguntas-en-una-auditoria-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-vii/

60


Características y requisitos

Característica / Requisito

Concepto

ObjetivoEl hallazgo se debe establecer con fundamento en la comparación entre el criterio y la condición.

Factual(de los hechos, o relativo a ellos)

Debe estar basado en hechos y evidencias precisas que figuren en los papeles de trabajo. Presentados como son, independientes de valor emocional o subjetivo.

RelevanteQue la materialidad y frecuencia merezca su comunicación e interprete la percepción colectiva del equipo auditor.

ClaroQue contenga afirmaciones inequívocas, libres de ambigüedades, que esté argumentado y que sea válido para los interesados.

VerificableQue se pueda confrontar con hechos, evidencias o pruebas –esdemostrable ante terceros, soporta un análisis honesto y crítico.

Útil

Que su establecimiento contribuya a la economía, eficiencia, eficacia, equidad y a la sostenibilidad ambiental en la utilización de los recursos públicos, a la racionalidad de la administración para la toma de decisiones y que en general sirva al mejoramiento continuo de la organización.

Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.html


61


Atributos

Condición: “Lo que es” Aquello que el auditor encuentra o descubre. Lo que es, en términos delhecho irregular o deficiencia determinada por el auditor interno.

Criterio: “Lo que debe ser” Marco de referencia (medidas o normas aplicables) con el que secompara la condición para encontrar divergencias. Ley, reglamento, carta, circular, memorando,procedimiento, norma de control interno, norma de sana administración, principio de contabilidadgeneralmente aceptado, opinión de un experto o finalmente juicio del auditor. Para auditorías desistemas de información y TI: GAISP, COBIT, ISO 17799, SB 443/2003, NAG 270 y otros.

Causa: “Por qué” El origen de la condición observada. El porqué de la diferencia entre la condición yel criterio, deberán ser desarrolladas de acuerdo a la explicación que de el responsable. En este puntohay que tener capacidad de diferenciar, la causa del efecto. Para definir este aspecto se requiere de lahabilidad y juicio profesional del auditor.

Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio. El efecto tendráun resultado positivo o negativo. De ser posible en forma cuantitativa o cualitativa.

Recomendación: “Arregla la condición” La recomendación se deberá elaborar habiendo desarrolladolos anteriores atributos del hallazgo. La recomendación deberá emitirse con la idea de mejorar oanular la condición y llegar al criterio atacando la causa y arreglar el efecto para futuras situaciones.La recomendación deberá ser viable técnica y económicamente.

Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.htmlhttp://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf

Un buen informe no necesariamente debe contener solo hallazgos negativos pues podrían haber algunos

con enfoque positivo; ello evidenciaría un trabajo integral del auditor, en un proceso investigativo analítico, profesional y crítico, que será de utilidad para la toma de decisiones.


http://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf

62


Descripción de un hallazgo

• Registros, evidencias objetivas

¿CÓMO? ¿Cómo se identificó el hallazgo?

• Identificar dónde se evidenció la situación.

¿DÓNDE? ¿Dónde esta ocurriendo el efecto?

• ¿Qué es lo que está mal, qué es lo adverso?

¿QUÉ? ¿Cuál es el efecto?

• Estimar la frecuencia o el tiempo en el que ha aparecido el problema.

¿CUÁNTO? ¿Con qué frecuencia se viene presentando el efecto o en que tiempo?

• ¿Qué se está incumpliendo? Un requisito, un principio, una política, una directriz, un manual.

¿POR QUÉ? ¿Por qué es un problema?

Fuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ

http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-disposition=attachment&Signature=5pIySy/bGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ

63

Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-

disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ

Redacción


64



Redacción


65



Redacción


66


Presentación - Redacción

¿RIESGOS?

Fuente: http://auditordesistemas.blogspot.com/2012/02/guias-de-hallazgos.htmlhttp://www.sunai.gob.ve/images/stories/PDF/Ponencias/EF/_Jesus_Garcia.pdf

http://auditordesistemas.blogspot.com/2012/02/guias-de-hallazgos.html

http://www.sunai.gob.ve/images/stories/PDF/Ponencias/EF/_Jesus_Garcia.pdf

67



LISTA DE VERIFICACIÓN PARA LA EVALUACIÓN DE HALLAZGOS DE AUDITORÍA INTERNA

1. ¿Se ha considerado el efecto del sesgo observacional?

2. ¿Se ha considerado el efecto del sesgo discrecional?

3. ¿Representa un resultado discreto o continuo?

4. ¿Contribuye a mejorar la eficacia de las colecciones y servicios bibliotecarios?

5. ¿Representa una oportunidad de mejora de la biblioteca?

6. ¿Facilita la implantación de acciones correctivas o preventivas?

7. ¿Se han electo los criterios de auditoria requeridos por la biblioteca?

8. ¿Es congruente con el alcance de auditoria determinado por la biblioteca?

9. ¿Se redacta en función de la frecuencia de auditoria determinada?

10. ¿Considera la metodología determinada por la biblioteca?

Fuente: http://es.slideshare.net/zatapia/anlisis-de-hallazgos-de-auditoria?related=1

http://es.slideshare.net/zatapia/anlisis-de-hallazgos-de-auditoria?related=1

68



ELEMENTOS PARA LA REDACCIÓN DE UN HALLAZGO DE AUDITORÍA

No. ELEMENTO DESCRIPCIÓN

1 CONDICIONES DE OBSERVACIÓN Refleja de qué manera se observó la evidencia de hallazgo y las condiciones delcontexto de observación

2 CONDICIONES DE INTERPRETACIÓN Indica con precisión si se tomó en cuenta los criterios de auditoria u otroselementos percibidos

3 TIPO DE RESULTADO Se refiere a un cumplimiento discreto o considerado como una valor continuo

4 REFERENCIA A LA EFICACIA Explica de qué manera afecta al cumplimiento de los objetivos de las coleccionesy servicios bibliotecarios

5 REFERENCIA A LA MEJORA Aclara si se refiere a un incumplimiento o a una debilidad que puede mejorarseen función de los servicios bibliotecarios

6 REFERENCIA A LAS ACCIONES CORRECTIVAS - PREVENTIVAS

Permite identificar si se requiere una acción preventiva o correctiva

7 REFERENCIA A LOS CRITERIOS Hace explícitos los criterios determinados en el programa de auditoria y aclaraexcepcionalmente otros requeridos

8 REFERENCIA DE ALCANCE Se redacta dentro del alcance del programa de auditoria y aclaraexcepcionalmente otro requerido

9 REFERENCIA DE FRECUENCIA Se redacta en función de la frecuencia establecida y requerida

10 METODOLOGÍA Es congruente con la metodología aplicada



69



EJEMPLO DE REDACCIÓN DE HALLAZGO

ÁREA DESCRIPCIÓN RESULTADO

6.2

8.4 (a)

(1) Dado que no se tuvo la oportunidad de observar al personal de labiblioteca clasificando y catalogando acervos, (2) pero sí se revisaron 10registros catalográficos completos, mismos que cumplen con las reglasde catalogación presentadas, (3) se considera que el personal deldepartamento de procesos técnicos es competente por lograr unproducto conforme, (4) por lo que se esperaría obtener buenosresultados en el proceso de organización documental de los acervos dela biblioteca. (5) sin embargo el proceso puede mejorarse, ya que no seconstató que se lleve a cabo un (6) análisis de los datos de lasatisfacción de los usuarios de la biblioteca con el catálogo. Peroconsiderando que, en la presente auditoria se programó solamente (7)la revisión del área 6.2 de la norma de referencia en (8) dichodepartamento, y que (9) no se planeó revisar la (10) medición de lasatisfacción del usuario en ésta auditoria, de deja como una oportunidadde mejora para la biblioteca.

C

OM



70


Fuente: www.perucontadores.com/audgub/NAGU.pdfhttp://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html

www.contraloria.gob.ec/documentos/normatividad/manaudfin.pdfwww.contraloria.gob.bo/portal/Uploads/PDFportal/20121217_333.pdf


Informe de auditoría

Sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignación de auditoría, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecución.

Los propósitos del informe definitivo son:

Registrar los resultados de la auditoría adelantada

Describir de manera precisa, clara y concisa los hallazgos determinados durante el proceso auditor

Apoyar el control político que ejercen las respectivas corporaciones públicas

Servir de insumo para que el ente auditado formule el plan de mejoramiento

Comunicar e informar públicamente los resultados de la auditoría

Requisitos:• Debe estar respaldado por la

evidencia obtenida.• Debe estar expresado con el

rigor científico necesario y suficiente.

• Debe ser expuesto con estilo objetivo, en forma clara, veraz, exacta, completa, concisa e imparcial, teniendo en cuenta el tacto y la critica constructiva.

• Debe usarse un lenguaje correcto, actual, comprensible, persuasivo, cuidando la gramática, signos de puntuación, estilo impersonal.

http://www.perucontadores.com/audgub/NAGU.pdf

http://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html

http://www.contraloria.gob.ec/documentos/normatividad/manaudfin.pdf

http://www.contraloria.gob.bo/portal/Uploads/PDFportal/20121217_333.pdf


71


Atributos

PrecisoDiga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada, coherente y en orden de importancia.

Conciso

La redacción debe ser breve pero sin omitir lo relevante, la breve dad permite mayor impacto. Se debe buscar la forma de redac tar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condición (situación detectada); asimismo, se debe incluir el criterio de auditoría, la causa y la consecuencia, aspectos que muestren claramente el impacto que tiene la situación detectada por la contraloría territorial.

ObjetivoTodos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales.

SoportadoLas afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y competente.

OportunoDebe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad.

Fuente: http://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html

http://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html

72


Consideraciones

Un principio es definido como una verdad fundamental, una doctrina oley básica, no necesitan ser demostrados; son generalmente aceptadospor la profesión; son reconocidos por las disposiciones legales locales.

Los requisitos básicos de la evidencia están referidos a la suficiencia,competencia y relevancia.

Cuando los resultados no sean reproducibles a causa de la naturalezade las mediciones, la dinámica del estado ambiental u otras razonesválidas, debe asegurarse que el proceso de acumulación de evidenciacuente con supervisión específica.

Para asegurar el criterio de reproducción, se debe otorgar un énfasisespecial a la supervisión del diseño y/o elección y aplicación demetodologías, criterios y técnicas de evaluación.

Revisar: http://fccea.unicauca.edu.co/old/tgarf/tgarf.html#tgarfpa1.html

http://fccea.unicauca.edu.co/old/tgarf/tgarf.html#tgarfpa1.html

73


Consideraciones

Metodologías

Conjunto de procedimientos que, con el propósito de acumularevidencia, se diseña y/o elige (en función de la naturaleza de los objetivosy alcances específicos de la auditoría, de la complejidad de lasevaluaciones y de las tecnologías disponibles) durante la planificación y/oel trabajo de campo.

Para cada procedimiento asociado, y siempre que corresponda, se debeidentificar aspectos críticos; establecer riesgos de evaluación; riesgos deilegalidad; y definir ciertos parámetros tales como el número, tipo y/o lacalidad de las muestras requeridas.

Criterios

Estándares contra los cuales se compara la evidencia para obtenerresultados de auditoría.

Normas y sistema de gestión ante los que comparamos los hallazgos deauditoría.

Deben ser relevantes, confiables, completos, objetivos, comprensibles,comparables, aceptables y accesibles.

Técnicas

Procedimientos o métodos especializados de obtención y/ verificación deinformación, que incluyen prácticas analíticas de laboratorio u otras dediversa índole, diseñadas y/o elegidas con el propósito de comprobaraspectos específicos del objeto de auditoría.

74


Algunas diferencias

Inspección Auditoría

Sin comunicación previa Con comunicación previa

No siempre es planeada y documentada Planeada y documentada

Procura verificar fallos Procura verificar hechos (negativos y positivos)

Centraliza las acciones Supervisa las acciones

Se centra en aspectos menos importantes Se centra en aspecto más importantes

Evalúa de cerca un producto o un servicio basado en los requisitos específicos, el diseño, otros

Identifica el cumplimiento y el incumplimiento de algunas especificaciones, normas, acuerdos contractuales u otros criterios

Evalúa la calidad de los bienes producidos Inspecciona el equipo y los procesos con base en los procedimientos escritos

Fuente: http://clubresponsablesdecalidad.com/diferencia-entre-auditoria-e-inspeccion/http://www.qmsas.com/b/diferencias-entre-qa-y-qc.html

http://c2.com/cgi/wiki?QualityAssuranceIsNotQualityControlhttp://www.asiaqualityfocus.com/blog/es/diferencia-entre-auditoria-e-inspeccion/

http://elsmar.com/

Según la norma ISO 900:2005 “Sistemas de gestión de la calidad. Fundamentos y vocabulario”:

• Control de calidad (QC): Parte de la gestión de calidad orientada al cumplimiento de los requisitos de calidad Orientado al producto

• Aseguramiento de la calidad (QA): Parte de la gestión de calidad orientada a proporcionar confianza en que se cumplirán los requisitos de la calidad Orientado al proceso

http://clubresponsablesdecalidad.com/diferencia-entre-auditoria-e-inspeccion/

http://www.qmsas.com/b/diferencias-entre-qa-y-qc.html

http://c2.com/cgi/wiki?QualityAssuranceIsNotQualityControl

http://www.asiaqualityfocus.com/blog/es/diferencia-entre-auditoria-e-inspeccion/

http://elsmar.com/

75


Algunas herramientas para la auditoría

Matriz FODA

Técnica de TASCOI (transformación, actores, suministradores –oproveedores, clientes –o usuarios, owners –o propietarios,intervinientes)

El equipo auditor establece la identidad en uso de la organización, con elpropósito de determinar ¿Qué hace la entidad?, ¿Cómo lo hace?, ¿Paraqué lo hace?, ¿Quiénes son sus propietarios? y ¿Cuáles sus clientes?

PEST (políticos, económicos, sociales-culturales, tecnológicos)

Mide el potencial y la situación de un mercado, indicandoespecíficamente crecimiento o declive, y en consecuencia su atractivo,potencial de negocios y lo adecuado de su acceso.

Fuente: http://sistemau.blogspot.com/p/tecnica-de-tascoi-elequipo-auditor_07.htmlhttp://s3.amazonaws.com/ppt-download/conocimientodelaentidad-121023195026-phpapp01.ppt?response-content-

disposition=attachment&Signature=HRxdx3mAW5ZBuwT2WfGZvBRUOto%3D&Expires=1429851994&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ

http://sistemau.blogspot.com/p/tecnica-de-tascoi-elequipo-auditor_07.html

http://s3.amazonaws.com/ppt-download/conocimientodelaentidad-121023195026-phpapp01.ppt?response-content-disposition=attachment&Signature=HRxdx3mAW5ZBuwT2WfGZvBRUOto%3D&Expires=1429851994&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ

76


Contenido –informe de auditoría [informática]

Nombre de la empresa auditada

Nombre de [la aplicación] auditada

Nombre de la firma auditora

Identificación del informe

Fecha del informe

Antecedentes

Descripción de [la aplicación]

Objetivos de [la aplicación]

Alcance de la auditoría (incluyendo procesos, departamentos, delegaciones, etc.)

Metodología utilizada y técnicas de evaluación

---- sugerido… bueno, casi

Planeamiento

RiesgosObjetivosRecursosOperacionesMediosMejoras

Fuente: http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

Declaración del grado de cumplimiento del sistema auditado sobre los criterios de auditoría

http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html

77


Contenido –informe de auditoría [informática]

Criterios de auditoría

Equipo auditor, con nombres, apellidos y figura que ocupa en el equipo.

Fechas y lugares en las que se realizó la auditoría

Pruebas realizadas

Reseña de aspectos positivos

Hallazgos y evidencias –específicos / relevantes

Conclusiones –específicos / relevantes (expuestos de manera consistente y en correlación directa con los objetivos y alcances de la auditoría)

Recomendaciones –específicos / relevantes (objetivas y realizables, con resultados verificables, que ataquen la causa, muestren una acción específica y dirigida a quien debe realizar la acción)


Firma del auditor responsable

---- sugerido… bueno, casi

Programas de auditoría

Calidad

Documentos, fotografías, gráficos, cuadros, mapas o muestras materiales, en forma física o electrónica

… podría ...… debería considerar …

Fuente: http://www.auditool.org/blog/auditoria-interna/3322-prohiba-el-deberia-en-los-informes-de-auditoriahttp://www.iaiperu.org/index.php?option=com_content&view=article&id=90:icomo-hace-auditoria-interna-para-priorizar-sus-

recursos&catid=49:preguntas-frecuentes&Itemid=40


http://www.auditool.org/blog/auditoria-interna/3322-prohiba-el-deberia-en-los-informes-de-auditoria

http://www.iaiperu.org/index.php?option=com_content&view=article&id=90:icomo-hace-auditoria-interna-para-priorizar-sus-recursos&catid=49:preguntas-frecuentes&Itemid=40

78


1. Corrección

2. No conformidad

3. Requisito

4. Sistema de gestión de calidad

5. Procedimiento

6. Acción correctiva

7. Evidencia objetiva

8. Auditoria

9. Criterios de auditoria

10. Formato

11. Acción preventiva

12. Evidencia de la auditoria

13. Hallazgo de la auditoria

14. Proceso

15. Conclusiones de la auditoria

16. Auditado

17. Equipo auditor

18. Auditor

19. Manual de calidad

20. Eficacia

21. Eficiencia

A. Proceso sistemático independiente y documentado para obtener de la auditoria y

evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen

los criterios de auditoria.

B. Relación entre resultado alcanzado y los recursos utilizados.

C. Documento en el que se recolecta evidencia objetiva.

D. Persona con la competencia de llevar a cabo una auditoria.

E. Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los

criterios de auditoría.

F. Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales

transforman elementos de entrada en resultados (salidas).

G. Incumplimiento de un requisito.

H. Necesidad o expectativa establecida generalmente implícita u obligatoria.

I. Extensión en la que se realizan las actividades planificadas y se alcanzan los resultados

planificados.

J. Conjunto de políticas , procedimientos y requisitos utilizados como referencia.

K. Sistema de gestión para dirigir y controlar una organización con respecto a la calidad.

L. Acción tomada para eliminar una no conformidad detectada.

M. Forma especifica para llevar a cabo una actividad o un proceso.

N. Acción tomada para eliminar la causa de una no conformidad potencial u otra situación

indeseable.

O. Registro, declaraciones de hechos o cualquier otra información que son pertinentes

para los criterios de auditoria y que son verificables.

P. Resultado de una auditoria que proporciona el equipo auditor tras considerar los

objetivos de la auditaría y todos los hallazgos de la auditoria..

Q. Datos que respaldan la existencia o veracidad de algo.

R. Uno o mas auditores que llevan a cabo una auditoria.

S. Documento que especifica el sistema de gestión de la calidad de una organización.

EjercicioCorrelacionar términos con descripción

79


Para cada una de las siguientes situaciones indique si se trata de una no conformidad o no

1. No se ha establecido en el manual de calidad los objetivos decalidad.

2. No se encontró disponible el gráfico de control estadístico para eldiámetro de los alambres de la línea NOKIA 325, correspondiente alos días 1 y 8 de diciembre de 1998.

3. No se elaboró el gráfico de control estadístico como se establece enel procedimiento GPC-2 literal 5.2, para el diámetro del alambre dela maquina Laguetto A-450, correspondiente a los días 2, 3 y 4 demarzo de 1999.

4. Aunque el procedimiento PE-01 CURSOS DE ENTRENAMIENTO(aprobado en agosto 1/98). Se especifica que después de cada cursode entrenamiento se realizará un “Examen escrito deconocimientos”, para el curso de entrenamiento “Control Estadísticode Temperatura”, dictado a los operadores del cuarto de control enmarzo 2/99, no se realizó el examen correspondiente.

80



5. No se ha documentado el compromiso de la dirección para con lacalidad.

6. En el procedimiento QA-001 “control de la línea de embotellado”versión 2, se establece que la verificación del nivel llenado se haceen el lente No 1, en la práctica se evidenció que esta verificación seestá realizando en lente no se he establecido la disposición paraverificar el contenido de azúcar.

7. Según el registro de calibración F-MEC-02 de septiembre 3 de 1998el manómetro M-089-01 empleado en la inspección de productoterminado, no cumple con los requisitos de aceptación especificadosen el procedimiento “MEC-02 CALIBRACION DE MANOMETROS”(vigente a partir de septiembre 3 de 1998).

8. No se realizó seguimiento en las fechas previas a las noconformidades 1, 3 y 4 de las auditorías internas del periodo 98-99.Como se establece en el procedimiento AIC versión 2.

81



9. No se conservan los registros de evaluación periódica realizada a losproductos en proceso ubicados en la “zonas de transito” de la plantade pintura.

10. En el manual de compras del director administrativo se encontrarondos copias de procedimiento “DEA-90 SELECCIÓN Y EVALUACION DESUBCONTRATISTAS”, una de las copias es la versión anterior y ladisposición del procedimiento establece que los documentosobsoletos se deben destruir.

11. No se está cumpliendo el procedimiento CO-345 para el trámite yautorización de los gastos de viaje.

12. No se ha documentado la responsabilidad para la liberación de lostubos de aleación 23 durante la inspección de recepción.

82



13. No existe evidencia de la toma de pH de la corriente que entra alreactor 5545 para la esterificación del glicerol, como se establece enla instrucción del proceso SX-90.

14. El manual de calidad (versión 3 de enero de 1998) especifica larevisión del sistema de calidad cada 6 meses por parte del comité decalidad. Se constató que a la fecha sólo se ha realizado una revisióndel sistema de calidad.

15. No se ejecutó la auditoria en el área de ventas directas, programadapara el 98-08-01 establecida en el cronograma de auditoriasinternas.

16. No se han ejecutado las 4 auditorías internas programadas en eltercer trimestre de 1998 en las áreas de compra laboratoriometrología, ventas nacionales y oficina técnica.

83


Recuerde…

Fuente: http://elsmar.com/Audit/sld100.htmhttp://elsmar.com/Imp/sld001.htm


http://elsmar.com/Audit/sld100.htm

http://elsmar.com/Imp/sld001.htm


84


Recuerde




85


Recuerde




86


Recuerde …

Usted es el auditor

NO es supervisor

NO es QA/QC

NO ES OTRA COSA DIFERENTE

Comuníquese asertivamente

TOME NOTAS –no confíe en su memoria

NUNCA juzgue o comente o emita opiniones personales o suponga

Tenga una ACTITUD totalmente objetiva, imparcial y NEUTRA

Sólo debe observar e informar, nunca debe recriminar, dar órdenes o decir alas personas auditadas cómo se deben hacer las cosas

Busque ser efectivo y proactivo -concentrarse en lo importante: preparación,prevención, planificación, entre otras actividades

Concéntrese y no se aparte del plan

Fuente: http://nahunfrett.blogspot.com/2014/08/tips-para-reuniones-de-trabajo.htmlhttp://nahunfrett.blogspot.com/2014/08/11-preguntas-para-mejorar-una-reunion.htmlhttp://www.liderazgohoy.com/7-habitos-personas-altamente-efectivas-stephen-covey/http://nahunfrett.blogspot.com/2014/08/mandamientos-del-bueno-comunicador.html

http://www.iaiperu.org/index.php?option=com_content&view=article&id=85:icomo-mantiene-auditoria-interna-su-independencia-y-objetividad&catid=49:preguntas-frecuentes&Itemid=40

http://www.gerencie.com/el-auditor-solo-debe-observar-e-informar-no-dar-ordenes-a-sus-auditados.html

http://nahunfrett.blogspot.com/2014/08/tips-para-reuniones-de-trabajo.html

http://nahunfrett.blogspot.com/2014/08/11-preguntas-para-mejorar-una-reunion.html

http://www.liderazgohoy.com/7-habitos-personas-altamente-efectivas-stephen-covey/

http://nahunfrett.blogspot.com/2014/08/mandamientos-del-bueno-comunicador.html

http://www.iaiperu.org/index.php?option=com_content&view=article&id=85:icomo-mantiene-auditoria-interna-su-independencia-y-objetividad&catid=49:preguntas-frecuentes&Itemid=40

http://www.gerencie.com/el-auditor-solo-debe-observar-e-informar-no-dar-ordenes-a-sus-auditados.html

87


Recuerde …

No atosigar al auditado con una batería de preguntas

Darle un cierto tiempo para responder, en muchos casos deberá procesar la pregunta

No anticipar la respuesta

Replantear las preguntas cuando el auditado no las entienda

Nunca entrar en discusiones interpretativas con el auditado

No transmitir sensación de enojo ante respuestas evasivas

Comunicar al entrevistado los fundamentos de los hallazgos de auditoría

No irradiar sensación de alegría ante la detección de hallazgos

Fuente: https://isocalidad2000.wordpress.com/2013/07/26/la-actitud-del-auditor-retroalimentacion-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-viii/

https://isocalidad2000.wordpress.com/2013/07/26/la-actitud-del-auditor-retroalimentacion-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-viii/

88


Recuerde …

El auditor no es, ni debe esperarse que sea un perito en todas las materias –para eso está su equipo de especialistas.

Los auditores deben planear y llevar a cabo la auditoría con escepticismo profesional y ejercer su juicio profesional durante todo el proceso de la misma.

Los auditores deben comprender el ambiente de control y los controles internos relevantes y considerar si es posible asegurar el cumplimiento.

Los auditores deben realizar una evaluación de riesgos para identificar los riesgos de incumplimiento.

Los auditores deben de considerar el riesgo de fraude.

Los auditores deben desarrollar una estrategia y un plan de auditoría.

Los auditores deben preparar un informe basado en los principios de integridad, objetividad, oportunidad y celebración de un proceso contradictorio.

Fuente: http://es.issai.org/media/79470/issai-400-s-new.pdfhttp://www.auditool.org/blog/auditoria-externa/3318-eficacia-y-eficiencia-en-auditia-el-reto-de-actuar-con-equilibrio

http://nahunfrett.blogspot.com/2014/08/7-pecados-que-los-clientes-no-perdonara.htmlhttp://auditoresinternos.es/la-f%C3%A1brica-de-pensamiento/documentos

Podemos actuar eficientemente sin eficacia (capacidad de lograr el efecto que se desea) y actuar

eficazmente sin eficiencia

http://es.issai.org/media/79470/issai-400-s-new.pdf

http://www.auditool.org/blog/auditoria-externa/3318-eficacia-y-eficiencia-en-auditia-el-reto-de-actuar-con-equilibrio

http://nahunfrett.blogspot.com/2014/08/7-pecados-que-los-clientes-no-perdonara.html

http://auditoresinternos.es/la-f%C3%A1brica-de-pensamiento/documentos

89


Recuerde …

Para establecer adecuadamente un hallazgo referente a una NO CONFORMIDAD:

Observe los hechos, ESCUCHE y RELACIÓNELOS con los requisitos.

CONCÉNTRESE en el qué pasó, cuándo, cuántos, dónde.

No olvide el por qué, ¿recuerda 6W-2H?.

REVISE las evidencias, VERIFIQUE la información solicitada

Y RE-VERIFIQUE TODO.

Revise los REQUISITOS que se incumplen y COMPÁRELOS con los hechos.

Sea PRECISO en fechas, términos, cantidades.

Una vez esté seguro, levante la no conformidad (hallazgo).

ÚNICAMENTE COMO RESULTADO AL INCUMPLIMIENTO DE UN REQUISITO.

Según la norma ISO 9000:2005 una NO CONFORMIDAD es un incumplimiento de un requisito del sistema, sea este especificado o no. Se conoce como requisito una necesidad o expectativa establecida, generalmente explícita u obligatoria.

Fuente: http://www.aec.es/web/guest/centro-conocimiento/no-conformidadhttp://www.metepec.gob.mx/sistemadegestion/MANUAL_DE_CALIDAD/11%20GUIAS%20DE%20APOYO/Documentando%20una%20no

%20conformidad.pdf

Hay tres partes en una

no conformidad bien

documentada: • la evidencia de

auditoría que soporta

los hallazgos del

auditor;

• un registro del

requerimiento contra

el cual la no

conformidad se

detecta;

• el enunciado de la

no conformidad.

El enunciado de la no conformidad lleva

a la organización al análisis de la causa,

la corrección y la acción correctiva

Co

ntr

asta

rC

om

par

arEv

alu

ar

http://www.aec.es/web/guest/centro-conocimiento/no-conformidad

http://www.metepec.gob.mx/sistemadegestion/MANUAL_DE_CALIDAD/11 GUIAS DE APOYO/Documentando una no conformidad.pdf

90


Riesgos

Riesgo que el sistema de control esté incapacitado para detectar o

evitar errores o irregularidadessignificativas en forma oportuna

Susceptibilidad a la existencia de errores o irregularidades

significativas, antes de considerar la efectividad de

los sistemas de control

Riesgo que los procedimientos de auditoría seleccionados, no

detecten errores o irregularidades existentes

Existe una relación inversa entre el nivel de Materialidad de las pruebas del auditor y el nivel de Riesgo de Auditoría, es decir a mayor nivel de Materialidad, menor Riesgo de Auditoría o viceversa

Incertidumbre relacionada con:• La calidad y competencia de las evidencias• La eficacia de las actividades de control• La presentación de los estados contables

Todo auditor “en Dios confía del resto, duda”

Riesgo de que el auditor dé una opinión de

auditoría inapropiada cuando los registros

están elaborados en forma errónea -de una manera importante.

Fuente: http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf

Riesgo de auditoría aceptable: Aceptación por el auditor de que existan errores importantes después de terminar la auditoría.

Riesgo de detección planeada: Alcance de las evidencias que el auditor planea reunir.

Empresa Auditor

http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf

91


Factores de riesgo

Ramo del negocio del ente auditado.

Tipo de organización.

Integridad de la administración.

Motivación del cliente.

Resultados de auditorías anteriores.

Operaciones con partes relacionadas.

Operaciones no rutinarias.

Cambios en los negocios o en los sistemas.

Prácticas o criterios satisfactorios para un buen registro.

Competencia, economía del país, cambios en el consumo, etc.

El hecho de tratarse de una primera auditoría o de una auditoría repetitiva.

Competencias del equipo auditor.

Aspectos diversos.

A mayor riesgo, menos seguridad.La seguridad de auditoría implica la satisfacción del auditor sobre la confiabilidad de las afirmaciones hechas por el ente auditado y, en general, significa la probabilidad de la inexistencia de errores o la seguridad de que una vez producidos determinados errores, los mismos serán detectados y corregidos por los controles implementados por la empresa o detectados por el auditor.

Fuente: http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf

http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf

92


93


¡¡¡¡ Ahí viene el auditor !!!!

¡¡¡¡ CUIDADO!!!!


Gracias por su atención

¿Preguntas?


mailto:[email protected]

mailto:[email protected]

Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética

Technology

Transcript of Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética