separatas auditoria de sistemas

Separata Nº 01

Escuela Profesional: Ing. Informática Asignatura: Auditoria de SistemasTurno: Noche Ciclo: DécimoDocente: Ing. Juan Alberto Pérez Quijada Fecha: 12-08-2006

EL CÓDIGO DE ÉTICA PROFESIONAL

La Information Systems Audit and Control Association, Inc. (ISACA) dispuso y actualizó el código de ética profesional para dirigir la conducta personal y profesional de los miembros de la asociación y/o de aquellos que cuenten con cualquiera de las credenciales de certificación internacional de ISACA.

En ese sentido, los miembros, certificados o no, están obligados a cumplir el siguiente código de ética:

1. Apoyar el establecimiento y cumplimiento apropiado de estándares, procedimientos y controles en los sistemas de información.

2. Realizar sus deberes con el debido cuidado profesional, objetividad, y diligencia, de acuerdo con los estándares profesionales y las mejores prácticas.

3. Dar servicio a sus empleadores, accionistas, clientes y público en general en forma diligente, leal y honesta, manteniendo altos niveles de conducta y no participar en actividades que desacrediten a la profesión.

4. Mantener la confidencialidad de la información obtenida en el curso de sus deberes, a menos que el acceso sea requerido por una autoridad legal. Tal información no será utilizada para la ventaja personal ni será divulgada a terceros.

5. Mantener la capacidad en sus campos respectivos y acordar emprender solamente aquellas actividades que razonablemente puede esperar realizarlas competentemente.

6. Informar a las partes apropiadas los resultados del trabajo realizado, revelándoles todos los hechos significativos.

7. Apoyar la educación de clientes, gerentes y público en general, para realzar su comprensión de los sistemas de información, su seguridad y su control.

El cumplimiento del Código de Ética contribuye con el respeto y reconocimiento mundialmente ganados por ISACA y contribuye al logro de sus fines. La falta de adherencia al Código del Ética Profesional, de acuerdo a lo establecido por ISACA Internacional, puede dar lugar a una investigación y, en última instancia, a medidas disciplinarias.

Docente. Ing. Juan Alberto Pérez Quijada 1

Separata Nº 02


Estándares Internacionales de Auditoría de Sistemas.

La tecnología ha sido percibida en la actualidad en forma global como disparador de cambios permanentes del ambiente de negocios. Sin embargo, existe una idea primordial que aparece inmóvil contra esta fuerza tecnológica que implica que las organizaciones que sobreviven, son aquellas que entregan mas valor verdadero a sus clientes.

La función de auditoría continúa proporcionando servicios de aseguramiento tanto a clientes internos como externos. Dado que la tecnología impacta la forma de hacer negocios, deben haber formas efectivas y sencillas para llevar a cabo la evaluación de los controles que deben existir para garantizar dicho servicio.

Bajo la premisa anterior, existe un gran interés en el medio por identificar los estándares internacionales que son utilizados comúnmente por empresas tanto públicas como privadas. Las dos preguntas más comunes que habría que resolver, ¿Cómo podrían asegurar las organizaciones, que construyen proyectos de tecnología de información, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto contemplado? y ¿Cuáles son los estándares que ofrece la industria?

En ambos sectores, se hacen uso de una serie de estándares que guían el desarrollo de proyectos de TI, entre ellos se pueden mencionar:

Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA)

The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA)

Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)

Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO).

SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA

El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI)

Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información.


Auditoria de Sistemas Guía para el cuerpo de conocimientos de administración de proyectos,

desarrollado por el comité de estándares del instituto de administración de proyectos.

Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.

Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO)

Alcance de los Estándares.

Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA):

Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):

Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: administración general, gerentes de sistemas, dueños, agentes, usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento del control, en términos de objetivos, estándares y técnicas mínimas a considerar.

Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO):

Este modelo identifica los procesos críticos, asegurando el éxito de las inversiones en tecnología de información y comunicación electrónicas. Además los organiza en cinco niveles de madurez, similar al modelo CMM.

Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):

La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.


Auditoria de Sistemas

SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA:

Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de información es confiable, (i.e. si un sistema funciona sin errores significativos, o fallas durante un periodo de tiempo determinado bajo un ambiente dado).

Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI):

Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización, con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT.

Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información (ITRB):

Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estratégica de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos:

Esta guía esta enfocada en las mejores prácticas sobre administración de proyectos. Se refiere a aspectos sobre los diferentes elementos necesarios para una administración exitosa de proyectos de cualquier naturaleza. En forma precisa, este documento identifica y describe las prácticas generalmente aceptadas de administración de proyectos que pueden ser implementadas en las organizaciones.

Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE – CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon:

Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las prácticas generalmente aceptadas observadas en las organizaciones.



Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO):

Este modelo considera ocho organizaciones privadas reconocidas como líderes respecto a seguridad en cómputo. Este trabajo hace posible la identificación de 16 prácticas necesarias para asegurar una adecuada administración de la seguridad de cómputo, las cuáles deben ser suficientes para incrementar significativamente el nivel de administración de seguridad en tecnología de información y comunicación electrónica.

Tendencias de los estándares y de las mejores prácticas.

Es importante considerar la forma en que los estándares y las mejores prácticas van evolucionando, además de conocer qué tanto ha cambiado su uso por parte de las organizaciones.

Se ha visto que existen procesos de evolución como a continuación se menciona:

Evolución en los estándares y marcos referenciales de la madurez de procesos. Evolución de estándares de administración de proyectos y de desarrollo de

software comercial. Evolución de estándares de software militar.

De igual manera se han visto tendencias en el uso de estándares y mejores prácticas en el sector gubernamental, los cuáles se dan en función de las nuevas legislaciones, además de los requerimientos de proyectos como los que se gestaron durante la década pasada referentes a la conversión para el año 2000.

Conclusión.

Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia


Separata Nº 03


MAGU

Sección 700 Visión general.

Sección720 Planeamiento.730 Fase de ejecución.740 Elaboración del informe.

700 Visión general

01. El examen especial es una auditoría de alcance limitado que puede comprender la revisión y análisis de una parte de las operaciones efectuadas por la entidad, con el objeto de verificar el adecuado manejo de los recursos públicos, así como el cumplimiento de la normativa legal y otras normas reglamentarias aplicables. Puede incluir también una combinación de objetivos financieros, operativos y de cumplimiento o, restringirse sólo a uno de ellos, dentro de una área o asunto específico.

02. Mediante el examen especial se verifica en forma específica el: Manejo financiero de recursos por una entidad durante un período

determinado, en relación a la normativa legal y normas reglamentarias aplicables a la gestión examinada.

Cumplimiento de la ejecución del presupuesto en relación a la normativa legal y normas reglamentarias.

Denuncias de diversa índole. Cumplimiento de la normativa legal en relación a donaciones recibidas. Cumplimiento de la normativa legal en los procesos licitarios para contratación

de obras o adquisición de bienes o servicios. Cumplimiento de operaciones de endeudamiento público. Cumplimiento de contratos para la adquisición de bienes y/o servicios u obras

públicas celebrados por las entidades.

03. Las fases para llevar a cabo un examen especial son similares al de una auditoría de gestión, es decir, comprende: planeamiento; ejecución y elaboración del informe; sin embargo, existen algunos matices de diferencia en cada una de las etapas del proceso. Las normas de auditoría Gubernamental-NAGU son aplicables para el planeamiento, ejecución e informe del examen especial. El examen especial es efectuado por los órganos conformantes del Sistema Nacional de Control, como parte del trabajo necesario para emitir el informe sobre la Cuenta General de la República.



04. Como el desarrollo del examen especial se encuentra focalizada en un área o asunto específico, las actividades que se cumplen durante la fase de planeamiento consisten, básicamente, en la obtención de un adecuado entendimiento sobre los aspectos identificados que serán materia de examen, identificación de las líneas de autoridad y responsabilidad involucradas, el marco legal y normas reglamentarias aplicables.

05. En la fase de ejecución del examen especial el auditor aplica las pruebas de auditoría que considere apropiadas en las circunstancias, para obtener evidencia suficiente, competente y pertinente que soporte los hallazgos identificados(Ver sección 520 , Parte III). Si en el transcurso de la fase de ejecución el auditor determina situaciones que se refieren a indicios razonables de comisión de delito, debe establecer el tipo de responsabilidad que corresponde a los presuntos implicados, de conformidad con las disposiciones establecidas en las normas de auditoría gubernamental emitidas por la Contraloría General de la República.

06. La estructura del informe del examen especial es la misma utilizada para el informe de auditoría de gestión. Como las observaciones se refieren a situaciones de incumplimiento de la normativa legal o normas o reglamentarias, según corresponda, éstas son planteadas, generalmente, en un sentido negativo. En el gráfico N°12 se describe el proceso del examen especial.

720 Planeamiento

01. La fase de planeamiento del examen especial se inicia con la programación de la entidad a ser examinada y, dentro de ella, el área o asuntos específicos objeto de examen. El planeamiento provee una estrategia tentativa para orientar los esfuerzos de auditoría. La programación de un examen especial puede originarse por:

planeamiento general de los órganos conformantes del Sistema Nacional de Control,

pedido efectuado por los Poderes del Estado solicitudes de entidades gubernamentales o, denuncias formuladas en los medios de comunicación.

02. La fase de planeamiento de un examen especial comprende las siguientes actividades:

Comprensión del área o actividad a ser examinada Examen preliminar Definición de criterios de auditoría Elaboración del memorándum de programación; y, Elaboración del plan de examen especial

Comprensión del área o actividad a examinarse


Auditoria de Sistemas03. La comprensión de la entidad o área a examinar constituye la tarea inicial del

equipo de auditoría designado para llevar a cabo el examen especial e implica la obtención de información básica para adquirir un apropiado entendimiento de los aspectos a ser auditados. Esta información puede obtenerse del archivo permanente de la entidad, informes de auditoría interna y/o externa y, en el caso de una denuncia escrita, las personas que la plantearon . Podría ser necesario dentro de la fase de planeamiento, de acuerdo con las circunstancias y la complejidad de los asuntos a examinar, incluir una etapa de investigación preliminar y obtención de información en la propia entidad para completar la preparación del plan de examen especial, en el caso que los trabajos sean ejecutados por auditores de la Contraloría General.

04. La tarea de comprensión de la entidad o área objeto de examen incluye la obtención de información sobre:

Naturaleza y base legal de la entidad. Estructura orgánica y líneas de autoridad y responsabilidad en la entidad

o área a examinar. Rol en la actividad gubernamental. Influencias externas y internas, en relación al asunto por examinar.

Examen preliminar05. En caso que el archivo permanente de la entidad no contenga información

suficiente en torno a los puntos antes mencionados, especialmente, en lo concerniente a la organización y funciones y criterios de auditoría a ser utilizados, puede ser apropiado llevar a cabo dentro de la fase de planeamiento la etapa de investigación preliminar, orientada a la obtención de información básica directamente de la entidad a ser examinada (Ver sección 435, parte III).

Identificación de criterios de auditoría06. Los criterios a utilizarse en el examen tienen relación, generalmente, con la

normativa legal y disposiciones de carácter reglamentario. La identificación de dicho marco debe llevarse a cabo, con el fin de definir las implicancias legales que se derivan de las situaciones o actos que serán materia de examen, debiéndose solicitarse el apoyo del área legal correspondiente. Por esta razón, deben identificarse los funcionarios y empleados que tuvieron que ver, en una u otra forma, con el asunto o actividad sujeta a examen es indispensable, para estar en condiciones de establecer las responsabilidades a que hubiere lugar, de ser el caso.

Memorándum de programación y plan de examen especial07. Como resultado de las tareas de planeamiento se elabora el memorándum de

programación que es el documento de soporte de las principales decisiones adoptadas, con respecto a los objetivos, alcance y metodología a utilizar en la ejecución del examen especial. La fase de planeamiento concluye con la formulación del plan del examen.

08. El plan de examen especial contiene algunos de los elementos establecidos en el plan de auditoría para la ejecución de una auditoría de gestión. Su estructura es la siguiente:


Auditoria de Sistemas Origen del examen Antecedentes de la entidad y de los asuntos que serán examinados. Objetivos y alcance del examen Criterios de auditoría a utilizar Programa de procedimientos a ejecutar en el examen Recursos de personal y especialistas en caso necesario Información administrativa

Presupuesto de tiempo Informes a emitir y fecha de entrega Formato tentativo del informe

09. El origen del examen se refiere a los motivos que han generado su ejecución, cuyas razones principales se explican en el párrafo 1º. En el rubro antecedentes de la entidad o asuntos que serán examinados, se describe en resumen aquellos elementos que denotarían la existencia de situaciones problemáticas en las áreas objeto de examen.

10. Los objetivos del examen se refiere a lo que desea lograrse, como consecuencia de la ejecución del examen. El entendimiento de los objetivos del examen por parte del equipo de auditoría, es esencial para que éste tenga éxito. En caso de duda, es conveniente que el auditor recurra a otros niveles de decisión para obtener una apropiada explicación sobre lo que desea lograrse. El auditor debe identificar las características específicas del asunto o actividad por examinar y las particularidades del medio ambiente en que ocurrieron los hechos. La identificación del período a examinar y la profundidad del trabajo a ejecutar son factores importantes para establecer el alcance del examen, en función al asunto por evaluar.

11. Los criterios de auditoría identifican las normas legales y reglamentarias o normas de los sistemas administrativos que la entidad se encuentra obligada a cumplir para el desarrollo de sus actividades y operaciones. Este marco debe corresponder a la normatividad que se encontraba vigente a la fecha en que ocurrieron los asuntos que serán examinados por el equipo de auditoría.

12. El rubro recursos de personal del plan debe describir las características profesionales de los miembros del equipo auditor y sus cargo, así como los especialistas que fueran necesarios para el desarrollo de los trabajos. La información administrativa constituye el punto final del plan de examen, en cuyo contenido debe describirse el número de horas programadas (presupuesto de tiempo), los informes a emitir y el formato del informe (Ver sección 650, parte III).

13. El memorándum de programación y el plan de examen especial son preparados por el auditor encargado y supervisor en forma conjunta. Tales documentos deben ser aprobados por el nivel gerencial para el caso de la Contraloría General de la República, como paso previo al inicio de la fase de ejecución. En los Órganos de Auditoría Interna, la aprobación de tales documentos es responsabilidad del funcionario a cargo de su jefatura.


Auditoria de Sistemas14. El programa de procedimientos describe los pasos a seguir durante la fase de

ejecución del examen especial, a fin de dar cumplimiento a los objetivos programados, y al mismo tiempo proporcionar una base apropiada para la asignación de tareas al equipo de auditoría responsable.

730 Fase de Ejecución

01. Con el desarrollo de los programas de auditoría se inicia la fase ejecución del examen especial, cuyo propósito es obtener la evidencia suficiente, competente y pertinente, en relación a los asuntos o hechos evaluados. Esta fase se lleva a cabo de conformidad con los lineamientos expuestos en la NAGU 2.30 "Programa de Auditoría", parte II (Auditoría Financiera) y parte III (Auditoría de Gestión) de este Manual.

02. Algunas veces, la naturaleza del examen especial a ejecutar puede ser de índole repetitiva en varias entidades. En estos casos, podría adaptarse un programa modelo o pre establecido, con los ajustes indispensables por las particularidades de cada entidad.

Ejemplo: verificación del cumplimiento de las disposiciones que regulan la adquisición de bienes y servicios bajo las modalidades establecidas por la ley de presupuesto general de la República.

03. En otras oportunidades durante el desarrollo de una auditoría financiera o de gestión en una entidad puede decidirse llevar a cabo un examen especial de un asunto específico. En tal caso, es conveniente llevar a cabo las coordinaciones pertinentes, de modo de integrar los procedimientos de auditoría y, de ser posible, que las evaluaciones concernientes al examen especial sean llevadas a cabo por el mismo equipo a cargo de la auditoría. De esta manera se minimiza los inconvenientes a la entidad auditada, tales como duplicidad en las solicitudes de información y ejecución de pruebas de auditoría, así como la sensación de imprevisión y/o falta de coordinación interna.

04. El equipo encargado debe tener presente que los programas de auditoría en determinadas circunstancias, pueden ser modificados durante la fase de ejecución del examen, por situaciones tales como que un control en el cual nos apoyamos para reducir el alcance de nuestras pruebas, resultó apropiado sólo durante una parte del período o, un posible hallazgo de auditoría que no resulta de significación frente a otros, detectados durante la búsqueda de evidencias.

05. Como fue especificado en la sección 195, Parte II y sección 660, Parte III de este Manual la formulación de un programa involucra:

Establecer objetivos de la auditoría y los criterios consiguientes, de ser necesario.

Especificar la evidencia a ser obtenida. Definir los procedimientos para obtener y probar la evidencia. Ajustar los requerimientos de personal y otros recursos para el examen.


Auditoria de Sistemas06. Basado en los resultados obtenidos en la prueba preliminar, el auditor llevará a

cabo los procedimientos de detalle especificados en el programa de procedimientos. El alcance de tales procedimientos debe estar basado en los resultados del planeamiento y las decisiones en torno a la suficiencia, competencia y pertinencia de la evidencia requerida para sustentar el informe.

07. Entre los procedimientos de auditoría mas utilizados en los exámenes especiales figuran: Declaraciones de funcionarios. Confirmaciones. Inspecciones físicas. Revisión documentaría.

Declaraciones de funcionarios o empleados

08. Las declaraciones obtenidas de los funcionarios y empleados de la entidad, en el curso de investigaciones o entrevistas, debe ser siempre por escrito y firmadas por el autor de las mismas. Debe considerarse la expresión libre de los declarantes, a quienes debe permitírseles la revisión del borrador del texto de su declaración y su firma a continuación del párrafo final siguiente: "He leído íntegramente el contenido del presente documento, considerando que el mismo refleja fielmente mis declaraciones en relación al .......(asunto, entidad) y firmo la presente en señal de conformidad".

Las declaraciones deben siempre corroborar los resultados de otros procedimientos aplicados por los auditores en relación al asunto evaluado.

09. Cuando se considere apropiado revelar indicios y/o actos relacionados con ilegales o irregulares debe solicitarse la asesoría legal pertinente, de modo de evitar situaciones que se deriven de la falta de respaldo de las observaciones. Los Órganos de Auditoría Interna son responsables de obtener la operación legal correspondiente, como paso previo a la emisión del informe especial que hubieren elaborado en el cumplimiento de su trabajo.

Confirmaciones10. Las confirmaciones son procedimientos destinados a corroborar la información

obtenida de la entidad, a través de aquella obtenida de la contraparte externa de la transacción ocurrida. En el siguiente cuadro se presentan algunos ejemplos sobre el tema:

Rubro Confirmar de:

Cuentas por cobrar Cuentas por pagar Bancos Bienes o valores en custodia Donaciones recibidas Donaciones concedidas Saldos presupuestarios Propiedad inmueble

ClientesProveedoresEntidad bancariaEntidad examinadaDonanteDonatarioDirección general PresupuestoRegistros públicos


Auditoria de Sistemas11. Al requerir la confirmación, el auditor debe adoptar las precauciones necesarias

para asegurarse que la respuesta sea remitida directamente a su persona. En caso de no recibir respuesta a la solicitud de confirmación, deberá remitirse un segundo requerimiento y, de no obtenerse respuesta, debe aplicar procedimientos alternativos para asegurarse de la validez de la información proporcionada por la entidad.

12. Si los procedimientos alternativos no confirman la información en evaluación, el auditor debe considerar al mismo como punto especial de atención y ahondar su investigación hasta quedar satisfecho del mismo y definir su inclusión en el informe.

Inspección física13. La inspección física es empleada por el auditor para cerciorarse mediante

percepción sensorial y/o pruebas especiales, de la existencia de un activo o bien en poder de una entidad. El arqueo de efectivo y/o valores y el inventario de bienes en almacén y/o de activo fijo, constituyen la aplicación práctica de esta técnica.

14. Debe siempre tenerse en cuenta que la percepción sensorial está referida a los cinco (5) sentidos con que está dotado el ser humano.

Por ejemplo: La determinación de la existencia de ciertas sustancias requerirán una combinación de percepción visual (color), olfativa (olor), gustativa (sabor), táctil (textura) mas las pruebas de laboratorio que se estime necesarias.

Revisión documentaría15. La revisión documentaría es, probablemente, el procedimiento mas utilizado en un

examen especial. Partiendo de la premisa que cada paso, fase o etapa de una transacción debe dejar siempre una huella documental -bien sea por la emisión de un documento o por anotaciones en el mismo (V°B°, afectaciones a cuentas, pases a otros departamentos, informes, etc.), es posible reconstruir una transacción en base a la documentación disponible y llegar a conclusiones sobre faltantes documentarios, de autorizaciones, procedimientos omitidos y/o falta de oportunidad de los mismos, transgresiones a la normatividad vigente y otros.

16. La revisión documentaría constituye un complemento excelente de la inspección física, pues ésta última aporta evidencia en torno a la existencia física de los bienes, lo cual no puede ser proporcionado a través del primer procedimiento.

17. Los procedimientos descritos y otros que considere necesario llevar a cabo el auditor, deben permitirle establecer conclusiones en relación a los objetivos del examen. Para este propósito, obtenida la evidencia, debe evaluarse la misma para definir su competencia, pertinencia y suficiencia, conforme a lo tratado en las partes II y III de este Manual.

18. A continuación, el auditor debe evaluar la evidencia contra el criterio acordado para cada objetivo, teniendo en consideración:


Auditoria de Sistemas La necesidad de confirmar o modificar las premisas establecidas durante la fase

planeamiento. El desarrollo de conclusiones relativas a los objetivos de auditoría. El sustento apropiado del trabajo llevado a cabo y de las observaciones y

conclusiones formuladas.

Desarrollo de hallazgos de auditoría19. Se denomina hallazgo de auditoría al resultado de la comparación realizado entre

un criterio y la situación actual encontrada durante el examen. Es toda información que a juicio del auditor le permite identificar hechos o circunstancias importantes que inciden en la gestión de los recursos en la entidad bajo examen y, que por su naturaleza merecen ser comunicados en el informe (Ver sección 560, Parte II).

20. Los hallazgos de auditoría están relacionados con asuntos significativos e incluyen información (evidencia) suficiente, competente y pertinente, que emerge de la evaluación practicada en la entidad bajo examen. Generalmente, los hallazgos corresponden a cualquier situación deficiente que se determina como consecuencia de la aplicación de procedimientos de auditoría. Sus elementos son: condición, criterio, causa y efecto (Ver sección 560 de la parte III).

21. Los resultados de las evaluaciones efectuadas y las conclusiones deben ser documentados apropiadamente, confirmando que:

Los procedimientos programados han sido llevados a cabo satisfactoriamente. Los cambios a la programación inicial están plenamente identificados y

autorizados. Están plenamente identificadas las causas y los efectos de las condiciones

observadas.

22. Tratándose de hallazgos negativos, el auditor debe desarrollar recomendaciones, señalando la necesidad de efectuar mejoras, teniendo en cuenta su análisis de las causas y efectos en las condiciones identificadas. A este respecto, debe tener en cuenta:

La factibilidad y costo de adoptar la recomendación (relación costo-beneficio).

Cursos alternativos de acción. Efectos positivos y negativos que podrían resultar de la implementación de la

recomendación.

24. Sin perjuicio de las coordinaciones llevadas a cabo con los funcionarios y empleados de la entidad tendente a dilucidar las condiciones negativas determinadas, antes de concluir esta fase el auditor debe dar cumplimiento a la NAGU 3.60 "Comunicación de hallazgos".

25. La comunicación de los hallazgos debe ser por escrito, guardando las formalidades necesarias para otorgar el derecho de ejercer su legítima defensa a los funcionarios y empleados comprendidos en las observaciones, incluyendo aún


Auditoria de Sistemasa aquellos que ya no laboran en la entidad. En caso de no ser posible su ubicación, deberá emplearse el Diario Oficial "El Peruano" u otro de mayor circulación en la ciudad donde esté ubicada la entidad.

26. Para comunicar las hallazgos debe evaluarse apropiadamente su materialidad y señalarse un plazo perentorio a los funcionarios o empleados de la entidad involucrados en las observaciones para la recepción de descargos documentados, de conformidad con las normas establecidas para tal efecto. Los descargos presentados deben ser debidamente evaluados, poniéndose énfasis en los juicios formulados y en la documentación alcanzada no vista durante el examen. La no presentación de descargos debe revelarse en la parte pertinente del informe.

27. La NAGU 4.40, III (Observaciones) 5, estipula que si durante el examen el auditor determina la existencia de indicios razonables de comisión de delito, de proceder a deslindar (señalar) el tipo de responsabilidad que corresponda a los presuntos implicados, contando para ello con la opinión de la asesoría legal. La ley del Sistema Nacional de Control (Decreto Ley 26162) precisa que existen tres tipos de responsabilidades:

Responsabilidad administrativa: es aquella en la que incurren los servidores y funcionarios públicos que, en el ejercicio de sus funciones, desarrollaron una gestión deficiente o negligente. La calificación de gestión deficiente o negligente se adopta teniendo en cuenta lo siguiente:

a. Que no se hayan logrado resultados razonables en términos de eficiencia, eficacia o economía teniendo en cuenta los planes y programas aprobados y su vinculación con las políticas del sector a que pertenecen.b. Que no realicen una gestión transparente y no hayan vigilado que los sistemas operativos, administrativos y de control estén funcionando adecuadamente.c. Que no respeten la independencia de la auditoría interna.d. Que no agoten todas las acciones posibles para preservar los bienes y recursos de la entidad a que pertenecen.

Incurren en responsabilidad administrativa igualmente, los que han contravenido el ordenamiento jurídico-administrativo y las normas internas de la entidad a que pertenecen. Responsabilidad civil: es la que incurren los servidores y funcionarios públicos

que en el ejercicio de sus funciones hayan ocasionado un daño económico a su entidad o al Estado.

Responsabilidad penal: es la que incurren los servidores o funcionarios públicos que en el ejercicio de sus funciones han efectuado un acto u omisión tipificada como delito o falta.

28. Según la NAGU 4.60, cuando durante la fase de ejecución se evidencien indicios razonables de comisión de delito en los asuntos materia de examen, en cautela de los intereses del Estado, el auditor sin perjuicio de la continuidad de su trabajo, debe emitir con la celeridad del caso, un informe especial, con el sustento técnico y legal correspondiente, para que se efectúen en forma inmediata las acciones


Auditoria de Sistemaspertinentes en las respectivas instancias. Las instancias a las que debe informarse son las siguientes:

Procuraduría: auditorías realizadas por la Contraloría General de la República. Fiscalías y/o Procuraduría: exámenes efectuados por los Órganos de Auditoría

adscrita al sector Interna y Sociedades de Auditoría designadas. Contraloría General: copia del informe especial de la República elaborado por

el Órgano Auditoría Interna o Sociedad de Auditoría designada. Titular de la entidad: copia del informe especial, siempre que no se encuentre

comprendido en los indicios razonables de comisión de delito.

29. La carta de representación (NAGU 3.70) constituye una mutua salvaguarda, para el auditor y el auditado, por cuanto este último reconoce haber puesto a disposición la documentación requerida para el examen, así como cualquier hecho significativo ocurrido hasta la terminación de la fase ejecución. La negativa de la entidad para otorgar la carta de representación deber revelarse en el informe.

740 Elaboración del informe

01. El informe representa el producto final del trabajo del auditor y en él se presentan sus observaciones, conclusiones y recomendaciones, expresadas en juicios fundamentados como consecuencia del análisis de las evidencias obtenidas durante la fase de ejecución.

02. En esta fase el auditor comunica a los funcionarios de la entidad objeto de la auditoría, los resultados obtenidos presentados como deficiencias significativas y las recomendaciones para promover mejoras en la ejecución de las operaciones, a fin que la administración adopte medidas correctivas y evite su ocurrencia en el futuro.

03. Las características y la estructura del informe, básicamente, se encuentra establecida por la NAGU 4.40 Contenido del informe y por la sección 650, parte III de este Manual. Por lo tanto, el contenido de un informe de examen especial es el siguiente:

Síntesis gerencial Introducción Conclusiones Observaciones y Recomendaciones Anexos

04. La síntesis gerencial tiene como objetivo hacer que el informe de examen especial sea de mayor utilidad para los usuarios del informe. En su contenido la síntesis debe presentar en forma exacta, clara y justa los aspectos más importantes del informe, a fin de evitar errores de interpretación.

05. La introducción del informe proporciona al usuario de éste datos importantes relativos a la entidad bajo examen, los que brindan una base apropiada para comprender con mejor claridad el mensaje que comunica dicho documento. En


Auditoria de Sistemassu contenido se incluyen: Motivo del examen, Objetivos y alcance, Antecedentes y base legal de la entidad y comunicación de hallazgos de auditoría.

06. La conclusión es el juicio del auditor basado en la observación formulado como resultado del examen practicado. En caso necesario, la conclusión debe precisar la naturaleza de la responsabilidad incurrida por los funcionarios o servidores públicos en el ejercicio de sus funciones. Cuando la responsabilidad identificada sea de carácter penal, el auditor debe revelar los hechos detectados en términos de presunción de indicios razonables de comisión de delito; debiendo obtener el asesoramiento legal que corresponda.

07. Las observaciones están constituidas por las deficiencias o incumplimientos a la normativa legal y otras normas reglamentarias identificadas durante el examen que, en determinados casos requerirán la adopción de correctivos por parte de los funcionarios de la entidad y, en otros, generarán responsabilidades específicas que se derivan de las evidencias obtenidas durante la fase de ejecución.

08. El informe de examen especial debe reflejar solamente los comentarios sobre observaciones significativas, debiendo los asuntos de menor importancia ser comunicados por el auditor mediante un memorándum para que la entidad adopte las medidas que considere pertinente. Debe ponerse especial cuidado en la presentación de la relación de funcionarios comprendidos en las observaciones, a fin de evitar errores en la identificación de las responsabilidades que les compete por su gestión.

09. El informe de examen especial debe incluir los comentarios y aclaraciones por escrito presentados por los funcionarios de la entidad comprendidos en las observaciones. Esta información debe ser evaluada por el auditor e incluida en forma breve en el informe, sin dejar de reflejar el sentido de los comentarios o aclaraciones. También debe incluirse la opinión del auditor que resulte de la evaluación de tales argumentos.

10. Las recomendaciones se refieren a las acciones correctivas sugeridas por el auditor con el fin de corregir la deficiencia identificada. Deben estar dirigidas a los funcionarios que tengan competencia para disponer la adopción de correctivos y encaminadas a superar la causa del problema detectado. La elevación y remisión del informe se sujeta a lo dispuesto en la sección 685, parte III de este Manual.


Separata Nº 04


ESTRUCTURA DEL INFORME

Titulo: Planificación de una Auditoria

1. Preliminaresa. Acreditar la lectura de documentos relacionados al negocio.b. Acreditar la revisión de documentos de gestión del negocioc. Entrevistas a las personas claves del negocio a fin de determinar problemasd. Acreditar la revisión de informes de auditoria anteriores

2. Normatividada. Determinación de la normatividad legal aplicable al negocio (Leyes,

normatividad, otros)b. Objetivos del negocio.c. Determinación de responsabilidades (funciones) en el negocio (MOF)d. Determinación de la correlación funcional de las áreas del negocio (en que

medida la que realiza una área afecta a otra).

3. Administración del Riesgoa. Identificar los activos de información importantes (hardware, software, bases de

datos, redes, instalaciones, personas, etc) para lograr los objetivos del negocio.b. Seleccionar aquellos activos que resulten los más sensitivos o críticos.c. Evaluar por cada activo sensitivo o crítico:

a. Amenazas: vulnerabilidades de los procesos y/o activos de información.b. Impacto: sobre los activos basados en sus amenazas y vulnerabilidadesc. Probabilidad de amenaza: combinación de la probabilidad y la frecuencia

que ocurran).

En general los riesgos del negocio son las amenazas que pueden tener un impacto sobre los activos o sobre los procesos u objetivos de un negocio u organización

especifica, la naturaleza de la amenaza pueden ser financiera, regulatoria u operacional y puede surgir como resultado de la interacción del negocio con su ambiente, o como resultado de las estrategias, sistemas, y tecnología particular,

procesos, procedimientos e información usada por el negocio.

d. Realizar un análisis del riesgo, para identificar los riesgos y para determinar la probabilidad de ocurrencia, el impacto resultante y las medidas adicionales que mitigaran este impacto a un nivel considerado aceptable por la gerencia.



e. Usando el COBIT, determinar los controles que mitigaran los riesgos identificados. Estos controles son medidas preventivas para la mitigación del riesgo que debería prevenir o reducir la probabilidad de que ocurra un evento de riesgo, detecte la ocurrencia del evento de riesgo y minimice el impacto o transfiera el riesgo a otra organización.

f. Determinar los Objetivos de Control implementados por la entidad:i. Controles internos; Preventivos, de detección, correctivos.

ii. Objetivos de Control1. Procedimientos de control (políticas y prácticas)

iii. Objetivos de Control de los sistemas de información1. Procedimientos de control (políticas y prácticas (tareas y

actividades)iv.

g. Determinar los puntos de control a evaluar de los objetivos de controlh. Determinar los Objetivos de Auditoriai. Presentar las pruebas a utilizar (de cumplimiento, o sustantivas)


Separata Nº 05


EL SISTEMA DE CONTROL INTERNO Y LA AUDITORÍA

01. Desde hace varias décadas la gerencia moderna ha implementado nuevas formas para mejorar los controles en las empresas del sector privado. Ello es importante tener en cuenta, por cuanto el control interno tiene una vinculación directa con el curso que debe mantener la empresa hacia el logro de sus objetivos y metas. El control interno no puede existir si previamente no existen objetivos, metas e indicadores de rendimiento. Si no se conocen los resultados que deben lograrse, es imposible definir las medidas necesarias para alcanzarlos y evaluar su grado de cumplimiento en forma periódica; así como minimizar la ocurrencia de sorpresas en el curso de las operaciones. En esta sección se discute el concepto de Control Interno en el marco de una gerencia moderna, así como su importancia en el desarrollo de las labores de auditoría.

DEFINICIÓN DE CONTROL

02. El Diccionario de la Lengua Española de la Real Academia considera que el término control tiene dos acepciones:

Inspección, fiscalización, intervención; y, dominio, mando, preponderancia.

03. Aun cuando el primer concepto podría asociarse con la auditoría; la segunda acepción sobre dominio o mando, define con mayor precisión al control interno gerencial. Por ello, tratar de discutir sobre el tema del control o materializar su existencia, es tan difícil como pretender hacerlo con el alma del ser humano que, a pesar de ser un ente de carácter abstracto, su existencia no es negada.04. Controlar es una acción, en la medida en que sea tangible y, consecuentemente, el efecto que produce pueda medirse. Al igual que el espíritu es inherente al cuerpo humano, el control lo es a la entidad como ente concreto y, específicamente a la administración, personificada en sus órganos de dirección y gerencia.05. En auditoría, el término control interno comprende la organización, políticas y procedimientos adoptados por los directores y gerentes de las entidades para administrar las operaciones y promover el cumplimiento de las responsabilidades asignadas para el logro de los resultados deseados.06. El control interno es efectuado por diversos niveles, cada uno de ellos con responsabilidades importantes. Los directivos, la gerencia y los auditores internos y otros funcionarios de menor nivel contribuyen para que el sistema de control interno funcione con efectividad, eficiencia y economía. Una estructura de control interno sólida es fundamental para promover el logro de sus objetivos y la eficiencia y economía en las operaciones de cada entidad.



07. Ninguna estructura de control interno, por muy óptima que sea, puede garantizar por si misma, una gestión eficiente y registros e información financiera integra, exacta y confiable, ni puede estar libre de errores, irregularidades o fraudes, especialmente, cuando aquellas tareas competen a cargos de confianza. Por ello mantener una estructura de control interno que elimine cualquier riesgo, puede resultar un objetivo imposible y, es probable que, más costoso que los beneficios que se considere obtener de su implementación.08. Los cambios en la entidad y en la dirección pueden tener impacto sobre la efectividad del control interno y sobre el personal que opera los controles. Por esta razón, la dirección debe evaluar periódicamente los controles internos, informar al personal de los cambios que se implementen y, dar un buen ejemplo a todos respetándolos.

EL CONTROL INTERNO EN EL SECTOR PÚBLICO

09. Desde la primera definición del control interno establecida por el Instituto Americano de Contadores Públicos Certificados-AICPA en 1949 y hasta su modificación efectuada por el SAS N°55 en 1988, este concepto no sufrió cambios importantes hasta 1992, cuando la Comisión Nacional sobre Información Financiera Fraudulenta en los Estados Unidos, conocida como la Comisión Treadway, establecida en 1985 como uno de los múltiples actos legislativos y acciones que se derivaron de las investigaciones sobre el caso Watergate, emite el documento denominado Marco Integrado del Control Interno (Framework Internal Control Integrated), el cual desarrolla con mayor amplitud el enfoque moderno del control interno en el documento conocido como el Informe COSO (Committee of Sponsoring Organizations of the Treadway Commission).10. El informe COSO, brinda el enfoque de una estructura común para comprender al control interno, el cual puede ayudar a cualquier entidad a alcanzar logros en su desempeño y en su economía, prevenir pérdidas de recursos, asegurar la elaboración de informes financieros confiables, así como el cumplimiento de las leyes y regulaciones, tanto en entidades privadas, como en públicas. El concepto de control interno discurre por cinco componentes: 1) ambiente de control, 2) evaluación del riesgo, 3) actividades de control 4) información y comunicación; y, 5) supervisión,11. Estos componentes se integran en el proceso de gestión y operan en distintos niveles de efectividad y eficiencia, los que permiten que los directores se ubiquen en el nivel de evaluadores de los sistemas de control, en tanto que los gerentes que son los verdaderos ejecutivos, se posicionen como los propietarios del sistema de control interno, a fin de fortalecerlo y dirigir los esfuerzos hacia el cumplimiento de sus objetivos.12. En el ámbito público, después de haber sido materia de discusión el tema del control interno en sucesivos Congresos internacionales, en 1971 se define el concepto de control interno. Ello ocurre en el Seminario Internacional de Auditoría Gubernamental realizado en Austria en 1971, bajo el patrocinio de la Organización de Naciones Unidas e INTOSAI (siglas en inglés de la Organización Internacional de Instituciones Superiores de Auditoría), definiéndose el control interno de la siguiente manera:es... El plan de organización y el conjunto de medidas y métodos coordinados, adoptados dentro de una entidad pública para salvaguardar sus recursos, verificar la exactitud y el grado de confiabilidad de sus datos contables, promover la eficiencia en las operaciones y estimular la observación de la política...


Auditoria de Sistemas13. El interés por este tema en la década de los 70' respondía a dos hechos importantes: en primer lugar, el sector público había crecido de manera significativa en los países en desarrollo, tanto en magnitud como en volumen de operaciones, y, en segundo lugar, las entidades públicas eran muy reacias a efectuar cambios para disponer de una administración moderna y eficaz, a pesar que se encontraban en un escenario distinto.14. Con ocasión del XII Congreso Mundial de Entidades Superiores de Auditoría realizado en Washington, en 1992, se aprueban las directrices del control interno que fueron elaboradas por la Comisión de Normas de Control interno integrada por diversas Instituciones Superiores de Auditoría-ISA's. Estas directrices fueron instituidas, con el propósito de fortalecer la gestión financiera en el sector público, mediante la implementación de controles internos efectivos. En su contenido se define con claridad los objetivos del control interno en el ámbito público, así como las responsabilidades de cada entidad en la creación, mantenimiento y actualización de su estructura de control interno.15. INTOSAI, establece que la estructura de control interno es el conjunto de planes, métodos, procedimientos y otras medidas, incluyendo la actitud de la dirección que, dispone una institución para ofrecer una garantía razonable de que han sido cumplidos los siguientes objetivos: a) preservar las operaciones metódicas, económicas, eficientes y eficaces y los productos y servicios de calidad, acorde con la misión que la institución debe cumplir; b) preservar los recursos frente a cualquier pérdida por despilfarro, abuso, mala gestión, errores, fraude e irregularidades; c) respetar las leyes, reglamentos y directivas de la dirección; y, d) elaborar y mantener datos financieros y de gestión fiables y presentarlos correctamente en informes oportunos.

DEFINICIÓN DE CONTROL INTERNO

16. Control interno, es una expresión que utilizamos con el fin de describir las acciones adoptadas por los directores de entidades, gerentes o administradores, para evaluar y monitorear las operaciones en sus entidades. Por ello, a fin de lograr una adecuada comprensión de su naturaleza y alcance, a continuación se define el término Control Interno tal como lo establecen las normas de control interno para el sector público:

Es un proceso continuo realizado por la dirección, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a sí están lográndose los objetivos siguientes:

Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios;

Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal;

Cumplir las leyes, reglamentos y otras normas gubernamentales; y, Elaborar información financiera válida y confiable, presentada con

oportunidad. Promoción de la efectividad, eficiencia y economía en las operaciones y, la

calidad en los servicios

17. Este objetivo se refiere a los controles internos que adopta la administración para asegurar que se ejecuten las operaciones de acuerdo a criterios de efectividad, eficiencia y economía. Tales controles comprenden los procesos de planeamiento, organización,


Auditoria de Sistemasdirección y control de las operaciones en los programas, así como sistemas de medición de rendimiento y monitoreo de las actividades ejecutadas.

18. La efectividad tiene relación directa con el logro de los objetivos y metas programados, en tanto que la eficiencia se refiere a la relación existente entre los bienes y servicios producidos y recursos utilizados para producirlos (productividad) y su comparación con un estándar de desempeño establecido. La economía, se relaciona con la adquisición de bienes y/o servicios en condiciones de calidad, cantidad apropiada y oportuna entrega, al mínimo costo posible.19. La evaluación de los programas de control de calidad en el sector público debe permitir apreciar si los esfuerzos desarrollados para obtener mejoras incrementales en las actividades que desarrollan las entidades son razonables y tienen un impacto directo en el público beneficiario, así como es factible medir el incremento de la productividad en el trabajo y la disminución en los costos de los servicios que brinda el Estado.

Protección y conservación de los recursos contra cualquier pérdida, despilfarro, uso indebido, acto irregular o ilegal20. Este objetivo está relacionado con las medidas adoptadas por la administración para prevenir o detectar operaciones no autorizadas, acceso no autorizado a recursos o, apropiaciones indebidas que podrían resultar en pérdidas significativas para la entidad, incluyendo los casos de despilfarro, irregularidades o uso ilegal de bienes o recursos públicos.21. Los controles para la protección de activos no están diseñados para cautelar las pérdidas derivadas de actos de ineficiencia gerencial, como por ejemplo, adquirir equipos innecesarios o insatisfactorios.

Cumplimiento de leyes, reglamentos y otras normas gubernamentales22. Este objetivo se refiere a que los administradores gubernamentales, mediante el dictado de políticas y procedimientos específicos, aseguran que el uso de los recursos públicos sea consistente con las disposiciones establecidas en las leyes y reglamentos, así como concordante con las normas relacionadas con la gestión gubernamental.

Elaboración de información financiera válida y confiable, presentada con oportunidad23. Este objetivo tiene relación con las políticas, métodos y procedimientos dispuestos por la administración para asegurar que la información financiera elaborada por la entidad es válida y confiable, al igual que se revela razonablemente en los informes. Una información es válida porque se refiere a operaciones o actividades que ocurrieron y que tienen las condiciones necesarias para ser consideradas como tales; en tanto que una información confiable es aquella que merece la confianza de quien la utiliza.

ESTRUCTURA DEL CONTROL INTERNO24. Se denomina estructura de control interno al conjunto de planes, métodos, procedimientos y otras medidas, incluyendo la actitud de la dirección de una entidad, para ofrecer seguridad razonable respecto a que están lográndose los objetivos del control interno. El concepto moderno del control interno discurre por sus componentes y diversos elementos, los que se integran en el proceso de gestión y operan en distintos niveles de efectividad y eficiencia. Una estructura sólida del control interno es


Auditoria de Sistemasfundamental para promover la efectividad y eficiencia en las operaciones de cada entidad.

COMPONENTES DE LA ESTRUCTURA DEL CONTROL INTERNO

25. Los componentes pueden considerarse como un conjunto de normas que son utilizadas para medir el control interno y determinar su efectividad. Para operar la estructura (también sistema) de control interno se requiere de los siguientes componentes:

Ambiente de Control Interno Evaluación del Riesgo Actividades de Control gerencial Sistema de información y comunicación. Actividades de Monitoreo

Ambiente de control interno26. Se refiere al establecimiento de un entorno que estimule e influencie las tareas del personal con respecto al control de sus actividades; el que también se conoce como el clima en la cima. En este contexto, el personal resulta ser la esencia de cualquier entidad, al igual que sus atributos individuales como la integridad y valores éticos y el ambiente donde operan, constituyen el motor que la conduce y la base sobre la que todo descansa. El ambiente de control tiene gran influencia en la forma en que son desarrolladas las operaciones, se establecen los objetivos y estiman los riesgos. Igualmente, tiene relación con el comportamiento de los sistemas de información y con las actividades de monitoreo.

27. Los elementos que conforman el ambiente interno de control son los siguientes: Integridad y valores éticos; Autoridad y responsabilidad; Estructura organizacional; y Políticas de personal;

Evaluación del riesgo.28. El riesgo se define como la probabilidad de que un evento o acción afecte adversamente a la entidad. Su evaluación implica la identificación, análisis y manejo de los riesgos relacionados con la elaboración de estados financieros y que pueden incidir en el logro de los objetivos del control interno en la entidad. Estos riesgos incluyen eventos o circunstancias que pueden afectar el registro, procesamiento y reporte de información financiera, así como las representaciones de la gerencia en los estados financieros. Esta actividad de auto-evaluación que practica la dirección debe ser revisada por los auditores internos o externos para asegurar que los objetivos, enfoque, alcance y procedimientos han sido apropiadamente ejecutados.

29. Los elementos que forman parte de la evaluación del riesgo son: Los objetivos deben ser establecidos y comunicados; Identificación de los riesgos internos y externos; Los planes deben incluir objetivos e indicadores de rendimiento; y, Evaluación del medio ambiente interno y externo


Auditoria de SistemasActividades de control gerencial30. Se refieren a las acciones que realiza la gerencia y otro personal de la entidad para cumplir diariamente con las funciones asignadas. Son importantes porque en si mismas implican la forma correcta de hacer las cosas, así como también porque el dictado de políticas y procedimientos y la evaluación de su cumplimiento, constituyen el medio más idóneo para asegurar el logro de objetivos de la entidad. Las actividades de control pueden dividirse en tres categorías: controles de operación, controles de información financiera y controles de cumplimiento. Comprenden también las actividades de protección y conservación de los activos, así como los controles de acceso a programas computarizados y archivos de datos.

31. Los elementos conformantes de las actividades de control gerencial son: Políticas para el logro de objetivos; Coordinación entre las dependencias de la entidad; y, Diseño de las actividades de control

Sistema de información y comunicación32. Está constituido por los métodos y registros establecidos para registrar, procesar, resumir e informar sobre las operaciones de una entidad. La calidad de la información que brinda el sistema afecta la capacidad de la gerencia para adoptar decisiones adecuadas que permitan controlar las actividades de la entidad y elaborar informes financieros confiables.33. Los elementos que conforman el sistema de información son:

Identificación de información suficiente Información suficiente y relevante debe ser identificada y comunicada en forma

oportuna para permitir al personal ejecutar sus responsabilidades asignadas. Revisión de los sistemas de información Las necesidades de información y los sistemas de información deben ser

revisados cuando existan cambios en los objetivos o cuando se producen deficiencias significativas en los procesos de formulación de información.

Actividades de monitoreo34. Es el proceso que evalúa la calidad del funcionamiento del control interno en el tiempo y permite al sistema reaccionar en forma dinámica, cambiando cuando las circunstancias así lo requieran. Debe orientarse a la identificación de controles débiles, insuficientes o necesarios, para promover su reforzamiento. El monitoreo se lleva a cabo de tres formas: durante la realización de las actividades diarias en los distintos niveles de la entidad; de manera separada, por personal que no es el responsable directo de la ejecución de las actividades (incluidas las de control), o mediante la combinación de ambas modalidades.

35. Los elementos que conforman las actividades de monitoreo son: Monitoreo del rendimiento; Revisión de los supuestos que soportan los objetivos del control interno; Aplicación de procedimientos de seguimiento; y, Evaluación de la calidad del control interno

CONTROL INTERNO GERENCIAL


Auditoria de Sistemas36. El concepto de control interno, tradicionalmente estuvo vinculado con aspectos contables y financieros. Desde hace algunos años se considera que su alcance va mas allá de los asuntos que tienen relación con las funciones de los departamentos de contabilidad, dado que incluye también en el mismo concepto aspectos de carácter gerencial o administrativo. Aun cuando es difícil delimitar tales áreas, siempre es apropiado establecer algunas diferencias entre el alcance del:

Control interno financiero, y Control interno gerencial.

Control interno financiero37. El control interno financiero comprende en un sentido amplio, el plan de organización y los métodos, procedimientos y registros que tienen relación con la custodia de recursos, al igual que con la exactitud, confiabilidad y oportunidad en la presentación de información financiera, principalmente, los estados financieros de la entidad o programa. Asimismo, incluye controles sobre los sistemas de autorización y aprobación, segregación de funciones, entre las operaciones de registro e información contable.

Control interno gerencial38. Comprende en un sentido amplio, el plan de organización, política, procedimientos y prácticas utilizadas para administrar las operaciones en una entidad o programa y asegurar el cumplimiento de las metas establecidas. Incluye también las actividades de planeamiento, organización, dirección y control de las operaciones de la entidad o programa, así como el sistema para presentar informes, medir y monitorear el desarrollo de las actividades. Los métodos y procedimientos utilizados para ejercer el control interno de las operaciones, pueden variar de una entidad a otra, según la naturaleza, magnitud, y complejidad de sus operaciones; sin embargo, un control gerencial efectivo comprende los siguientes pasos:

Determinación de objetivos y metas mensurables, políticas y normas; Monitoreo del progreso y avance de las actividades Evaluación de los resultados logrados Acción correctiva, en los casos que sean requeridos

39. En el ámbito público, el control interno gerencial se extiende más allá de las operaciones de las entidades. Esto se refiere en su integridad a todos los controles ejecutados para determinar en que forma se desarrollan las actividades públicas, es decir, comprende desde la Constitución Política (asignación de mandato, autoridad y responsabilidad), leyes y reglamentos (autorización de fondos públicos y establecimiento de limitaciones y/o restricciones), política presidencial o sectorial y normas de menor jerarquía, su cumplimiento y aplicación, hasta las normas de los sistemas administrativos (presupuesto, tesorería y contabilidad pública) y de control de entidades específicas (controles gerenciales).


Separata Nº 06


OBJETIVOS DE CONTROL DEL COBIT

Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT), ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas a través de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lógica. Las “Buenas prácticas” de COBIT reúne el consenso de expertos - quienes ayudarán a optimizar la inversión de la información y proporcionarán un mecanismo de medición que permitirá juzgar cuando las actividades van por el camino equivocado.


Separata Nº 07


RESOLUCION DE CASOS PRACTICOS

Mediante el análisis, experiencia técnico profesional, conocimientos previos de una Auditoria de Sistemas, resolver los siguientes casos prácticos de estudio siguientes.

Caso de Estudio 1: Stanley RifkinCaso de Estudio 2: Innovation, Inc,Caso de Estudio 3: Departamento de Auditoría interna de Corbaut CorporativoCaso de Estudio 4: Orchard Enterprises Limited (OEL)Caso de Estudio 5: Auditoría interna de una firma financieraCaso de Estudio 6: 5 Situaciones


Separata Nº 08


INFORME DE AUDITORIA(SEGUN NAGU 4.40)

-----------------------

Síntesis GerencialAdicionalmente al Informe de la acción de control, podrá emitirse una “Síntesis Gerencial del Informe”, de contenido necesariamente breve y preciso.La Alta Dirección de la Contraloría General de la República y el Titular del Órgano de Auditoria Interna, según el caso y dentro de su ámbito de competencia, podrán eximir a la Comisión Auditora de la emisión de dicha Síntesis."

FORMATO – SUGERIDO: Entre signos: <>

<INFORME <AUDITORIA INTERNA> / <DEL ORGANO DE CONTROL INSTITUCIONAL> Nº XXX-2005-<AI>/<OCI>/<INSTITUCION>/<SOA>

<TITULO DEL INFORME>

<I.- INTRODUCCIÓN><1.- Origen del Examen><Se lleva cabo el presente examen dando cumplimiento a lo establecido por las literales <ARTICULOS> de la <NORMA> y de lo programado en nuestro Plan Anual de Control <AÑO> como una <ACTIVIDAD>/<ACCION DE CONTROL> con el código <CODIGO>.>

<2.- Naturaleza y Objetivos del ExamenLa presente Actividad de Control tiene la naturaleza de Examen Especial.Los objetivos del presente examen son:

a) ...b) ...>

<II.- CONCLUSIONES1) ...2) ...>

<III.- RECOMENDACIONES

Al Directorio1) ...2) ...

A la Gerencia3) ...4) ...>

<FECHA><FIRMA>

<c.c. <S.B.S.> / <CONTRALORIA> GERENCIA / <COMITÉ DE AUDITORIA> / <DIRECTORIO> Archivo.>



Informe Final

El contenido del informe expondrá ordenada y apropiadamente los resultados de la acción de control, señalando que se realizó de acuerdo a las Normas de Auditoria Gubernamental y mostrando los beneficios que reportará a la entidad.

Esta norma tiene por finalidad regular el contenido del Informe de la acción de control, trátese ésta de una auditoría financiera (informe largo), auditoría de gestión o examen especial según sea el caso, con el objeto de asegurar que su denominación, estructura y el desarrollo de sus resultados guarden la debida uniformidad, ordenamiento, consistencia y calidad, para fines de su máxima utilidad por la entidad examinada.

FORMATO – SUGERIDO: Entre signos: <>

El informe se hace entrega mediante cartas dirigidas a los Directores, Gerencia y Entes Reguladores, Supervisores.

El informe se enumera, se utiliza “fonts” previamente definidos (para los titulos, parrafos, tablas, etc)

<INFORME <AUDITORIA INTERNA> / <DEL ORGANO DE CONTROL INSTITUCIONAL> Nº XXX-2005-<AI>/<OCI>/<INSTITUCION>/<SOA>>

<TITULO>

(Generalmente salen de las normas que se cumplen)

El Informe será denominado teniendo en consideración, la naturaleza o tipo de la acción de control practicada, con indicación de los datos correspondientes a su numeración e incluyendo adicionalmente un título, el cual deberá ser breve, específico y redactado en tono constructivo, si fuere pertinente. En ningún caso, incluirá información confidencial o nombres de personas.

<I.- INTRODUCCIÓN>

<1.- Origen del Examen>

Estará referido a los antecedentes o razones que motivaron la realización de la acción de control, tales como: planes anuales de auditoría, denuncias, solicitudes expresas (del Titular de la entidad, de la Contraloría General de la República, del Congreso, etc.), entre otros; debiéndose hacer mención al documento y fecha de acreditación.

Informar si el examen es una acción de control (Contraloría-SBS) o actividad de control (SBS), un Examen especial requerido (puede se en cualquier época del año).Se describe en cumplimiento de que (norma) se realiza el informe de auditoria, y cual es el código en el respectivo Plan Anual de Control.

<2.- Naturaleza y Objetivos del Examen>

En este rubro se señalará la naturaleza o tipo de la acción de control practicada (auditoría financiera, auditoría de gestión o examen especial), así como los objetivos previstos respecto de la misma; exponiéndose ellos según su grado de significación o importancia para la entidad, incluyendo las precisiones que correspondan respecto del nivel de cumplimiento alcanzado en cada caso.

<El Examen Especial tiene la naturaleza de actividad de control programada de periodicidad anual. Se describen los objetivos del trabajo, están ligados al cumplimiento de las normas en materia de revisión.>

<Los objetivos del trabajo, de acuerdo a la norma correspondiente, son:

a) ..b) ..c) ...>


Auditoria de Sistemas<3.- Alcance del Examen>

Se indicará claramente la cobertura y profundidad del trabajo realizado para el logro de los objetivos de la acción de control, precisando el periodo y áreas de la entidad examinadas, ámbito geográfico donde se realizó el examen y, asimismo, dejándose constancia que éste se llevó a cabo de acuerdo con las Normas de Auditoría Gubernamental; tratándose de Auditoría Financiera, se hará mención adicionalmente a las Normas de Auditoría Generalmente Aceptadas, Normas Internacionales de Auditoría y demás disposiciones aplicables al efecto.

<Periodo de revisión.>

Igualmente, de ser pertinente, la Comisión Auditora revelará aquí las limitaciones de información u otras relativas al alcance del examen que se hubieran presentado y afectado el proceso de la acción de control, así como las modificaciones efectuadas al enfoque o curso de la misma como consecuencia de dichas limitaciones, se acuña la frase:

<“El examen se lleva a cabo de acuerdo a las Normas de Auditoria Gubernamental”>.

<4.- Antecedentes y Base Legal de la Entidad>

Se hará referencia, de manera breve y concisa, a los aspectos de mayor relevancia que guarden vinculación directa con la acción de control realizada, sobre la misión, naturaleza legal, ubicación orgánica y funciones relacionadas de la entidad y/o área(s) examinada(s), así como las principales normas legales que le(s) sean de aplicación, con el objeto de situar y mostrar apropiadamente el ámbito técnico y jurídico que es materia de control; evitándose, en tal sentido, insertar simples o tediosas transcripciones literales de textos y/o relaciones de actividades o disposiciones normativas.

<Organización y Funcionamiento:>

Descripción de lo normativo que regula el funcionamiento de la entidad, lo más importante.

<En la ejecución del examen se utilizaron como criterio las siguientes normas:

1) ..2) ..3) ..>

<Estructura Orgánica>

Relación en orden de importancia.

<5.- Comunicación de Hallazgos>

Se deberá indicar haberse dado cumplimiento a la comunicación oportuna de los hallazgos efectuada al personal que labora o haya laborado en la entidad comprendido en ellos.Asimismo, en este punto se señalará que se incluye un anexo en el Informe con la relación del personal al servicio de la entidad examinada, finalmente considerado en las observaciones contenidas en el mismo, consignándose en dicha nómina los nombres y apellidos, documento de identidad, cargo(s) desempeñado(s), período(s) de gestión, condición laboral y domicilio correspondientes, con indicación de aquellas en que estuvieren incursos en cada caso.

<Durante el desarrollo de la acción de control, en cumplimiento a la Norma de Auditoria Gubernamental – NAGU 3.60, los Hallazgos de Auditoria emergentes fueron comunicados a los servidores comprendidos en los mismos, solicitándoles la presentación de sus comentarios y/o aclaraciones sobre los hechos observados, recibiendo la respuesta correspondiente, las que fueron evaluadas y consideradas en el presente informe> / <Durante el desarrollo de la acción de control no se encontraron hallazgos que revistan importancia>.


Auditoria de Sistemas<La relación de personas comprendidas en las observaciones se detalla en el <Anexo Nº 1> que adjuntamos.>

<6.- Memorándum de Control Interno>

Se indicará que durante la acción de control se ha emitido el Memorándum de Control Interno, en el cual se informó al titular sobre la efectividad de los controles internos implantados en la entidad. Dicho documento así como el reporte de las acciones correctivas que en virtud del mismo se hayan adoptado, se deberá adjuntar como anexo del informe. (Leer NAGU 3.10)

<En el desarrollo del presente examen <no fue necesaria la emisión del Memorandum de Control Interno> / <se emitieron las siguiente cartas mediante las cuales comunicamos las deficiencias de control interno encontradas>.>

Es la llamada Carta de Control Interno (aquella que se envía mucho antes de emitir el informe de auditoria), únicamente a criterio del Auditor se considerara en el Informe Final, las recomendaciones que no fueron levantadas, sin embargo es una buena práctica adjuntar la carta de control interno para un mejor seguimiento de medidas correctivas.

<7.- Otros Aspectos de Importancia>

Podrá referirse bajo el presente rubro aquella información verificada que la Comisión Auditora, basada en su opinión profesional competente, considere de importancia o significación, para fines del Informe, dar a conocer sobre hechos, acciones o circunstancias que, por su naturaleza e implicancias, tengan relación con la situación evidenciada en la entidad o los objetivos de la acción de control y, cuya revelación permita mostrar la objetividad e imparcialidad del trabajo desarrollado por la Comisión; tal como:

a) El reconocimiento de las dificultades o limitaciones, de carácter excepcional, en las que se desenvolvió la gestión realizada por los responsables de la entidad o área examinada,

b) El reconocimiento de logros significativos alcanzados durante la gestión examinada,c) La adopción de correctivos por la propia administración, durante la ejecución de la acción de control, que

hayan permitido superar hechos observables,d) Informar de aquellos asuntos importantes que requieran un trabajo adicional, siempre que no se

encuentren directamente comprendidos en los objetivos de la acción de control,e) Eventos posteriores a la ejecución del trabajo de campo que hayan sido de conocimiento de la comisión

auditora y que afecten o modifiquen el funcionamiento de la entidad o de las áreas examinadas.f) Si alguno de los aspectos considerados en este punto por la Comisión Auditora, demandara una exposición o

desarrollo extenso, será incluido como anexo del Informe.g) Dichos aspectos, asimismo, podrán dar lugar a la formulación de conclusiones y/o recomendaciones, si

hubiere mérito para ello.

En esta sección se preparan cuadros o informes que pudieran mejorar la comprensión del examen para sus lectores y tomadores de decisión (directores del negocio.)

Si el examen requiere verificar la remisión de información a los entes reguladores es aquí donde se pueden comentar su cumplimiento o su incumplimiento, en el caso de incumplimiento se adjunta un comentario haciendo mención que desarrollamos el punto en la sección de observaciones o hallazgo particular.

<II.- OBSERVACIONES>

En esta parte del Informe, la Comisión Auditora desarrollará las observaciones que, como consecuencia del trabajo de campo realizado y la aplicación de los procedimientos de control gubernamental, hayan sido determinadas como tales, una vez concluido el proceso de evaluación y contrastación de los hallazgos comunicados con los correspondientes comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, así como la documentación y evidencia sustentatoria respectiva.

Las observaciones se deberán referir a hechos o situaciones de carácter significativo y de interés para la entidad examinada, cuya naturaleza deficiente permita oportunidades de mejora y/o corrección, incluyendo sobre ellos información suficiente y competente relacionada con los resultados de la evaluación efectuada a la gestión de la entidad examinada.


Auditoria de SistemasSección para presentar los hallazgos de auditoria, pueden de ser el caso reformularse sin cambiar el fondo de lo comunicado a los observados.

Las observaciones, para su mejor comprensión, se presentarán de manera ordenada, sistemática, lógica y numerada correlativamente, evitando el uso de calificativos innecesarios y describiendo apropiadamente sus elementos o atributos característicos. Con tal propósito, dicha presentación considerará en su desarrollo expositivo los aspectos esenciales siguientes:

Cada observación deberá redactarse en forma narrativa, teniendo en cuenta para su presentación los aspectos siguientes:a. Sumilla: Se refiere al titulo que utiliza el hecho observado.b. Condición: Este término se refiere a la descripción de la situación irregular o deficiencia hallada, cuyo grado

de desviación debe ser demostrada.c. Criterio: Son las normas transgredidas de carácter legal, operativo o de control que regulan el accionar de la

entidad examinada. El desarrollo del criterio en la presentación de la observación debe citar específicamente la normativa pertinente y el texto aplicable de la misma.

d. Causa: Es la razón fundamental por la cual ocurrió la condición, o el motivo por el que no se cumplió el criterio o norma. Su identificación requiere de la habilidad y juicio profesional del auditor y es necesaria para el desarrollo de una recomendación constructiva que prevenga la recurrencia de la condición.

e. Efecto: Es la consecuencia real o potencial cuantitativa o cualitativa, que ocasiona el hallazgo, indispensable para establecer su importancia y recomendara la Administración que tome las acciones requeridas para corregir la condición. Siempre y cuando sea posible; el auditor debe revelar en su informe la cuantificación del efecto.

Al término del desarrollo de cada observación, se indicaran de modo sucinto los descargos que presenten las personas comprendidas en la misma, así como la opinión del auditor después de evaluar los hechos observados y los descargos recibidos.Si durante el examen el auditor aprecia logros notables en la entidad auditada y que tengan relación con el alcance y objetivos de la auditoría, a su juicio podrá decidir su inclusión en los comentarios del informe.Tratándose de la existencia de posibles delitos el auditor debe deslindar y determinar el tipo de responsabilidad que corresponda a los presuntos implicados, contando para ello con una adecuada coordinación con la asesoría legal.

Los hallazgos se enumeran en orden correlativo.

<III.- CONCLUSIONES>

En este rubro la Comisión Auditora deberá expresar las conclusiones del Informe de la acción de control, entendiéndose como tales los juicios de carácter profesional, basados en las observaciones establecidas, que se formulan como consecuencia del examen practicado a la entidad auditada.

Al final de cada conclusión se identificará el número de la(s) observación(es) correspondiente(s) a cuyos hechos se refiere.

La Comisión Auditora, en casos debidamente justificados, podrá también formular conclusiones sobre aspectos distintos a las observaciones, verificados en el curso de la acción de control, siempre que éstos hayan sido expuestos en el Informe.

Se concluye por cada objetivo planteado, por cada observación desarrollada, adjuntando la palabra (Observación Nº X), siendo “X” el número de la observación correspondiente, es una buena práctica volver a leer la sumilla de la observación.

<IV.- RECOMENDACIONES>

Las recomendaciones constituyen las medidas específicas y posibles que, con el propósito de mostrar los beneficios que reportará la acción de control, se sugieren a la administración de la entidad para promover la superación de las causas y las deficiencias evidenciadas durante el examen. Estarán dirigidas al Titular o en su caso a los funcionarios que tengan competencia para disponer su aplicación.

Las recomendaciones se formularán con orientación constructiva para propiciar el mejoramiento de la gestión de la entidad y el desempeño de los funcionarios y servidores públicos a su servicio, con énfasis en contribuir al logro de los objetivos institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo proporcional a los beneficios esperados.


Auditoria de SistemasPara efecto de su presentación, las recomendaciones se realizarán siguiendo el orden jerárquico de los funcionarios responsables a quienes va dirigida, 5everenciándolas en su caso a las conclusiones, o aspectos distintos a éstas, que las han originado.

También se incluirá como recomendación, cuando existiera mérito de acuerdo a los hechos revelados en las observaciones, el procesamiento de las responsabilidades administrativas que se hubiesen determinado en el Informe, conforme a lo previsto en el régimen laboral pertinente.

Es la sección quizás más importante del trabajo del auditor, por que es la que genera valor agregado a s trabajo, y la justificación del mismo.

Se desarrolla dirigiéndola a los estamentos de la institución.

<Al Directorio>

<A la Gerencia>

Se enumera y se recomienda por cada conclusión redactada, adjuntando la palabra (Conclusión Nº X), siendo “X” el número de la conclusión correspondiente.

<V.- ANEXOS>

A fin de lograr el máximo de concisión y claridad en el Informe, sólo se incluirá como Anexos, además de los expresamente considerados en la presente norma, aquella documentación indispensable que contenga importante información complementaria o ampliatoria de los datos contenidos en el Informe y que no obre en la entidad examinada.

<Anexo No. 1: Relación de Personas Comprendidas>Son aquellas consideradas en las observaciones, se elabora cuadro con DNI, Cargo Ocupadazo, Periodo, Observación, por cada persona comprendida.

<Anexo No. 2: Carta de Control Interno>Copias de las cartas de control Interno enviadas, pueden haber mas de una carta de control interno, entonces se enumera a partir del anexo 2.

<Anexo No. 3:>Anexos que refuerzan el informe o hacen que su lectura más entendible, solo en caso de no existir personas comprendidas o carta de control interno se puede enumerar como anexo 1.

<Fecha><Huancayo, DIA de MES del 2006>

<FIRMA>El Informe, una vez efectuado el control de calidad correspondiente previo a su aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel gerencial competente de la Contraloría General de la República. En el caso de los Órganos de Auditoria Interna del Sistema Nacional de Control, por el Jefe de Comisión, el Supervisor y el Jefe del respectivo Órgano.

Los Informes emitidos por las Sociedades de Auditoría serán suscritos por el socio participante y auditor responsable de la auditoría.

De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por el abogado u otro profesional y/o especialista participante en la acción de control.

Las copias a enviar dependen si es una acción de control o una actividad de control, casi siempre se envía a los Directores, Gerencia, y se guarda una copia para el archivo de la oficina de auditoria>

<c.c. <S.B.S.> / <CONTRALORIA> GERENCIA /


Auditoria de Sistemas <COMITÉ DE AUDITORIA> / <DIRECTORIO> Archivo.>

Es una buena práctica averiguar los nombres de los Directores pues estos cambian con facilidad.

================== OTRA PAGINA ==================<ANEXO Nº 1>

<RELACION DE LAS PERSONAS COMPRENDIDAS EN LAS OBSERVACIONES>

<Nº DE

ORD.

APELLIDOS Y NOMBRES

CARGODESEMPEÑADO

PERIODO DEGESTION

CONDICIONLABORAL

DIRECCIONDOMICILIARIA

OBSERVACIONNº

>

================== OTRA PAGINA ==================

<ANEXO Nº X>

<TITULO>

<DESARROLLO>


Separata Nº 09


ORGANIZACION DE LOS PAPELES DE TRABAJO(NAGU 3.50)

Art. 19º, Resolucion S.B.S. Nº 1041-99SEGUIMIENTO DE LA IMPLEMENTACION DE MEDIDAS CORRECTIVAS

(NAGU 4.60)Lit. h.Art. 6º, Resolucion S.B.S. Nº 1041-99

--------------------------------------------------------------------

I. PAPELES DE TRABAJO

El auditor debe organizar un registro completo y detallado de la labor efectuada y las conclusiones alcanzadas, en forma de papeles de trabajo.

Los papeles de trabajo constituyen el vínculo entre el trabajo de planeamiento y ejecución, y el informe de auditoria. Por tanto, deberán contener la evidencia necesaria para fundamentar los hallazgos, opiniones y conclusiones que se presentar en el informe.

Podrán incluir medios de almacenamiento magnéticos, electrónicos, informáticos y otros.

No hay nada que sustituya a una comprensión adecuada de los objetivos de la Auditoría, las razones por las cuales se emprenderá determinada tarea y la forma en que esa tarea contribuirá al cumplimiento de los objetivos. Esa comprensión se logra cuando el auditor dispone de papeles de trabajo debidamente planificados y organizados y, recibe instrucciones idóneas de sus supervisores. La práctica de indicar claramente en los papeles de trabajo los fines que se persigan, será muy útil para asegurarse de que la información obtenida estará relacionada directamente con los objetivos de la Auditoria y del informe correspondiente.

Propósitoa. Contribuir a la planeación y realización de la Auditoria.b. Proporcionar el principal sustento del informe del auditor.c. Permitir una adecuada ejecución, revisión y supervisión del trabajo de

Auditoria.d. Constituir la evidencia del trabajo realizado y el soporte de las

conclusiones, comentarios y recomendaciones incluidas en el informe y como prueba preconstituida para los procesos judiciales, de ser el caso.

e. Permitir las revisiones de calidad de la Auditoría.-----------------------------------------------------------NAGU. 1.60 CONTROL DE CALIDADCONTROL DE CALIDAD EXTERNOLa Contraloría General de la República, adoptará las políticas y procedimientos que permitan efectuar periódicamente el control de calidad externo de los Órganos de Auditoria Interna y de las Sociedades de Auditoria designadas.

El control de calidad externo, debe incluir entre otros, la revisión de los informes de auditoria y los correspondientes papeles de trabajo, así como, la idoneidad de los programas de capacitación y entrenamiento.

Las Sociedades de Auditoria designadas que, de acuerdo con sus políticas internas, se encuentran sujetas a revisiones de control de calidad externa, pondrán a disposición a requerimiento de la Contraloría General de la República, constancia del resultado de la supervisión correspondiente."-----------------------------------------------------------



REQUISITOSa. Ser completos y exactos, con objeto de que permitan sustentar

debidamente los hallazgos, opiniones y conclusiones y demostrar la naturaleza y el alcance del trabajo realizado. La concisión es importante, pero no deberá sacrificarse la claridad y la integridad con el único fin de ahorrar tiempo o papel.

b. Deben ser lo suficientemente claros, comprensibles y detallados para que un auditor experimentado, que no haya mantenido una relación directa con la auditoria, este en capacidad de fundamentar las conclusiones y recomendaciones, mediante su revisión. No deben requerir de explicaciones orales.

c. Ser legibles y ordenados, pues de lo contrario podrían perder su valor como evidencia.

d. Deben contener información relevante, esto es, limitarse a los asuntos que sean pertinentes e importantes para cumplir los objetivos del trabajo encomendado.

CONTENIDOLa forma y contenido de los papeles de trabajo se ven afectados por factores tales como:a. La naturaleza de la auditoriab. El tipo de informe a emitir.c. La naturaleza y complejidad de la actividad de la entidad.

Como regla general, los papeles de trabajo deben contener:a. El Memorándum de Planificación y los Programas de Auditoria que deben

estar debidamente referenciados a los papeles de trabajo.b. Objetivos, alcance y metodología, incluyendo los criterios usados para la

selección de las muestras.c. Indicación de la manera como se ha obtenido la información, con

referencia a los documentos base y las personas que la facilitaron (fuentes).

Propiedad y Custodia de los Papeles de TrabajoLos papeles de trabajo son propiedad de los órganos conformantes del Sistema Nacional de Control, y de las sociedades de Auditoria, cuyos exámenes practicados contaron con la autorización de la Contraloría General, destacándose que en el caso de Auditorias practicadas por Sociedades de Auditoria contratadas directamente por el organismo rector del Sistema, los papeles de trabajo serán de propiedad de la Contraloría General de la República.

La Superintendencia de Banca, Seguros y AFP’s, ha establecido lo siguiente:

“La UAI deberá mantener un archivo conteniendo los informes elaborados y otras comunicaciones que mantenga con las diferentes unidades de la empresa, así como la documentación sustentatoria de los mismos. Dicha información deberá estar a disposición de la Superintendencia, los auditores externos y, de ser el caso, de las empresas clasificadoras de riesgo, cuando así lo requieran.”



II. SEGUIMIENTO DE RECOMENDACIONES DE AUDITORIAS ANTERIORES.

Los órganos conformantes del Sistema Nacional de Control deben efectuar el seguimiento a la implementación de las recomendaciones planteadas en los informes de auditorias anteriores, con la finalidad de determinar si se emprendieron acciones correctivas por parte de los funcionarios responsables de las organizaciones auditadas.

1. La administración de la organización auditada es la responsable de superar las observaciones mediante la implementación de las recomendaciones, y de mantener un proceso permanente para efectuar el seguimiento que pueda contribuir a que cumpla de mejor manera con sus responsabilidades de gestión. Corresponde al titular de la entidad auditada dictar las disposiciones necesarias para la aplicación de las recomendaciones formuladas en el informe, cautelando su cumplimiento. En concordancia con el artículo 24. literal g) del Decreto Ley Nº 26162, en caso el titular de la entidad no ejecute las recomendaciones de una acción de control que conlleven la asunción de decisiones administrativas y el titular de la entidad que ejerce tuición no obliga a su cumplimiento, la Contraloría General de la República puede sancionar a quienes incumplieron.

2. Al órgano de Auditoría Interna le corresponde realizar el seguimiento a la implementación de las recomendaciones como actividad permanente, con la respectiva verificación directa en cada área responsable, informando de sus resultados a la Contraloría General y a su titular. Las auditorías a cargo de la Contraloría General, de los Organos de Auditoría Interna y de las Sociedades de Auditoría designadas deben incluir como objetivos el seguimiento a la implementación de las medidas correctivas, por parte de los responsables de la administración.

3. El seguimiento a la implementación de las recomendaciones que realizan los órganos del Sistema Nacional de Control debe incluir la evaluación de los resultados de las acciones adoptadas por la entidad que fuere examinada con anterioridad a efecto de establecer si fueron implementadas las recomendaciones y superadas las observaciones reveladas en el informe de auditoría.

4. Para efecto del seguimiento, las recomendaciones se reportarán según los siguientes estados de implementación:

4.1. PendienteCuando el titular aún no ha designado a los responsables de aplicar las recomendaciones o habiéndolos designado, éstos no han iniciado las acciones de implantación efectivas.

4.2. En ProcesoCuando el titular ha designado a los funcionarios responsables de la aplicación y éstos han iniciado las acciones de implementación correspondientes.

4.3. SuperadaCuando se hayan aplicado las medidas sugeridas en las recomendaciones, corrigiendo así la desviación detectada y desapareciendo la causa que motivó la observación. Para calificar como superada, en el seguimiento de las recomendaciones, el auditor debe poner más atención en que las deficiencias evidenciadas hayan sido corregidas.(*)

La Superintendencia de Banca, Seguros y AFP’s, ha establecido

“h. Efectuar el seguimiento permanente de la implementación de las observaciones y recomendaciones formuladas por esta Superintendencia, los auditores externos, así como las realizadas por la propia UAI.”


Separata Nº 10


PLAN DE SEGURIDAD DE LA INFORMACION (PSI)Art. 5º Circular S.B.S. Nº G-105-2002; ISACA

PLAN DE CONTINUIDAD DEL NEGOCIO (PCN)Art. 11º, 12º, y 13º Circular S.B.S. Nº G-105-2002; ISACA

“Riesgos de Tecnologia de Informacion”--------------------------------------------------------------------

Según la norma citada,--------------------------------------------------------------Auditoria Interna y ExternaArtículo 16º.- La Unidad de Auditoría Interna deberá incorporar en su Plan Anual de Trabajo la evaluación del cumplimiento de lo dispuesto en la presente norma. Asimismo, las Sociedades de Auditoría Externa deberán incluir en su informe sobre el sistema de control interno comentarios dirigidos a indicar si la entidad cuenta con políticas y procedimientos para la administración de los riesgos de tecnología de información, considerando asimismo, el cumplimiento de lo dispuesto en la presente norma.--------------------------------------------------------------

PLAN DE SEGURIDAD DE LA INFORMACION (PSI).- PROTECCION DE LOS ACTIVOS DE INFORMACION

Existe el ISO 17799, controles para la Administración de la Seguridad de Información

Los objetivos de seguridad para satisfacer los requerimientos de negocio: Asegurar la integridad de la información almacenada en sus sistemas de

cómputo (datos completos y tienen exactitud, consistencia, validez y verificabilidad. Integridad se refiere a la confiabilidad de los datos, s relevancia en un asunto posterior).

Preservar la confidencialidad de los datos sensitivos. Asegurar el cumplimiento con la confianza depositada y de la obligación en

relación con cualquier información relativa a una persona identificada o identificable (es decir, sujeto de datos) en conformidad con su política de privacidad o leyes y regulaciones de privacidad aplicables.

Asegurar la disponibilidad continua de sus sistemas de información. Asegurar que se ajusten a las leyes, regulaciones y normas aplicables.

Las fallas de seguridad pueden ser costosas para el negocio. Las perdidas pueden ocurrir como resultado de la falla misma o pueden ser incurridos en la recuperación del incidente, seguidos por más costos para asegurar los sistemas y prevenir mas fallas. Un conjunto bien definido de políticas y procedimientos de seguridad puede prevenir perdidas de reputación y financieras, así como ahorrar dinero.

Elementos Clave de la Administración de la Seguridad de la InformaciónCompromiso y soporte de la alta gerenciaPolíticas y procedimientosOrganizaciónConciencia de la Seguridad y educaciónMonitoreo y cumplimiento



Manejo y respuesta a incidentesPlaneación y preparaciónDetecciónIniciaciónEvaluaciónContenciónErradicaciónRespuestaRecuperaciónCierreRevisión posterior al incidenteLecciones aprendidas

Mantener la responsabilidad sobre los activos de informaciónInventario de activos de informaciónClasificación

PLAN DE CONTINUIDAD DEL NEGOCIO (PCN).

PLANEACION DE LA CONTINUIDAD DEL NEGOCIO/RECUPERACION DE DESASTRES

El negocio moderno no puede evitar todas las formas de riesgo corporativo o de daño potencial. El objetivo de la continuidad del negocio es garantizar que un negocio continúe funcionando en caso de una interrupción y que sobreviva a una interrupción por un desastre de sus sistemas de información. Es necesario una planeación rigurosa y una dedicación de recursos para tener un plan adecuado para cada evento que se pueda presentar.


separatas auditoria de sistemas

Documents