Está en la página 1de 30

1.

Herramientas y Tcnicas para la Auditora Informtica:


a) Cuestionarios: Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.

b) Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido,

consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.

c) Checklist: El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica. El auditor deber aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deber evitar absolutamente la presin sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofa" de calificacin o evaluacin: a. Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo) Ejemplo de Checklist de rango: Se supone que se est realizando una auditora sobre la seguridad fsica de una instalacin y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Clculo. Podran formularse las preguntas que figuran a continuacin, en donde las respuestas tiene los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto. Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo guin. La cumplimentacin de la Checklist no debe realizarse en presencia del auditado. -Existe personal especfico de vigilancia externa al edificio? -No, solamente un guarda por la noche que atiende adems otra instalacin adyacente. <Puntuacin: 1> -Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los aledaos del Centro de Clculo? -Si, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2>

-Hay salida de emergencia adems de la habilitada para la entrada y salida de mquinas? -Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuacin: 2> -El personal de Comunicaciones, Puede entrar directamente en la Sala de Computadoras? -No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotacin. <Puntuacin: 4> El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente. b. Checklist de rango c. Checklist Binaria Es la constituida por preguntas con respuesta nica y excluyente: Si o No. Aritmeticamente, equivalen a 1(uno) o 0(cero), respectivamente. Ejemplo de Checklist Binaria: Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos. -Existe Normativa de que el usuario final compruebe los resultados finales de los programas? <Puntuacin: 1> -Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuacin: 1> -Se aplica dicha norma en todos los casos? <Puntuacin: 0> -Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuacion: 0> Obsrvese como en este caso estn contestadas las siguientes preguntas: -Se conoce la norma anterior? <Puntuacin: 0> -Se aplica en todos los casos? <Puntuacin: 0>

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la evaluacin que en la checklist binaria. Sin embargo, la bondad del mtodo depende excesivamente de la formacin y competencia del equipo auditor. Las Checklists Binarias siguen una elaboracin inicial mucho ms ardua y compleja. Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genrico del <si o no> frente a la mayor riqueza del intervalo. No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar. d) Trazas y/o Huellas: Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo. Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio para segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho Sistema, en donde se recogen las modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc. [La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.]. *Log: El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos.

e) Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin. Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar

informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

2. Documentos de Auditoria:
a. Documentos de Auditoria: Documentos relacionados con la auditoria son aquellos documentos con resultados finales de trabajo de los Comits, Sub-Comits, grupos de Trabajo y Task Forces (en breve: gremios de la INTOSAI) aprobados por el INCOSAI como internacionalmente reconocidas normas de auditora de la fiscalizacin externa pblica. Algunos documentos relacionados con la auditora y documentos de trabajo no estn disponibles en todos los idiomas de trabajo de la INTOSAI. En caso que requiera informaciones especficas sobre los distintos gremios se ruega dirigirse directamente a la correspondiente presidencia

Revisin de la Documentacin La revisin de la documentacin de las empresas y la de los trabajadores, es un elemento clave en las auditoras sociales. En combinacin con las entrevistas a los trabajadores, la revisin ayudar a los auditores a obtener una idea ms clara sobre las condiciones de trabajo y empleo de la empresa auditada, incluyendo horas de trabajo, salarios y deducciones, y cualquier queja levantada por los trabajadores. Generalmente, los auditores revisan una variedad de documentos; incluyendo comprobantes de pago, polticas y procedimientos empresariales, contratos laborales, y otros documentos relevantes en el monitoreo de las condiciones de empleo de los trabajadores de la empresa. Cuando una auditora cubrir los temas de contratacin y reclutamiento justo, la revisin debera ser ms profunda y extensa. Se profundiza la revisin de dicha documentacin, con el fin de examinar a mayor nivel de detalle las condiciones de reclutamiento y empleo que enfrentan los trabajadores migrantes. sta se lleva a cabo de una manera ms extensa; y su alcance va ms all de la instalacin y su fuerza laboral, ya que incluye una revisin de las operaciones de los intermediarios laborales, y los

trabajadores reclutados y manejados por dichos intermediarios. Es por eso que, una auditoria de contratacin justa, es ms minuciosa y amplia. Hay muchas acciones que pueden tomas las empresas para integrar los principios de contratacin justa en esta fase de la auditora. Ms abajo, se encuentra un listado de los tipos de documentos que se pueden revisar, adems de una explicacin de lo que se debera buscar. Las instrucciones estn divididas en dos secciones: primero, documentos de la empresa o instalacin que pueden ser revisados; y segundo, documentos de los intermediarios mismos.

b. Documentos de la Empresa:

1. Una copia de los contratos firmados entre la empresa y cada uno de los intermediarios que proveen trabajadores migrantes a la empresa. Revisar los contratos para asegurarse de que stos especifican las obligaciones relacionadas con lo siguiente: Servicios provedos por el intermediario laboral; Gastos y honorarios pagados por la empresa y el intermediario laboral; Honorarios de reclutamiento; Prohibicin de trabajo forzoso y trata de personas; Sanciones por falta de cumplimiento con los trminos de los contratos, en relacin a los derechos laboralesy humanos; y Descripcin detallada sobre la cantidad y el tipo de deducciones hechas por la empresa o por el intermediario. 2. Un listado completo de todos los trabajadores huspedes y migrantes empleados en la empresa y otra documentacin Al revisar este listado, es necesario asegurarse de que la siguiente informacin es incluida:

Nombres completos y nmero de identificacin de cada trabajador; Terminal o departamento de trabajo con su horario de trabajo y turno; Fecha de contratacin; Nombre de los intermediarios (en ambos, pas de origen y destino); Direccin e informacin de contacto en el pas de origen; y Informacin de contacto en caso de una emergencia. 3. Un listado completo de todos los intermediarios que proveen trabajadores migrantes a la empresa, y otra documentacin Por cada intermediario, asegurarse de revisar lo siguiente:

Informacin de contacto completa; Informacin sobre las licencias y acreditaciones del intermediario; Informacin sobre las licencias y acreditaciones de cualquier subcontratista o subagente utilizado por el intermediario; y Historial de las acciones tomadas por la empresa para la seleccin, contratacin y evaluacin de los intermediarios laborales. 4. Todas las polticas relevantes de la empresa y su manual de procedimientos operativos La revisin de las polticas y procedimientos de una empresa, tiene dos propsitos bsicos: 1) puede ayudar a examinar el marco de polticas que han sido adoptadas por la instalacin, para enfrentar los principales problemas laborales relacionados con los trabajadores migrantes; y 2) puede proporcionar informacin sobre los procedimientos desarrollados por la instalacin para abordar problemticas de recursos humanos y laborales en el lugar de trabajo. Revisar estos materiales incluyendo polticas de recursos humanos y cdigos de conducta para evaluar el compromiso de la empresa en cuanto a:

o o o o o o o o

o o

La prohibicin del trabajo forzoso y la trata de personas, y todas las formas de engao y coercin en el reclutamiento, la contratacin y el manejo de trabajadores migrantes; Trato justo de los trabajadores en relacin a: Remuneracin; Horas de trabajo; Horas extras; Derechos a baja (por ejemplo, por maternidad o razones medicas); Membresa en sindicatos; Alojamiento; y Beneficios y seguro social. La contratacin de intermediarios comprometidos a no cobrar ningn horario o gasto a los trabajadores por reclutamiento. La prohibicin de la confiscacin o retencin de pasaportes u otros documentos de valor de los trabajadores. Si la retencin de dichos documentos es requerida por ley, o solicitada por los trabajadores, revisar los procedimientos de la empresa, para asegurarse de que sta, tiene un mecanismo claro y transparente que garantiza que los trabajadores pueden tener acceso a sus pertenencias en el momento que los requieran. La prohibicin de: La coleccin de depsitos o fianzas durante el reclutamiento o durante la relacin de empleo; Horas extras obligatorias o no voluntarias que sobrepasan los limites establecidos por las leyes nacionales; y

Sanciones disciplinarias que utilizan el trabajo forzoso u obligatorio como castigo por infracciones en el lugar de trabajo. Prcticas de recursos humanos relacionadas con el reclutamiento, contratos laborales, salarios, y horas de trabajo; las cuales contribuyen a minimizar el riesgo de trabajo forzoso o la trata de personas. Garantas de libertad de movimiento y libertad personal de los trabajadores, en las residencias operadas por los empleadores. Desarrollo progresivo de un proceso eficaz de seleccin y contratacin de intermediarios laborales responsables, que incluya herramientas y metodologas de evaluacin rigorosas. 5. Archivos de personal de un nmero representativo de los trabajadores migrantes Cuando sean revisados los archivos de personal de los trabajadores migrantes, hay que asegurarse de recolectar la siguiente informacin:

Una copia del pasaporte del trabajador o carnet de identificacin nacional; El nombre e informacin de contracto del intermediario laboral; Informacin de contacto en caso de una emergencia; Notificaciones disciplinarias, si aplica; y El Contrato laboral firmado. Revisar los contratos laborales de cada trabajador migrante, para asegurarse de que las provisiones sobre los salarios cumplen con los estndares mnimos legales, o de la industria. Adems, los contratos laborales deberan:

o o o o

Detallar claramente las circunstancias bajo las cuales los trabajadores pueden dejar su empleo sin sancin, siempre con notificacin de tiempo razonable; Especificar los derechos y responsabilidades de los trabajadores en cuanto a: Salarios; Horas de trabajo; Das libres y bajas anuales; y Procedimientos disciplinarios que pueden resultar en el despido. Reveal no indications of contract substitution or the amendment of original contract provisions with those that are less favorable to the worker. 6. Archivos de personal de trabajadores migrantes despedidos o de trabajadores que han renunciado. Revisar los archivos de personal de todos los trabajadores migrantes despedidos o de trabajadores que han renunciado. Asegurarse de revisar todos los puntos anteriores, y en especialmente los procedimientos de quejas y disciplina.

Los archivos de personal de los trabajadores despedidos deberan incluir la razn precisa y el detalle del despido, adems de la documentacin de la indemnizacin, cuando esta es requerida por ley; y Los archivos no incluyen ninguna evidencia de violencia, intimidacin, acoso, amenazas o abuso verbal o fsico en el lugar de trabajo. 7. Comprobantes de pago de los trabajadores migrantes (ver la seccin de Enfoque al final del documento)

o o o o o

o o

Revisar los comprobantes de pago de los trabajadores migrantes para asegurarse que: Los salarios corresponden con los salarios mnimos establecidos por la ley o la industria, y con los salarios de los ciudadanos que trabajan en el mismo tipo de trabajo o seccin; y Los clculos de salarios son claros y transparentes. No debe de existir ninguna evidencia de deducciones ilegales o no autorizadas. Revisar los records relacionados con los anticipos o prestamos, provedos a los trabajadores migrantes. Asegurarse que: Cumplan con la ley; Las tasas de inters no sean excesivas; Otros trminos de pago sean justos; y Los records indiquen que previo al prstamo, hubo un acuerdo escrito y firmado por los dos partes, sobre los trminos y condiciones del prstamo y los pagos. Cuando la empresa es requerida por ley, o solicitada por el trabajador mismo, a remitir su pago o parte de el, a terceros; revise los registros pertinentes para garantizar que: Se indica que esto se est haciendo con el previo conocimiento y pleno consentimiento del trabajador, y que; El trabajador recibe un comprobante de la cantidad completa remitida. 8. Records de capacitaciones y orientaciones provedas por la empresa Aunque el intermediario laboral puede proporcionar la mayor parte de la capacitacin a los trabajadores migrantes - desde antes de la partida hasta la orientacin en el lugar de trabajo, la empresa puede compartir algunas responsabilidades de capacitacin. Dependiendo de la magnitud de su involucramiento, la instalacin deber mantener registros que documenten el alcance y la naturaleza de las capacitaciones impartidas.

o o

Estos registros deben indicar que - antes del despliegue y a su llegada - los trabajadores recibieron orientacin bsica y capacitacin sobre: Sus derechos y responsabilidades en el trabajo, as como las de su empleador; ya sea ste el intermediario o la empresa; Obligaciones contractuales;

o o o o

Trminos y condiciones de empleo; Condiciones de vida; y Procedimientos de quejas que estn en vigor, para los trabajadores en caso de que surja algn problema.

c. Papeles de trabajo: Concepto.- Son el conjunto de documentos, planillas o cdulas, en las cuales el auditor registra los datos y la informacin obtenida durante el proceso de Auditora, los resultados y las pruebas realizadas. Los papeles de trabajo tambin pueden constituir la informacin almacenada en cintas, pelculas u otros medios (diskettes), y puede habilitarse sobre listados, y fotocopias de documentos claves de la organizacin, sin incurrir a exceso de copiar todo el archivo. Al preparar el auditor los papeles de trabajo debe evitar acumular exceso de documentacin, (Calidad Vs Cantidad), esto se simplifica utilizando marcas de auditora, es decir, certificando o validando informacin o actuaciones fsicas que se tuvo a la vista, mediante marcas y referencias previamente definidas, tales como: Verificado y cruzado contra registros contables. Sumado % Porcentaje observado. Totalizado Cifras verificadas. Soportes originales vistos. ... entre otras.

Los papeles de trabajo tienen los siguientes propsitos: Soportar por escrito la planeacin del trabajo de auditora. Instrumento o medio de supervisin y revisin del trabajo de auditora. Registra la evidencia como respaldo de la auditoria y de informe Se constituye en soporte legal en la medida de requerir pruebas. Memoria escrita de la auditora.

En los papeles de trabajo se registran: La planeacin. La naturaleza, oportunidad y el alcance de los procedimientos de auditora desarrollados. Los resultados Las conclusiones extradas y las evidencias obtenidas. Incluyen slo asuntos importantes que se requieran junto con la conclusin del auditor y los hechos que fueron conocidos por el auditor durante el proceso de auditora.

La NIA Documentacin seala que la extensin de los papeles de trabajo es un caso de juicio profesional por lo que es necesario y prctico documentar todos los asuntos importantes que el auditor considere. La SAS y NIA indican que los papeles de trabajo incluyen, entre otros, las siguientes informaciones: Informacin referente a la estructura orgnica de la entidad examinada. Extractos o copias de documentos legales importantes, convenios, y estatutos. Informacin concerniente al entorno econmico y legislativo dentro de los que opera la entidad. Evidencia del proceso de planeamiento incluyendo programas de auditora y cualquier cambio al respecto. Evidencia de la comprensin de los sistemas de contabilidad y de control interno. Evidencia de evaluaciones de los riesgos inherentes y de control. Evidencia sobre la evaluacin del trabajo de auditores internos y las conclusiones alcanzadas. Evidencia de que los trabajos realizados por los auxiliares fue supervisado y revisado. Anlisis de transacciones y balances. Anlisis de tendencias e ndice importantes. Un registro de la naturaleza, tiempo y grado de los procedimientos de auditora desarrollados y de los resultados de dichos procedimientos. Una indicacin sobre quien desarroll los procedimientos de auditora y cuando fueron desarrollados. Copias de comunicaciones con otros auditores, expertos y otras terceras partes. Copias de cartas o notas referentes a asuntos de auditora comunicados, o discutidos con la entidad, incluyendo los trminos del trabajo y las debilidades sustanciales en control interno.

Cartas de presentacin recibidas de la entidad. Conclusiones alcanzadas por el auditor, concernientes a aspectos importantes de la auditora, incluyendo cmo se resolvieron los asuntos excepcionales o inusuales, revelados por los procedimientos del auditor. Copias de los estados financieros, dictamen u otros informes del auditor, etctera.

Propiedad y custodia de los papeles de trabajo.- Los papeles de trabajo son de propiedad de los rganos o firmas de auditora. El auditor debe custodiar con cuidado y vigilancia la integridad de los papeles de trabajo, debiendo asegurar en todo momento, y bajo cualquier circunstancia, el carcter secreto de la informacin contenida en los mismos. Es difcil establecer el tiempo que un auditor debe conservar los papeles de trabajo, pero es recomendable conservarlos porque son importantes para auditorias futuras y para cumplir con los requerimientos legales en caso de litigios. Los archivos de papeles de trabajo para cada examen pueden dividirse en dos grupos bsicos: Archivos corrientes y archivos permanentes. Los archivos corrientes contiene las informaciones relacionadas con la planificacin y supervisin que no son de uso continuo en auditorias posteriores tales como: Revisiones corrientes de controles administrativos. Estados financieros motivo de auditora. Anlisis de informacin financiera Notas a los estados financieros. Correspondencia corriente. (Entrada y salida) Programas de auditora y otros papeles que respaldan observaciones y Preparacin del informe, inclusive el borrador del informe.

las

Los archivos permanentes debern contener informaciones importantes para utilizar en auditorias futuras tales como: El historial legislativo sobre la creacin de la entidad y sus programas y actividades La legislacin de aplicabilidad contina en la entidad, polticas y procedimientos de la entidad. Financiamiento, organizacin y personal Polticas y procedimientos de presupuestos. Contabilidad e informes, estatutos, memorias anuales, etc. Manuales, (Contable, presupuesto, tesoreria, contratacin, almacn, procesos misionales, entre otros). En general la informacin que no varia con el tiempo.

A manera de ejemplo, a continuacin planteo tres clases de planillas a construir como papeles de trabajo:

BG2 Planilla Sumaria- PASIVO La cual descompone las cifras de Balance y se le asigna referenciacin a todas y cada una de las cuentas. 11 Subplanilla de disponible. La cual descompone la cuenta de disponible. 11105 Planilla analtica- la cual detalla el rubro de Bancos expresamente. Lo anterior supone que los papeles de trabajo realizan una descomposicin de los registros de manera deductiva, es decir de lo general a lo particular.

d. Documentacin realizada durante el proceso de auditoria

CONTENIDO GENERAL Descripcin de la tarea realizada: Los papeles de trabajo deben contener la documentacin del plan de auditora. Los programas de auditora que surgen como consecuencia de la planificacin detallada proporcionan un registro adecuado de las pruebas de auditora efectuadas. En la documentacin de dichos procedimientos se debern indicar claramente las razones que originan las decisiones. Los datos y antecedentes obtenidos durante la auditora: debe conocerse y documentarse: _ informacin relevante sobre la actividad del ente _ antecedentes del ambiente de control y los sistemas de informacin _ anlisis particular de los montos incluidos en los estados contables: con papeles que detallen las pruebas. Generalmente se recorre el camino inverso del proceso contable, empezando por los estados contables y terminando en los registros cronolgicos. Las conclusiones sobre el examen practicado: Deben contener un registro de la evaluacin de las evidencias de auditora y las conclusiones a las que se ha llegado. ESTRUCTURA Y ORGANIZACIN Identificacin de los registros Los papeles de trabajo deben ser referenciados e identificados para permitir relacionar con facilidad la informacin contenida en los mismos y lograr una bsqueda eficiente de cualquier parte del examen de auditora. La informacin de valor permanente debe ser preparada y archivada de tal manera que se facilite su uso en exmenes posteriores. Pero los papeles de cada ejercicio deben ser independientes. Cuando la informacin que se utiliz para respaldar el informe de auditora es traspasada, se deber incluir una aclaracin al respecto en los papeles de trabajo de los cuales se extrajo tal informacin. Los papeles de trabajo del ao corriente deben referirse a los papeles de trabajo del ao anterior que documentan tal evidencia involucrada y los factores considerados para confirmar que dicha evidencia sigue vigente. No es necesario incluir copias de dichos papeles de trabajo del ao anterior en los legajos del ao corriente. Informacin requerida

Las evidencias obtenidas se vuelcan en planillas de trabajo. Estas deben reunir las caractersticas ya mencionadas, y comprenden normalmente: _ nombre del ente _ titulo o propsito de la planilla _referencia de la planilla _ fecha del examen _ referencia al paso del programa de auditora correspondiente y/o explicacin del objetivo de la planilla _ descripcin concisa del trabajo realizado y de sus resultados _ fuente de la informacin (registro desde el cual fue preparada la planilla o nombre o cargo del empleado que proporciona la informacin) _ base de seleccin, si correspondiera _ referencias cruzadas apropiadas con otras planillas pertinentes _ conclusin, si correspondiera _ iniciales de la persona que prepara la planilla y la fecha en la cual se prepar _ evidencia de la revisin Legajos Cada etapa de la labor del auditor debe estar acompaada con un legajo compilador del trabajo realizado y la evidencia obtenida. As habr un legajo de planificacin, un legajo de informacin permanente y de informacin corriente. LEGAJO DE PLANIFICACIN Este legajo es utilizado para documentar todo lo atinente al proceso de planificacin, la informacin bsica obtenida sobre la cual se sustenta la planificacin y el plan de auditora propiamente dicho. Contenido: La planificacin que debe ser documentada como parte del proceso de planificacin es variada. Parte de esta informacin tiene carcter permanente e integra la base de la informacin que ser utilizada en futuros exmenes; otra es especfica del examen del ao en curso. Por ello a fin de obtener eficiencia, sera recomendable separar la documentacin involucrada en informacin de relevancia permanente e informacin del examen del ao en curso. Informacin de relevancia permanente: Antecedentes sobre el negocio Sistemas de informacin, ambiente de control, polticas contables, naturaleza y volumen de transacciones y saldos, curso gramas o narrativos de los principales circuitos etc. Auditora interna: responsabilidades aptitudes y organizacin, planes de trabajo etc.

Informacin del examen del ao en curso Registro de las actividades de planificacin: reuniones internas y con personal del ente, instrucciones de auditora, decisiones sobre el enfoque y alcance de los procedimientos de auditora. Registro de informacin sobre actividades del ente instrucciones, presupuestos, informes de control. Registro de informacin administrativa: composicin del equipo de trabajo, presupuesto de tiempo y cronograma de trabajo. MEMORANDO DE PLANIFICACIN Es el resultado del proceso de planificacin en el cual se resumen los factores, consideraciones y decisiones significativas pertinentes al enfoque y al alcance de auditora. Registra lo que debe hacerse, la razn por la cual se hace, dnde, cuando y quin lo debe hacer. Se compone de dos partes: Estratgica _ evaluacin global de las decisiones sobre el negocio _ planillas de decisiones preliminares para los componentes Detallada _ matrices de procedimientos de auditora _ programas con descripcin de los distintos procedimientos e indicacin del alcance y oportunidad Puede ser necesario efectuar modificaciones al memorando original como consecuencia de, por ejemplo, una mayor comprensin de los asuntos del ente, de ciertos acontecimientos externos inesperados etc. LEGAJO DE INFORMACIN PERMANENTE Teniendo en cuenta que durante la auditora se obtienen evidencias relacionadas principalmente con aspectos legales, societarios y financieros que constituyen la base de informacin para la planificacin del examen y sern utilizadas en aos sucesivos, sera conveniente archivarlas en un legajo que puede denominarse de informacin permanente. Estos legajos son de consulta permanente. Contenido La informacin que se debe acumular en estos expedientes son: Aspectos legales y societarios _ Acta constitutiva _ Estatutos _ Ttulos de propiedad

_ Contratos de alquiles importantes _ Acuerdos de remuneraciones _ Principales contratos comerciales aspectos financieros _ Informacin general sobre el ente _ Acuerdos de prstamos de largo plazo _ Lneas de crditootros _ Correspondencia importante del ente _ Acta de reuniones de accionistas, directorio, comits de auditora _ Disposiciones impositivas o contables importantes _ copias de informes especiales Parte de la informacin archivada en este legajo est relacionada con informacin estrictamente confidencial, por ello el contenido de ciertos documentos no debe ser tratado con ningn empleado del ente que no sea especialmente designado. LEGAJO DE INFORMACIN CORRIENTE Durante la etapa de ejecucin de la auditora se llevarn a cabo los procedimientos programados. Es fundamental que estas pruebas, juntamente con las evidencias obtenidas y las respectivas conclusiones, sean documentadas en lo que se denomina legajo corriente. En general, este legajo estar dividido en secciones basadas fundamentalmente en los componentes de los estados contables del ente y referenciadas segn el orden de los ttulos del balance incluyendo en cada seccin pruebas sobre dichos componentes. Parte general Determinados procedimientos de auditora y sus correspondientes papeles de trabajo n estn convenientemente vinculados con partidas especficas de los estados financieros sino que se relacionan con la auditora en su conjunto. Se enumeran a continuacin algunos aspectos habitualmente incluidos en la parte general. Anlisis de los estados financieros en su conjunto. Consiste en al preparacin de estados comparativos y la correspondiente justificacin de las principales variaciones observadas, relacionndolas con los procedimientos aplicados para cada componente en particular. Puede incluirse la elaboracin de grficos explicativos y comparativos para ventas, produccin, financiamiento etc. como tambin la elaboracin de indicadores econmicos de rentabilidad. Balance de saldos. Se incorpora en este sector el balance entregado por la sociedad para ser auditado comparado con el papel de trabajo del balance de sumas y saldos

Hechos posteriores. Constituye la evidencia de los hechos y circunstancias ocurridos con posterioridad a la fecha de cierre y hasta la emisin del informe, que afectan significativamente los estados financieros. Estos hechos posteriores surgirn del anlisis que se realice sobre las actas de asamblea y directorio, los estados financieros mensuales mas recientes, si hubiera. Contingencias Se plasman aqu las situaciones que implican potenciales riesgos y que surgen de la revisin de actas, averiguaciones con los niveles gerenciales apropiados, temas incluidos en cartas de representacin de la gerencia y del asesor legal, exmenes de contratos especiales etc. Resmenes de actas, registros legales y estatutos. Especialmente para asuntos ligados al seguimiento de juicios o litigios legales Cobertura de seguros. Al obtenerse del ente detalle de las plizas vigentes. Parte especfica por componente Para cada uno de los componentes de los estados contables deber confeccionarse la siguiente informacin Planilla llave Consiste en la exposicin de cada una de las cuentas y los respectivos saldos que conforman los captulos integrantes de los estados financieros con cifras comparativas del ao anterior. En las planillas llave resulta conveniente dejar columnas libres para registrar cualquier ajuste que se determine a medida que se desarrolla el trabajo. Para ello se pueden preparar en formato de tres columnas, con una columna para los montos registrados en los libros, otra para los ajustes y la tercera para los montos finales que aparecen en los estados contables. Saldos al 31/12/x1 reexpresados al 31/12/x2 Cuentas subgrupos Saldo al 31/12/x2 Segn empresa Ajuste y/o reclasificacin de cuentas, segn trabajo de aud. Saldo final al 31/12/x2 a exponer en balance p.ej: mercadera mercadera "a" mercadera "b" mercadera "c" En primer lugar, puede observarse que la columna que contiene los saldos auditados al 31/12/x1 reexpresados a moneda del ejercicio en curso. Luego las cuentas que componen el captulo respectivo con las tres columnas. Planilla de conclusiones. La finalidad de esta planilla consiste en resumir los resultados del trabajo de auditora y decidir si se han alcanzado los objetivos relativos a cada componente especfico de los estados financieros. De esta forma cada conclusin debe referirse a la labor de auditora sobre la cual se basa, mencionar las excepciones

observadas, establecer si la evidencia de auditora que se planific pudo ser observada y por ltimo, expresar una opinin. Notas Los papeles de trabajo deben resumir los temas significativos relacionados con aspectos contables, de auditora y de control relativos al componente. Para ello, estas situaciones se expresan en notas que pueden comprender: _ Debilidades de control _ Cambios en las normas y mtodos contables _ Incertidumbres significativas _ Comentarios sobre partidas _ resumen de errores ajustados y no ajustados Programa de trabajo de auditora En cada seccin se debe incluir una copia del programa de auditora. Normalmente un programa comprende: _ Los pasos detallados que han sido programados. _ referencias a los papeles de trabajo _ Firma e iniciales de la persona que realiza el trabajo y fecha de finalizacin Planillas de detalle Constituyen los rastros claros y completos de las pruebas de auditora efectuadas Los papeles de trabajo deben indicar en forma precisa las razones en que se fundamentan las decisiones para probar ciertos tipos o grupos de operaciones, la base de seleccin, los perodos elegidos para las pruebas y la extensin de las mismas.

e. EL INFORME Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora; (objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado) como de los resultados y conclusiones.

Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo, tarea

eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. Aunque no existe un formato vinculante, s existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. Tambin es cuestin previa decidir si el informe es largo o, por el contrario, corto, por supuesto con otros informes sobre aspectos, bien ms detallados, bien ms concretos, como el informe de debilidades del control interno, incluso de hechos o aspectos; todo ello teniendo en cuenta tanto la legislacin vigente como el contrato con el cliente. En mi modesta opinin, los trminos cliente o proveedor/interno o externo, tpicos de la Gestin de la Calidad, resultan ms apropiados que informtico/auditor informtico/usuario, ya que este ltimo trmino tiene una lamentable connotacin peyorativa. En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable. Los puntos esenciales, genricos y mnimos del Informe de Auditora Informtica, son los siguientes:

1.

Identificacin del Informe: El ttulo del Informe deber identificarse con objeto de distinguirlo de otros informes. Identificacin del Cliente: Deber identificarse a los destinatarios y a las personas que efecten el encargo.

2.

3. Identificacin de la entidad auditada: Identificacin de la entidad objeto de la Auditora Informtica. 4. Objetivos de la Auditora Informtica: Declaracin de los objetivos de la auditora para identificar su propsito, sealando los objetivos incumplidos. Normativa aplicada y excepciones: Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la auditora. Alcance de la Auditora: Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de informacin... sealando limitaciones al alcance y restricciones del auditado.

5.

6.

7.

Conclusiones: Informe corto de opinin: Lgicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinin y los prrafos de salvedades y nfasis, si procede. El Informe debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con salvedades, desfavorable o adversa, y denegada.

7.1. Opinin favorable. La opinin calificada como favorable, sin salvedades o limpia, deber manifestarse de forma clara y precisa, y es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional. Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a debilidades de control interno en sentido amplio, y las salvedades, existe o puede existir una zona de gran sensibilidad; tan es as que tendr que clarificarse al mximo, pues una salvedad a la opinin deber ser realmente significativa; concretando: ni pasarse, ni no llegar, dicho en lenguaje coloquial; en puridad es un punto de no retorno.

7.2. Opinin con salvedades. Se reitera lo dicho en la opinin favorable al respecto de las salvedades cuando sean significativas en relacin con los objetivos de auditora, describindose con precisin la naturaleza y razones.

Podrn ser stas, segn las circunstancias, las siguientes:

. Limitaciones al alcance del trabajo realizado; esto es, restricciones por parte del auditado, etc. . Incertidumbres cuyo resultado no permita una previsin razonable. . Irregularidades significativas. . Incumplimiento de la normativa legal y profesional.

7.3. Opinin desfavorable. La opinin desfavorable o adversa es aplicable en el caso de:

. Identificacin de irregularidades . Incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de auditora informtica estipulados, incluso con incertidumbres; todo ello en la evaluacin de conjunto y reseando detalladamente las razones correspondientes.

7.4. Opinin denegada. La denegacin de opinin puede tener su origen en:

. Las limitaciones al alcance de auditora. . Incertidumbres significativas de un modo tal que impidan al auditor formarse una opinin. . Irregularidades. . El incumplimiento de normativa legal y profesional.

7.5. Resumen. El siempre difcil tema de la opinin, estrella del Informe de Auditora Informtica, joven como informtica y ms todava como auditora informtica; por tanto, puede decirse que ms que cambiante, mutante. Debido a ello, y adems con la normativa legal y profesional desacompasadas, la tica se convierte casi en la nica fuente de orientacin para reducir el desfase entre las expectativas del usuario en general y el informe de los auditores. No olvidemos que existe la ingeniera financiera y la contabilidad creativa; tampoco que las entidades que pueden ser auditadas suelen estar sometidas a cambios, como, por ejemplo, la implantacin de aseguramiento y gestin de la calidad -va ISO 9000, va EFQM (modelo europeo )-, reingeniera de procesos y otras transformaciones significativas (adaptaciones al Milenio y al Euro).

8. Resultados: Informe largo y otros informes

Parece ser que, de acuerdo con la teora de ciclos, el informe largo va a colocar al informe corto en su debido sitio, o sea, como resumen del informe largo (quiz obsoleto?). Los usuarios, no hay duda, desean saber ms y desean transparencia como valor aadido. Es indudable que el lmite lo marcan los papeles de trabajo o documentacin de la Auditora Informtica, pero existen aspectos a tener en cuenta:

. El secreto de la empresa. . El secreto profesional. . Los aspectos relevantes de la auditora. .

Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la Auditora Informtica, tal como el de Debilidades de Control Interno o los informes especiales y/o complementarios que exigen algunos organismos gubernamentales, como, por ejemplo, el Banco de Espaa, la Comisin Nacional del Mercado de Valores y la Direccin General de Seguros, entre otros y por ahora.

9. Informes previos

No es una prctica recomendable, aunque s usual en algunos casos, ya que el Informe de Auditora Informtica es, por principio, un informe de conjunto. Sin embargo, en el caso de deteccin de irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la normativa legal y profesional, independientemente del nivel jerrquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la responsabilidad civil del Auditor (Informtico).

10. Fecha del Informe

El tiempo no es neutral; la fecha del Informe es importante, no slo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas. En casos conflictivos pueden ser relevantes aspectos tales como los hechos posteriores al fin del perodo de auditora, hechos anteriores y posteriores al trabajo de campo...

11. Identificacin y firma del Auditor

Este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados.

12. Distribucin del Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informtico, deber definirse quin o quines podrn hacer uso del Informe, as como los usos concretos que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.

3. CRMR (Computer resource management review) Definicin de la metodologa CRMR: CRMR son las siglas de <<Computer resource management review>>; su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management. Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios. Supuestos de aplicacin: En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos. El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno. Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin. Areas de aplicacin: Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anterior:

Gestin de Datos. Control de Operaciones. Control y utilizacin de recursos materiales y humanos. Interfaces y relaciones con usuarios. Planificacin. Organizacin y administracin.

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo.

Objetivos: CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan:

Identificar y fijas responsabilidades. Mejorar la flexibilidad de realizacin de actividades. Aumentar la productividad. Disminuir costes Mejorar los mtodos y procedimientos de Direccin.

Alcance: Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo. Se establecen tres clases: 1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios. 2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en la auditora informtica ordinaria. 3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones. Informacin necesaria para la evaluacin del CRMR: Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora pueda llevarse a cabo con xito. 1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de ste. 2. Se deber cumplir un detallado programa de trabajo por tareas. 3. El auditor-consultor recabar determinada informacin necesaria del cliente. Se tratan a continuacin los tres requisitos expuestos: 1. No debe olvidarse que se estn evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aqul determinar el tipo de esquema organizativo que se sigue. 2. Integracin del auditor en el Centro de Procesos de Datos a revisar 3. Programa de trabajo clasificado por tareas Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a la siguiente sistemtica:

Identificacin de la tarea.

Descripcin de la tarea. Descripcin de la funcin de direccin cuando la tarea se realiza incorrectamente. Descripcin de ventajas, sugerencias y beneficios que puede originar un cambio o modificacin de tarea Test para la evaluacin de la prctica directiva en relacin con la tarea. Posibilidades de agrupacin de tareas. Ajustes en funcin de las peculiaridades de un departamento concreto. Registro de resultados, conclusiones y Recomendaciones. 1. Informacin necesaria para la realizacin del CRMR

El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo. Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR:

Datos de mantenimiento preventivo de Hardware. Informes de anomalas de los Sistemas. Procedimientos estndar de actualizacin. Procedimientos de emergencia. Monitarizacin de los Sistemas. Informes del rendimiento de los Sistemas. Mantenimiento de las Libreras de Programas. Gestin de Espacio en disco. Documentacin de entrega de Aplicaciones a Explotacin. Documentacin de alta de cadenas en Explotacin. Utilizacin de CPU, canales y discos. Datos de paginacin de los Sistemas. Volumen total y libre de almacenamiento. Ocupacin media de disco. Manuales de Procedimientos de Explotacin.

Esta informacin cubre ampliamente el espectro del CRMR y permite ejercer el seguimiento de las Recomendaciones realizadas.