Auditoria informática

La elaboración del informe de auditoría operativa es el punto final del proceso de captación
y
tratamiento de la información obtenida de la organización auditada. Esta información ha de
ser suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar
un diagnóstico y realizar unas recomendaciones

La captación de la información de auditoría.

La información es la materia prima con la que trabaja el auditor, esto da origen a pregunto-
se: ¿Qué información hay que buscar?, ¿Dónde se encuentra?, ¿Cómo darle una
coherencia? y otras más.

El auditor operativo, antes de iniciar la recopilación de información necesita:

? Saber que información es significativa y cual no lo es.
? Tener un esquema conceptual con el que ordenarla y clasificarla.
? Saber cuales son los medios para obtenerla.
? Saber cómo se puede obtener al menor coste posible.

Obtención de Información
Explotación de la información propia de la unidad de auditoría. Análisis documental.
La información necesaria se puede obtener accediendo a las bases de datos corporativas, o
a la memoria de actividades de la organización, sin necesidad de requerir información a la
unidad auditada. Por ejemplo información relativa al personal o la ejecución del
presupuesto. Básicamente se trata de realizar un análisis documental que nos permita
hacemos una composición del lugar de la organización a auditar. Recogeremos información
diversa, en cantidad y calidad, la analizaremos y la clasificaremos para su uso posterior.

Dos recomendaciones:
? No recopilar información indiscriminadamente (costo tiempo y esfuerzo intelectual).
? Un estricto orden en la clasificación de la información (tratamiento efectivo).

Cuestionario de Chequero.
Este cuestionario es útil cuando la información propia es escasa y / o la unidad auditada se
encuentra en una ubicación lejana. La información obtenida a través de él nos permite
adelantar un prediagnóstico, de la situación de la unidad y orienta el trabajo de campo.
Este cuestionario ha de tener un diseño estándar, idéntico para todas las unidades a
auditar, permitiendo así la comparación del estado de una unidad con otras o de esta
misma unidad en diferentes instantes de tiempo.

Observación directa.

-Es una técnica que nos permite captar con todos nuestro sentido la realidad de la
organización y puede ser de dos tipos. No participante es aquella en que el auditor observa
externamente el proceso sin interferir en ellos. Y participante es aquella en la que el auditor
participa en los procesos de la unidad auditada, sea integrándose en el grupo y sus
actividades. En cualquier caso hay que definir el objetivo de la observación (cual es el
motivo de su realización), las variables de la observación (que queremos observar,
planificación de la observación (que haremos durante la observación y trascripción de la
observación (como se expresara la observación, por escrito, visualmente, etc)

Entrevista.
Auditoria informática

Es una técnica útil y arriesgada, ésta representa la inversión del territorio laboral de una
persona, es lógico por lo tanto reacciones defensivas e incluso hostiles. Una forma de
'rebajar" tensión está en adoptar una postura amigable y de colaboración. El rendimiento
de la entrevista depende de los siguientes factores (repartidos por igual entre el auditor y el
entrevistado); la experiencia y los conocimientos del auditor y la predisposición y los
conocimientos del entrevistado.

Cuestionarios Específicos.

Tienen como finalidad obtener información más especifica derivada de la entrevista y la

observación directa realizada con anterioridad Estos cuestionarios pueden ser de índole
diversa por su forma y contenido: cuestionarios cuantitativos o cualitativos, cuestionario
sobre clima de organizativo, sobre liderato, sobre dedicación a actividades, carga de
trabajo, etc. Loa cuestionarios pueden dirigirse genéricamente a la organización o a las
personas, individualmente. El cuestionario es una técnica barata pero presenta
inconvenientes: hay una falta de feedback entre el auditor y encuestado; es posible que se
produzca engaño en las respuestas; las preguntas tienen una formulación rígida; el
tratamiento es engorroso si no se dispone de herramientas apropiadas, al mismo hay que
considerar una elevada probabilidad de sesgo que existe en el cuestionario.

Prueba de Verificación.

Consiste en realizar pruebas de los sistemas, equipos y/o procesos que están siendo
auditados. Las pruebas se centran exclusivamente en éstos, sin tener en aierâa otras
variables de la organización que estén incluidas en el proceso de auditoría Ejemplo: un
sistema de información o equipo informático.

El tratamiento de la Información.

El tratamiento es la aplicación de técnicas especificas para cada variable significativa de los

tres niveles organizativos. Las técnicas de tratamiento pueden ser cuantitativas o
cualitativas.

La decisión de tratar o no, ciertas informaciones o variables se puede sistematizar aplicando

los métodos:

El análisis ABC.
Se basa en regla empírica que dada una población de personas, objetos, etc, y una variable
a controlar relacionada con los individuos de la población, la mayor parte del valor
agregado de dicha variable se concentra en una reducida parte de la población,
aproximadamente el 80% del valor agregado de la variable corresponde a un 20°/ó de la
población. La aplicación directa de esta regla es que se puede controlar de manera
suficiente la variable sencillamente controlando el reducido grupo que concentra la mayor
parte del valor agregado de la variable, con lo cual se consiguen ahorros de costo y sólo
actúa sobre aquello que verdaderamente es relevante. Se denomina ABC porque
generalmente se divide la población en tres grupos según el porcentaje que representa
respecto del total de la población: A(5%) B(15%) C(80%). Para cada uno de los grupos se
aplica una política de control distinta, en función de su relevancia.
Auditoria informática

La comparación con indicadores de referencia o indicadores de bench – marketing.

Se basa en el establecimiento de unos indicadores de variables que consideramos

significativas con unos valores que establecemos como óptimos, que son valores de
referencia. Estos pueden ser los que se obtengan en una unidad de negocio de la
organización que consideremos como paradigma de buen funcionamiento, o el valor medio
del indicador entre todas las unidades de negocio o un valor medio del indicador para las
organizaciones del sector. Si la variable medida tiene un valor del indicador por debajo del
valor de referencia, estaría justificado el tratamiento de la información.

El diagnóstico de la auditoría.

Realizar un diagnóstico es reconocer los “síntomas” que indica el estado de la organización

Naturalmente este diagnóstico será tanto más rico cuanto mas sofisticada sea la auditoría:
existencia de problemas, ausencia de los problemas, eficiencia de los sistemas, necesidades
de cambio.

El diagnóstico organizativo es por definición, muy complejo. Intervienen en ii un gran

número de variables, tantas como se hayan considerado en el modelo conceptual de los
tres niveles de la organización.
El diagnóstico cuenta con dos herramientas útiles:

1. El análisis del impacto cruzado entre las variables.

Es una técnica que consiste en analizar los efectos que tiene una variable sobre el resto de
variable de un conjunto dado. El modelo conceptual de los tres niveles contiene un amplio
número de variables. Por ello, se diseña una matriz de doble entrada en la que se
confronten las variables principales del modelo de tres niveles, indicando en cada casilla de
la matriz algunos de los efectos principales que produce cada variable sobre las demás.

Tener sistematizado estos efectos contribuye a facilitar el diagnóstico de la auditoría y a

contrastar hipótesis sobre los efectos interrelacionados de las variables.
Ejemplo: Efecto de la variable POLÍTICA. Jerarquicozación de misiones y objetivos, puede
venir condicionada por el presupuesto disponible, cuya dimensión hará que la política sea
mis o menos ambiciosa, por los destinatarios de los productos y servicios, que modularan
según sus características la formulación de la política y por el marco legal o normativo, a la
cual se ha de supeditar la política.

2. La técnica del stream análisis.

Es una técnica de dinámica de grupo que tiene como objetivo llegar a un diagnóstico
conjunto de la situación de la organización y expresarlo de una manera clara y concisa.
Para el auditor tiene además unas utilidades adicionales, en el sentido de que ordena las
informaciones parciales de la organización en un todo coherente, lo que facilita el
diagnóstico; ayuda a la planificación de las acciones a emprender, ya que esta planificación
se apoya en el diagnóstico y, finalmente, facilita la ejecución y el seguimiento de las
acciones. Si bien esta técnica ha sido diseñada para su explotación en reuniones de grupo,
también puede ser utilizada individualmente por el auditor para decidir los términos de
diagnósticos.
Auditoria informática

Las etapas del stream análisis son:

? Identificación de las dimensiones organizativas básicas (tres niveles).

? Identificación y elaboración del inventario de los problemas de la organización, deducidos
de los valores que adquieren las variables principales.
? Clasificación de los problemas, estableciendo la importancia de cada uno de ellos.

ESTRUCTURACIÓN DEL INFORME DE AUDITORÍA.

La estructura y el formato del informe de auditoría ha de ser coherente y atractivo para su

destinatario, ha de incitar a ser leído.

Es recomendable que el informe este dividido:

Introducción.
? Objetivo de la auditoría y origen de la misma: quién la pide y por qué razón.
? Alcance: espacio físico, temático y temporal que se audita; periodo durante el cual se
realiza la auditoría.

Resumen del Informe.

? Opinión de auditoría: juicio del auditor sobre el tema, proceso, actividades estudiadas.
? Resumen de las observaciones principales: conclusiones, recomendaciones y acciones
propuestas.

Cuerpo del Informe.

Cabes dos alternativas: estructurar el cuerpo del informe basándose en los temas auditados
analizando la situación de cada unidad funcional respecto al tema o, a la inversa,
estructurándolo según las unidades funcionales y analizando todos los temas que afecta la
unidad.

Se estructure según un modelo u otro, el cuerpo del informe deberá contener:

? Observaciones: incluyen una breve descripción del proceso analizado, hechos detectados
(anomalías, puntos débiles detectados al comparar con las referencias); causas han
generado las anomalías y debilidades; recomendaciones que no se han aplicado y que se
hablan hecho en informes anteriores.
? Datos: cifras y detalles en las que se basan las observaciones.
? Conclusiones: posición definida sobre las observaciones, que ha de deducirse lógicamente
de los hechos detectados, sustentados en datos.