Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El proceso de Auditoría
En este capítulo discutiremos las etapas básicas del proceso de auditoría, como
conducirlas de manera efectiva y lo siguiente:
1. Los distintos tipos de controles internos.
2. Como debería elegir los puntos a auditar.
3. Como conducir las fases iniciales de una auditoría.
a) Planificación
b) Trabajo de campo y documentación
c) Descubrimiento de puntos a observar y su validación.
d) Desarrollo en la solución
e) Elaboración del borrador de informe y su remisión.
4. Seguimiento a observaciones.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
Controles Internos
Antes de embarcarnos en la discusión del proceso de auditoría,
necesitamos comprender uno de los conceptos básicos de la auditoría:
Los controles internos.
El concepto de controles internos es absolutamente fundamental en la
profesión de auditoría.
Hemos visto que la verdadera misión del departamento de auditoría
interna es colaborar en mejorar el estado de los controles internos en
la compañía. ¿Pero qué controles internos?
Si no sabe cómo responder esta pregunta, le será difícil cumplir con la
misión del departamento.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
Controles Internos
Los controles internos, en términos sencillos, son mecanismos que
aseguran el funcionamiento apropiado de los procesos dentro de la
compañía.
Cada sistema y proceso dentro de la compañía existe por algún
propósito particular del negocio.
El auditor debe buscar la existencia de riesgos en esos procesos y
sistemas y asegurarse que los controles internos están definidos para
mitigarlos.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Controles preventivos
Estos controles detienen la ocurrencia de un evento negativo.
Por ejemplo, requerirle a un usuario su identificación y password para
acceder a un sistema es un control preventivo.
Previene (en teoría) que personas no autorizadas accedan al sistema.
Desde un punto de vista teórico, los controles preventivos son siempre
preferidos, por obvias razones.
Sin embargo, cuando está realizando auditorías, recuerde que los
controles preventivos no son siempre la mejor opción costo-efectiva, y
otros tipos de controles pueden tener más sentido desde un punto de
vista costo/beneficio.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
b) Controles detectivos
Estos controles registran un evento fallido una vez ocurrido.
Por ejemplo, registrar en pistas de auditoría (logs) todas las actividades
realizadas en un sistema le permitirá revisarlos para buscar actividades
inapropiadas luego de ocurrido el evento.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
• Controles de acceso
Si se provee acceso al sistema a gente que no lo necesita, los datos del
sistema podrían ser cambiados, agregados o borrados
inapropiadamente. ¿Cuáles pueden ser los controles internos que
podrían mitigar este riesgo?
o Requiera un usuario y password para el acceso a los sistemas.
o Cuente con un número limitado de administradores de seguridad para
controlar la posibilidad de agregar nuevas cuentas de usuarios al sistema.
o Asegúrese que los administradores de seguridad son personas reconocidas
que conocen los perfiles que pueden tener los usuarios para acceder a los
distintos niveles de la aplicación o que la compañía cuenta con esquemas
formales de autorización de acceso por parte de los responsables de las
distintas áreas operativas de la compañía.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
• Aplicaciones de negocio
Podría incluso determinar que cada aplicación de negocio sea un objeto
auditable. Necesitará determinar si es más efectivo conducir esas auditorías
en el universo auditable de TI o en el universo auditable financiero. En
muchos aspectos, es más sensato que estas auditorías sean conducidas por
los auditores financieros, quienes estén probablemente en mejor posición de
determinar cuándo es el momento adecuado de realizar una auditoría de
determinados procesos de negocio.
Si ellos toman la decisión, ellos pueden solicitarle determinar los aspectos
relevantes del sistema que deberían ser incluidos en el requerimiento de
auditoría (como una revisión del servidor en donde reside la aplicación, los
controles de cambio del sistema, el plan de recuperación de desastres del
sistema, y así sucesivamente).
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
• Cumplimiento regulatorio
Dependiendo de los servicios o bienes que su negocio proporcione,
puede que sea responsable de asegurar el cumplimiento de ciertas
normativas.
Ejemplos comunes incluyen la auditoría de cumplimiento con
Sarbanes-Oxley, Health Insurance Portability and Accountability Act
(HIPPA), y regulaciones y estándares de la Industria de Medios de Pago
o Payment Card Industry (PCI).
Puede que tenga una auditoría separada en el universo auditable para
verificar el cumplimiento con cada regulación relevante.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
Antes de iniciar un trabajo de auditoría, debe determinar lo que planea
revisar. Si el proceso de planificación es ejecutado efectivamente,
preparará al equipo de auditoría para el éxito. Por el contrario, si se lo
realiza pobremente y el trabajo comienza sin un plan y sin una
dirección clara, los esfuerzos del equipo de auditoría podrían resultar
en un fracaso.
El objetivo de un proceso de planificación es determinar los objetivos,
el alcance de la auditoría. Necesita determinar qué es lo que necesita
cumplir con la revisión. Como parte de este proceso, debería
desarrollar una serie de pasos para ser ejecutados en orden para
cumplir con los objetivos de la auditoría. Este proceso de planificación
requerirá una investigación cuidadosa, pensada sobre cada auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
A continuación se presentan algunas fuentes básicas que deberían ser
referenciadas como parte de cada proceso de planificación de
auditorías:
I. Manos libres de parte del Gerente de Auditoría
II. Encuesta preliminar
III. Requerimientos de los clientes
IV. Checklists estándares
V. Investigación
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
I) Manos libres por parte de la Gerencia de Auditoría
Si la auditoría está incluida en el plan de auditoría, debe haber una
razón para ello.
El gerente de auditoría debería transferir al equipo de auditoría la
información que llevó a que dicha auditoría sea agendada. Esto podría
incluir comentarios del gerente de TI y o preocupaciones conocidas en
el área. Los factores que llevan a que la auditoría sea agendada
necesita ser abarcado en el plan de auditoría. Además, el gerente de
auditoría debería ser capaz de proveer al equipo de auditoría los
contactos claves para la auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
II) Encuesta preliminar
El equipo de auditoría debería pasar algún tiempo, antes de cada
auditoría, realizando una encuesta preliminar del área a ser auditada
para comprender lo que implicará la auditoría. Esto incluiría entrevistas
con los clientes a ser auditados para comprender la función del sistema
o procesos a ser revisados, así como también la revisión de cualquier
documentación pertinente. El objetivo es obtener un conocimiento
básico previo y una comprensión del área a ser revisada.
Es necesario realizar una evaluación preliminar de los riesgos en el
área.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
III) Requerimiento de los clientes
En el capítulo anterior mencionamos la importancia de hacer de la
auditoría un proceso colaborativo y cooperativo. Como parte del
cumplimiento de este objetivo, los clientes de la auditoría deberían
sentir que tienen alguna influencia, un sentido de pertenencia en la
auditoría. El equipo de auditoría debería consultar a los clientes qué
áreas piensan que deberían ser revisadas y cuáles son las áreas de
preocupación. Esta información debería ser consolidada con la
evaluación objetiva de riesgos del auditor para determinar el alcance
de la auditoria.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
III) Requerimiento de los clientes
Por supuesto, a veces los auditores no utilizaran la información
proporcionada por los clientes.
Por ejemplo, a veces los clientes de la auditoría estarán más
preocupados acerca de áreas que son más operacionales en su
naturaleza y no tienen impacto en los controles internos.
En tales casos, es perfectamente legítimo que el equipo de auditoría
desestime ese requerimiento del universo auditable con una
explicación a los clientes del porqué el equipo de auditoría no ejecutará
lo solicitado.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
III) Requerimiento de los clientes
También es importante no permitir al cliente desviar la atención de los
auditores de las áreas de revisión importantes.
Los auditores deben, en última instancia, aplicar su juicio profesional.
Sin embargo, obtener información de los clientes e incorporarlo al plan
de auditoría cuando fuera posible hará que los clientes se sientan
dueños del proyecto de auditoría y se optimice la apertura y la
comunicación honesta entre las partes.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
IV) Checklists estándares
Checklists estándares para el área a ser auditada puede que existan a
menudo.
Los checklist que veremos en este material pueden servir como un
excelente punto de partida para muchas auditorías.
Además, el departamento de auditoría podría tener sus propios
checklists para sistemas y procesos estándares en la compañía.
Contar con checklists de auditoría estándares y repetibles para áreas
comunes puede proporcionar elementos de inicio útiles para muchas
auditorías.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
IV) Checklists estándares
Sin embargo esos checklists deberían ser evaluados y alterados según
necesidad para cada auditoría específica.
Contar con un checklist estándar no libera al auditor de realizar una
evaluación de riesgos previa a cada auditoría.
V) Investigación
Finalmente, Internet, Libros y materiales de entrenamiento deberían
ser referenciados y utilizados apropiadamente para que cada auditoría
obtenga información adicional acerca del área que está siendo
auditada.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
Programa de auditoría.
Un elemento importante del proceso de planificación es el programa
de auditoría (esto es, determinar cuándo se realizará la auditoría).
En lugar de determinar cuándo se realizará una auditoría, basado
únicamente en la conveniencia del equipo de auditoría, la
programación de las auditorías debería ser realizada en cooperación
con los clientes internos.
Esto permitirá al equipo de auditoría considerar ausencias de personal
y periodos de alta actividad, durante los cuales el equipo de auditoría
puede que no cuente con el tiempo adecuado y la atención requerida
de la organización que están auditando.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
Programa de auditoría.
Programar las auditorías en cooperación con los clientes internos no
solo posibilita una auditoría más efectiva, sino que posibilita iniciar con
el pie derecho las auditorías, estableciendo una atmósfera de
flexibilidad y cooperación.
Los clientes internos valorarán el hecho que sus limitaciones y agendas
hayan sido consideradas y tendrá un sentido de mutuo
empoderamiento respecto al programa de auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
Reunión de inicio de tareas
Cerca del final del proceso de planificación, una reunión de inicio de
tareas debería realizarse con los clientes internos de modo que pueda
comunicarles lo que está y lo que no está en el alcance del proyecto de
auditoría y también recibir sus comentarios finales.
Durante esta reunión, debería continuar con su apertura hacia los
comentarios que realicen sus clientes y ser flexible respecto del alcance
de la auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
a) Planificación
Reunión de inicio de tareas
De nuevo, si los clientes sienten que son dueños del proceso de la
auditoría, es más probable que cooperen plenamente cuando trabajen
con los auditores.
La reunión de inicio es también un gran momento para solicitar los
puntos de contacto para cada paso de auditoría y para determinar un
calendario y metodología (como reuniones o correos electrónicos) para
mantener informados a los clientes sobre el estado de la auditoría.
Una vez concluida la reunión de inicio, los pasos de auditoría deberían
ser asignados a los miembros del equipo de auditoría y puede
comenzar el siguiente paso de la auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
c) Hallazgos y validación
Cuando ejecuta trabajo de campo, los auditores desarrollarán una lista
de potenciales preocupaciones.
Esta es obviamente una de las fases más importantes de la auditoría, y
el auditor debe tener cuidado de depurar la lista de potenciales
problemas para asegurarse que todos los problemas son válidos y
relevantes.
En el espíritu de colaboración, los auditores deberían discutir
problemas potenciales con los clientes tan pronto como sea posible.
Nadie disfruta esperar que los auditores culminen con su trabajo para
enfrentarnos con una lista interminable de problemas.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
c) Hallazgos y validación
No solo es incómodo para los clientes, sino también incómodo para el
auditor, porque puede encontrarse con que no toda la información es
correcta y no todos sus problemas detectados son válidos.
En vez de hacer un caso policiaco de cada problema potencial, aplique
un procedimiento informal con el cliente: “Creo que he descubierto
algo preocupante. ¿Podemos discutirlo para asegurarme que tengo los
hechos correctos y estoy comprendiendo los riesgos apropiadamente?
Esto permite que el cliente trabaje con el auditor para validar el
problema y también anima al cliente a tener sentido de propiedad
sobre el problema.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
c) Hallazgos y validación
Además de validar que los hechos recogidos son correctos, necesita
validar que el riesgo presentado por el problema es suficientemente
significativo para que valga la pena reportarlo y solucionarlo.
No recoja problemas u observaciones por el simple hecho de levantar
observaciones.
Por el contrario, registre los problemas que pudieran presentar riesgos
significativos para la compañía.
Considere los controles mitigantes y asegúrese de tener una visión de
conjunto antes de determinar si el problema detectado merece la pena
ser reportado.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
c) Hallazgos y validación
Además de validar que los hechos recogidos son correctos, necesita
validar que el riesgo presentado por el problema es suficientemente
significativo para que valga la pena reportarlo y solucionarlo.
No recoja problemas u observaciones por el simple hecho de levantar
observaciones.
Por el contrario, registre los problemas que pudieran presentar riesgos
significativos para la compañía.
Considere los controles mitigantes y asegúrese de tener una visión de
conjunto antes de determinar si el problema detectado merece la pena
ser reportado.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Después de haber identificado los problemas potenciales en el área que está
auditando y haber validado los hechos y riesgos, puede trabajar con los
clientes en desarrollar un plan de acción para abordar cada problema.
Obviamente, solo con levantar observaciones no se hace mucho bien a la
compañía, a menos que esas observaciones sean adecuadamente atendidas.
Tres procedimientos comunes son utilizados para desarrollar y atacar los
problemas levantados:
I. El método de seguir recomendaciones
II. El método de respuesta de la administración
III. El método de solución de las observaciones
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
I) El método de seguir recomendaciones
Utilizando este método común, los auditores levantan observaciones y
proveen recomendaciones para solucionarlos. Luego consultan con los
clientes si ellos están de acuerdo con las recomendaciones, si lo están,
consultan cuando lo tendrían solucionado.
El siguiente es un escenario común para este tipo de metodología.
• El equipo de auditores descubre que no existe ningún procedimiento para
asegurar que los usuarios cuenten con los últimos parches de seguridad en
sus PCs antes de conectarla a la red corporativa.
• Ellos presentan el problema a los clientes, junto con recomendaciones que
dicen, “Recomendamos que exista un proceso para asegurar que los
usuarios tienen el último parche de seguridad en sus PCs antes que sean
permitidos a conectarse a la red”, o algo igualmente brillante y útil.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
I) El método de seguir recomendaciones
• Luego los auditores consultan con los clientes cuando podrían concluir con
dicho proceso.
• Los clientes lanzan una fecha para sacarse de encima a los auditores,
generalmente sin pensar en lo que realmente implica el trabajo.
• Los auditores se marchan contentos porque su recomendación fue
aceptada y cuentan con una fecha de vencimiento del compromiso.
¿A quién le importa que los clientes no tengan un empoderamiento del
plan de acción y que probablemente no cumplirán con la fecha
comprometida?
Nos preocuparemos de eso en unos cuantos meses cuando la fecha
caduque, ¿no?
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
I) El método de seguir recomendaciones
Este ejemplo, obviamente es un poco exagerado, pero, desafortunadamente,
no está tan alejado de la realidad.
El método de seguir recomendaciones puede funcionar si se lo maneja bien
por parte del equipo de auditoría con conocimiento y experiencia. Sin
embargo, generalmente resulta que los clientes no sienten un sentido de
pertenencia sobre el plan de acción recomendado, porque ellos solo están
haciendo lo que los auditores les dijeron que hagan. Además, los clientes
que están siendo auditados están más capacitados para tener un
conocimiento más detallado del área que está siendo auditada que los
auditores, lo que significa que ellos están en mejor posición para desarrollar
una solución al problema.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
I) El método de seguir recomendaciones
Exhibiéndoles una recomendación y consultándoles si la aceptan hará
que los clientes estén menos motivados a pensar sobre el problema
observado y desarrollar un plan de acción realista y trabajable.
Por el contrario, ellos pueden tender a “aceptar” la recomendación
para deshacerse de los auditores, solo para descubrir las complejidades
cuando el cronograma de cumplimiento esté por vencer y los auditores
están haciendo el seguimiento.
Esto conduce a que los auditores informen el incumplimiento del
cronograma o la extensión de la solución del problema, lo cual no es un
proceso eficiente.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
II) El método de respuesta del administrador
Con esta aproximación, los auditores desarrollan un listado de
observaciones y luego se las exponen a los clientes para que respondan
con sus planes de acción.
A veces los auditores enviarán sus recomendaciones para las soluciones
junto con los puntos observados, y a veces solo enviarán las
observaciones sin recomendación alguna.
De cualquier modo, los clientes, se supone, que enviarán su respuesta a
las observaciones del reporte de auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
II) El método de respuesta del administrador
Esto se presta a un elegante “señalar con el dedo” o nombrar los culpables.
El auditor escribe, “Existe un problema.
Nosotros recomendamos que ellos lo reparen.” Los administradores
responden, “Nosotros pensamos que es una estupidez, pero aceptamos e
implementaremos una solución “a medio cocinar” que no creemos que
agregue valor, solo para sacarnos a los auditores de encima”.
O aún peor, la respuesta del administrador puede ser algo así: “Pensamos
que esto es una estupidez y no vamos a hacer nada al respecto. Los
auditores se pueden arrojar al pozo”. En dichos casos, los auditores pueden
redactar su respuesta, diciendo algo así:
“¿Pueden creerle a esta gente?, Obviamente no les importan los controles.
Se lo haremos saber al CEO para meterlos en problemas”.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
II) El método de respuesta del administrador
De nuevo, este es un ejemplo exagerado, pero no está muy alejado de la
realidad.
El método de respuesta del administrador no busca por sí mismo alcanzar el
consenso pero básicamente permite que los auditores se laven las manos de
la responsabilidad que significa reportar los problemas y sus soluciones.
En vez de desarrollar una solución consensuada, ellos simplemente dicen lo
que desean y luego permiten que los clientes de la auditoría digan lo que
desean, teniendo los auditores la última palabra en el reporte.
Si éste método es el utilizado por su compañía, trate de cambiarlo.
Si no lo puede cambiar, trate de trabajar extraoficialmente para lograr
consenso con los clientes.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
II) El método de respuesta del administrador
Antes de enviar las observaciones y sus recomendaciones a los clientes,
trate de idear una solución en la que se sientan cómodos todas las
partes involucradas.
Su recomendación reflejará lo que ya lo han acordado, permitiendo
que la respuesta de los administradores sean algo como esto:”
Estamos de acuerdo e implementaremos sus sugerencias al final del
presente ejercicio”.
El método de respuesta del administrador no evita que coordine con
sus clientes soluciones mutuamente aceptables
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
III) El método de solución de las observaciones
Utilizando este método, los auditores trabajan con los clientes para
desarrollar una solución que representa un plan de acción desarrollado
conjuntamente y consensuado para solucionar los problemas levantados
durante la auditoría.
Es una combinación de los dos métodos precedentes, logrando lo mejor de
ambos.
Al igual que con el método de seguir las recomendaciones, los auditores
proveen ideas para la solución basados en su conocimiento de control.
Al igual que con el método de respuesta del administrador, los clientes
proveen ideas para resolución de los problemas basados en sus
conocimientos operacionales de la vida real.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
III) El método de solución de las observaciones
El resultado es una solución que los clientes “poseen” y que es satisfactoria
para los auditores. Debido a que los clientes tienen un sentido de
pertenencia sobre los problemas reportados, los clientes están más
predispuestos a remediarlos.
Bajo este método, el reporte de auditoría refleja sutilmente el cambio en el
sentido de pertenencia. Con el método de recomendación, los auditores
podrían escribir algo así: “Recomendamos que sean habilitadas pistas de
auditoría” o “Deberían ser habilitadas las pistas de auditoría”. Estas
oraciones enfatizan los deseos de los auditores y a menudo son
interpretadas por los clientes como pesadas y mandonas (y a menudo sin
sentido).
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
III) El método de solución de las observaciones
En este método, el desarrollo de la solución debe ser verdaderamente
colaborativa.
Aunque los auditores deben permitir que los clientes desarrollen las ideas
iniciales, deben tener preparadas algunas soluciones potenciales bajo la
manga en caso que los clientes no puedan salir con respuestas aceptables.
Además los auditores deberían tener alguna idea de con cuanta medida de
mitigación se sentirían satisfechos.
Necesitan estar preparados para permitir a los clientes conocer si las
soluciones propuestas no reúnen los mínimos requisitos de mitigación de
riesgos.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Guías para el desarrollo de soluciones
Sin importar el método utilizado, necesita establecer quién es responsable
por la ejecución de los planes de acción y las fechas de vencimiento en las
que deberían concluir los planes de acción. Esto asigna responsabilidad a los
clientes y una base para el seguimiento de los auditores. En la medida que
estos planes de acción son desarrollados, los auditores deberían ser flexibles
con relación a cuan finalizados deben estar los planes de acción en el reporte
de auditoría.
Algunas observaciones permiten soluciones inmediatas, como cambiar las
configuraciones de un sistema o bloquear permisos de archivos. En estas
instancias esperaría que los clientes indiquen la fecha exacta en que la
solución será implementada.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Guías para el desarrollo de soluciones
Sin embargo, otras observaciones requerirán soluciones complejas y
requerirán el involucramiento de múltiples organizaciones y el
desarrollo de procesos complejos o la adquisición de nueva tecnología.
En estas instancias, no es realista esperar que los clientes conozcan
inmediatamente lo que deben hacer y cuando lo concluirán.
Por el contrario, se requerirán periodos de evaluación en los cuales se
examinarán las alternativas y un cronograma detallado será
desarrollado.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Guías para el desarrollo de soluciones
En vez de presionar a los clientes para proveer información cuando no
es realista esperar que lo hagan, puede definir una fecha intermedia en
la que ellos habrán elegido una solución y desarrollado un cronograma.
Una vez que dicha fecha sea alcanzada, si han desarrollado un plan de
acción detallado, se puede establecer una nueva fecha de compromiso
basada en dicho plan.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Nota: Cuando desarrolla soluciones, el auditor debería tener en mente que no
siempre es práctico que pueda ser mitigado el 100% del riesgo. A veces la
mitigación del total de riesgo sería prohibitivo en costos, pero en 80% del riesgo
podría ser mitigado por un costo razonable.
Esto es conocido como el concepto de Pareto, en el cual los primeros
80% del riesgo pueden ser solucionados por el 20% del costo.
Si el auditor se empecina en requerir el 100% de solución, la credibilidad y
relacionamiento del auditor con el cliente se verá dañada y los clientes puede que
no hagan nada para mitigar el riesgo. Haber solucionado el 80% del riesgo es mejor
que 0% del riesgo solucionado. El auditor debe recordar que él es un empleado de
la compañía y debería impulsar soluciones que sean razonables y costo –
beneficiosas. Por supuesto, el auditor debe ser objetivo y asegurar que el riesgo no
mitigado no es razonable. Sin embargo, los auditores que siempre insisten en el
100% de las soluciones se convierten en auditores que son evitados y quienes no
tienen sentido del negocio.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
También es importante que trabaje con los clientes para ser flexible
cuando establece fechas de cumplimiento de las soluciones a las
observaciones. Recuerde que mucha de la actividad dentro de las
organizaciones de los clientes no tiene que ver con auditoría interna.
Ponga las observaciones de auditoría en contexto con las otras
presiones y prioridades del grupo de TI.
Algunas veces sus puntos de auditoría no serán la máxima prioridad, y
está bien. Establecer fechas de vencimiento realistas con las que los
clientes se sentirán cómodos promoverá confianza mutua haciendo
más probable que las observaciones sean levantadas a tiempo y
ayudándole a evitar recalendarización y escalamientos.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Además, a veces los clientes están de acuerdo con los auditores pero
no piense que tendrán los recursos para solucionarlos.
¿De modo que como resolvería estas situaciones?
¿Se debatirá en un duelo de gritos e improperios?
¿Les amenazará a sus clientes, recordándoles que Ud. reporta al comité
de auditoría y que los puede meter en problemas por no solucionar las
observaciones?
¡Absolutamente no!
Estas situaciones pueden ser manejadas con respeto y
cooperativamente.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Recuerde que el concepto de requerimientos de auditoría es una
expresión equivocada o inexistente.
El departamento de auditoría no es un cuerpo en el que se definen
requerimientos y por consiguiente no debería estar en el negocio de
tratar de forzar las acciones de los clientes.
Por el contrario el trabajo del auditor es identificar los riesgos y
asegurarse que el nivel adecuado de gerencia es advertido de esos
riesgos de modo que puedan ser tomadas las decisiones para
mitigarlos o no.
Aceptar un riesgo es una opción legítima para los administradores.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
El auditor debe utilizar su juicio para determinar qué nivel de administración
debe estar al tanto del riesgo.
Algunas de las observaciones de auditoría representan solo una pequeña
porción de riesgo.
En cuyos casos, si un administrador indica que el comprende y acepta el
riesgo el auditor puede documentarlo y continuar.
En otros casos, el riesgo es más severo, y el auditor cree que el CIO debería
ser advertido del problema.
Sin embargo, si el CIO comprende el riesgo y decide aceptarlo, de nuevo, el
auditor ha realizado su trabajo y no es necesaria ninguna acción adicional.
Pero si otras observaciones representan un riesgo tan severo que el auditor
se sentirá confortable solo con la firma del CEO o aún del comité de
auditoría.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Incluso si cree que debe ir por encima de la cabeza de alguien para hacer que
el nivel apropiado de gerenciamiento esté consciente de un riesgo dado, no
debería ser considerado como un evento adverso.
Puede explicar de manera calmada a sus clientes que comprende sus razones
para evitar intentar la solución del problema y que su trabajo requiere
informar a niveles superiores de administración acerca del riesgo para
asegurar que ellos también se sienten confortables en aceparlos.
Incluso puede invitar al cliente a participar en cualquier reunión para discutir
el riesgo y o mantenerlos informados por correo electrónico.
Esta tarea no se debería convertir en un juego de “él o ella dijo” sino por el
contrario puede ser una relación abierta y respetuosa en la que los auditores
expliquen los puntos de vista de los clientes así como sus propios puntos de
vista durante las comunicaciones con los administradores.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
d) Desarrollo de la solución
Escalar una observación a menudo resultará en un resultado positivo para
los clientes, como recursos adicionales asignados para permitir la solución de
problemas, de modo que el proceso de escalamiento no tiene que ser un
proceso traumático.
Y a veces los clientes desean que los auditores escalen una observación para
obtener respaldo adicional para solucionar problemas conocidos que quizás
no recibieron la atención adecuada previa a la auditoría.
Cuando se escala las observaciones a la administración, asegúrese de que
todos en la cadena estén informados, de modo que ninguno sienta que está
siendo evitado o no está siendo tenido en cuenta.
Por ejemplo, si piensa que un problema necesita ser escalado al mismo CIO,
converse con cada nivel de gerentes entre el cliente del auditor hasta el CIO
en orden. Esto ayuda a evitar traumas en el proceso de escalamiento.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
4. Seguimiento de observaciones
Es común que los auditores sientan que el trabajo está hecho cuando
remiten el informe de auditoría.
Sin embargo, como se discutiera anteriormente, remitir un reporte de
auditoría no agrega valor a la compañía a menos que resulte en acciones
concretas para su solución.
La auditoría no está verdaderamente completa hasta que las observaciones
levantadas en la auditoría son resueltas, ya sea solucionando el problema (la
solución preferida) o aceptando el riesgo por parte del nivel adecuado de
gerenciamiento.
El departamento de auditoría debe desarrollar un proceso donde sus
miembros sean capaces de hacer un seguimiento de los problemas hasta que
sean resueltos.
Curso de auditoría empresarial y bancaria
Nuevos paradigmas – Presente y Futuro
• Estándares
Existen estándares para la profesión de auditoría y deberían ser
adheridos a ellos en la medida que las compañías desarrollan sus
procesos de auditoría.
En el sitio web del Instituto de Auditores Internos (IIA) www.theiia.org,
puede encontrar los estándares internacionales para la práctica
profesional de auditoría interna.
Estos estándares deberían ser revisados e incorporados en su proceso
de auditoría.
Además, en el mismo sitio web encontrará el código de ética para la
profesión, el que explica los requerimientos de integridad, objetividad,
confidencialidad y competencia que aplican a la auditoría.