Auditoria Informática

Auditoria informática.

Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones.

Cuando se inicia una auditoria es necesario presentar un documento en el que se establezcan los términos con los que se va a trabajar. A continuación se muestra el formato de un contrato de auditoría informática.

Ejemplo de contrato de Auditoría en Informática

            Contrato de prestación de servicios profesionales de auditoría en informática que celebran por una parte _______________________________

________________,representado por ________________________________

en su carácter de ______________________________ y que en lo sucesivo se denominará el cliente, por otra parte_________________________________________,

representada por ____________________________________________ a quien se denominará el auditor, de conformidad con las declaraciones y cláusulas siguientes:

DECLARACIONES

 I          El cliente declara:

            a)   Que es una ____________________________________________________.

            b)   Que está representado para este acto por_____________________

                   ___________ y tiene como su domicilio  _____________________

c)      Que requiere tener servicios de auditoría en informática, por lo que ha decidido controlar los servicios del auditor.

 II         Declara el auditor:

            Que es una sociedad anónima, constituida y existente de acuerdo con las leyes y   que dentro de sus objetivos primordiales está el de prestar auditoria en informática_______________________________________________________.

            b) Que está constituida legalmente según escritura número_____________

                 de fecha____________ ante el notario público núm.___________  del ____________

                  Lic.__________________________________________________________.

c)      Que señala como su domicilio________________________________________________

______________________________________________________.

 III        Declaran ambas partes: 

a)      Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes:

C L Á U S U L A S

PRIMERA. OBJETO

            El auditor se obliga a prestar a el cliente los servicios de auditoría en informática para llevarla a cabo la evaluación de la dirección de informática del cliente, que se detallan en la propuesta de servicios anexa que, firmada por las partes, forma parte integrante del contrato .

SEGUNDA. ALCANCE DEL TRABAJO

El alcance de los trabajos que llevará a cabo el auditor dentro de este contrato son:

a)      Evaluación de la dirección de informática en lo que corresponde a:

•      Su organización

•      Estructura

•      Recursos humanos

•      Normas y  políticas

•      Capacitación

•      Planes de Trabajo

•      Controles

•      Estándares

b)      Evaluación de los sistemas 

-          Evaluación de los diferentes sistemas en operación, (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas).

-          Opinión de los usuarios sobre los diferentes sistemas.

-          Evaluación de avances de los sistemas en desarrollo y congruencia con el diseño general.

-          Evaluación de prioridades y recursos asignados (humanos y equipo de cómputo).

-          Seguridad física y lógica de los sistemas, su confidencialidad y respaldos.

c)      Evaluación de equipos 

-          Capacidades

-          Utilización

-          Nuevos proyectos

-          Seguridad física y lógica

-          Respaldos de equipo

-          Seguros

-          Contratos

-          Proyecciones

d)      Elaboración de informes que contengan conclusiones y recomendaciones por cada uno de los trabajos señalados en los incisos a, b y c de esta cláusula. 

TERCERA. PROGRAMA DE TRABAJO 

            El cliente y el auditor convienen en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisión las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realización. 

CUARTA. SUPERVISION

El cliente o quien designe tendrá derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y a dar por escrito las instrucciones que estime convenientes. 

QUINTA. COORDINACIÓN DE LOS TRABAJOS 

El cliente designará por parte de la organización a un coordinador del proyecto quien será el responsable de coordinar la recopilación de la información que solicite el auditor y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven a cabo en las fechas establecidas. 

SEXTA. HORARIO DE TRABAJO 

El personal del auditor dedicará el tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebración de este contrato, de acuerdo al programa de trabajo convenido por ambas partes y gozarán de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estarán sujetos a horarios y jornadas determinadas. 

SEPTIMA. PERSONAL ASIGNADO 

El auditor designará para el desarrollo de los trabajos objeto de este contrato a socios del despacho quienes, cuando consideren necesario incorporarán personal técnico capacitado de que dispone la firma, en el número que se requiere de acuerdo a los trabajos a realizar.

OCTAVA. RELACIÓN LABORAL 

El personal del auditor no tendrá ninguna relación laboral con el cliente y queda expresamente estipulado que este contrato se suscribe en atención a que el auditor en ningún momento se considere intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones entre él y su personal, y exime al cliente de cualquier responsabilidad que a este respecto existiere. 

NOVENA. PLAZO DE TRABAJO 

El auditor se obliga a terminar los trabajos señalados en la cláusula segunda de este contrato en _____________ días hábiles después de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminación de los trabajos está en relación a la oportunidad en que el cliente entregue los documentos requeridos por el auditor y por el cumplimiento de las fechas estipulada en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutirán en el plazo estipulado, el cual deberá incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el auditor. 

DECIMA. HONORARIOS 

El cliente pagará al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de _____________________________________más el impuesto al valor agregado correspondiente. La forma de pago será la siguiente:

a)      ______% a la firma del contrato.

b)      ______% a los__ días hábiles después de iniciados los trabajos.

c)      ______%a la terminación de los trabajo y presentación del informe final.

DECIMOPRIMERA. ALCANCE DE LOS HONORARIOS 

El importe señalado en la cláusula décima compensará al auditor por sueldos, horarios, organización y dirección técnica propia de los servicios de auditoría, Prestaciones sociales y laborales de su personal. 

DECIMOSEGUNDA, INCREMENTO DE HONORARIOS 

En caso de que tenga un retraso debido a la falta de entrega de información, demora o cancelación de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementará en forma proporcional al retraso y se señalará el incremento de común acuerdo.  

DECIMOTERCERA, TRABAJOS ADICIONALES

De ser necesaria alguna adición a los alcances o productos del presente contrato, las partes celebrarán por separado un convenio que formará parte integrante de este instrumento y en forma conjunta se acodará en nuevo costo.  

DECIMOCUARTA, VIÁTICOS Y PASAJES 

El importe de los viáticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentación que requieran durante su permanencia en la ciudad de______________________________. Como consecuencia de los trabajos objeto de este contrato, será por cuenta del cliente. 

DECIMOQUINTA, GASTOS GENERALES 

Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato correrán por cuenta del cliente. 

DECIMOSEXTA, CAUSAS DE RESICIÓN 

Serán causas de rescisión del presente contrato la violación o incumplimiento de cualquiera de las cláusulas de éste contrato. 

       

DECIMOSÉPTIMA. JURISDICCIÓN

Todo lo no previsto en este contrato se regirá por las disposiciones relativas, contenidas en el código civil del__________________________y, en caso de controversia para su interpretación  y cumplimiento, las partes se someten a la jurisdicción de los tribunales federales, renunciando al fuero que les pueda corresponder en razón de su domicilio presente o futuro.

Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad en original y tres copias, en la ciudad de __________________________, el día ______________________________________.

_________________________                                _____________________________

EL CLIENTE                                                           EL AUDITOR

Para llevar a cabo la auditoria se sigue una secuencia de pasos (FASES), los cuales se describen a continuación:

Fase I: Conocimientos del   Sistema 

•   ASPECTOS LEGALES Y POLÍTICAS INTERNAS.

• Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.

• CARACTERÍSTICAS DEL SISTEMA OPERATIVO.

Organigrama del área que participa en el sistema

Manual de funciones de las personas que participan en los procesos del sistema

• CARACTERÍSTICAS DE LA APLICACIÓN DE COMPUTADORA

• Manual técnico de la aplicación del sistema

• Funcionarios (usuarios) autorizados para administrar la aplicación

• Equipos utilizados en la aplicación de computadora

• Seguridad de la aplicación (claves de acceso)

• Procedimientos para generación y almacenamiento de los archivos de la aplicación.

Fase II: Análisis de     transacciones y recursos

Las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores.

ANÁLISIS DE LAS TRANSACCIONES.

 Establecer el flujo de los documentos  para facilitar  la visualización del funcionamiento y recorrido de los procesos.

ANÁLISIS DE LOS RECURSOS

 Identificar y codificar los recursos que participan en el sistema

Fase III: Análisis de riesgos y amenazas

• IDENTIFICACIÓN DE RIESGOS.

• Daños físicos o destrucción de los recursos.

• Pérdida por fraude o desfalco.

• Extravío de documentos fuente, archivos o  informes.

• Robo de dispositivos o medios de almacenamiento.

• Interrupción de las operaciones del negocio.

• Pérdida de integridad de los datos.

• Ineficiencia de operaciones.

• Errores

• IDENTIFICACIÓN DE LAS AMENAZAS.

• Amenazas sobre los equipos:

• Amenazas sobre documentos fuente.

• Amenazas sobre programas de aplicaciones.

Fase IV: Análisis de controles

• CODIFICACIÓN DE CONTROLES.Se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

• RELACIÓN ENTRE RECURSOS/AMENAZAS/RIESGOS La relación con los controles debe establecerse para cada tema identificado. Para cada tema debe establecerse uno o más controles.

• ANÁLISIS DE COBERTURA DE LOS CONTROLES REQUERIDOS. Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.

Fase V: Evaluación de Controles 

OBJETIVOS DE LA EVALUACIÓN.

Verificar la existencia de los controles requeridos 

Determinar la operatividad y suficiencia de los                 controles existentes  

PLAN DE PRUEBAS DE LOS CONTROLES.

• Incluye la selección del tipo de prueba a realizar.

• Debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

 Pruebas de controles

 Análisis de resultados de las pruebas

Fase VI: Informe de Auditoria

INFORME DETALLADO DE RECOMENDACIONES

 EVALUACIÓN DE LAS RESPUESTAS

 INFORME RESUMEN PARA LA ALTA GERENCIA

Ø  Introducción: objetivo y contenido del informe de auditoria

Ø   Objetivos de la auditoría

Ø   Alcance: Cobertura de la evaluación realizada

Ø   Opinión: Con relación a la suficiencia del control   interno del sistema evaluado

Ø   Hallazgos

Ø   Recomendaciones

VII: Seguimiento de Recomendaciones

INFORMES DEL SEGUIMIENTO.

 EVALUACIÓN DE LOS CONTROLES IMPLANTADOS.

FIN DE LA SESIÓN.

Ø  Decanato de Administración y Contaduría:

•      Auditoría Informática

•      Revisión

•      Evaluación

INFORME FINAL

 

El informe debe ser oportuno a fin de que sea útil por la entidad, siendo necesario el estricto cumplimiento de las fechas programadas para las distintas fases de la acción de control.

ESTRUCTURA DEL INFORME

1. INTRODUCCIÓN. Comprenderá información general concerniente a la acción de control y a la entidad examinada.

1.    Origen del examen.

Referido a los antecedentes o razones que motivaron la acción de control, es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mención al documento y fecha de acreditación.

2.    Naturaleza y objetivos del examen.

En este rubro se señalará la naturaleza o tipo de la acción de control, así como los objetivos previstos; exponiéndose ellos según su grado de significancia o importancia para la entidad, incluyendo precisiones que correspondan en cuanto al nivel de cumplimiento alcanzado en cada caso.

3.    Alcance del examen.

Se indicará claramente la cobertura y profundidad del trabajo realizado para el logro de los objetivos de la acción de control, precisando el periodo y áreas de la entidad examinadas, ámbito geográfico donde se realizó el examen, dejándose constancia que se llevó de acuerdo a las NAGU; para el caso de auditoría financiera se mencionará que se llevó a cabo de acuerdo a las NAGA’s, Normas Internacionales de Auditoría y demás disposiciones aplicables al efecto.

Asimismo, de considerarlo pertinente la comisión auditora revelará las limitaciones de información u otras relativas al alcance del examen que se hubieran presentado y afectado el proceso de la acción de control, así como las modificaciones efectuadas al enfoque o curso de la misma como consecuencia de dichas limitaciones.

4.    Antecedentes y base legal de la entidad.

Se hará referencia de manera breve y concisa, a los aspectos relevantes que guarden vinculación directa con la acción de control realizada, sobre la misión, naturaleza legal, ubicación orgánica y funciones realizadas de la entidad y/o áreas examinadas, así como las principales normas legales que le(s) sean de aplicación, con el objeto de situar y mostrar apropiadamente el ámbito técnico y jurídico que es materia de control; evitándose, insertar simples o tediosas transcripciones literales de textos y/o relaciones de actividades o disposiciones normativas.

5.    Comunicación de hallazgos.

Se deberá indicar haberse dado cumplimiento a la comunicación oportuna de los hallazgos efectuada al personal que labora o haya laborado en la entidad comprendido en ellos. Asimismo, se indicará la inclusión de un Anexo en el Informe con la relación del personal al servicio de la entidad examinada, finalmente considerado en las observaciones contenidas en el mismo, consignándose en dicha nómina los nombres y apellidos, documento de identidad, cargo(s) desempeñado(s), periodo(s) de gestión, condición laboral y domicilio correspondientes, con indicación de aquellas en que estuvieren incursos en cada caso.

6.    Memorándum de Control Interno.

Se indicará que durante la acción de control se ha emitido el Memorándum de Control Interno, en el cual se informó al titular respecto a la efectividad de los controles internos implantados en la entidad. Dicho documento así como el reporte de las acciones correctivas que en virtud del mismo se hayan adoptado, se deberá adjuntar como Anexo del Informe.

7.    Otros aspectos de importancia.

Se revelará aquella información que la comisión auditora basada en su opinión profesional competente, considere de importancia o significación, para fines del Informe, dar a conocer hechos, acciones o circunstancias que por su naturaleza e implicancias, tengan relación con la situación evidenciada en la entidad o los objetivos de la acción de control y, cuya revelación permita mostrar la objetividad e imparcialidad del trabajo desarrollado por la comisión, tales como:

a.    El reconocimiento de las dificultades o limitaciones, de carácter excepcional, en las que se desenvolvió la gestión realizada por los responsables de la entidad o área examinada.

b.    El reconocimiento de logros significativos alcanzados durante la gestión examinada.

c.    La adopción de correctivos por la propia administración, durante la ejecución de la acción de control, que hayan permitido superar hechos observables.

d.    Informar de aquellos asuntos importantes que requieran un trabajo adicional, siempre que no se encuentren directamente comprendidos en los objetivos de la acción de control.

e.    Eventos posteriores a la ejecución del trabajo de campo que hayan sido de conocimiento de la comisión auditora y que afecten o modifiquen el funcionamiento de la entidad o de las áreas examinadas.

Si algunos de los aspectos considerados en este punto por la comisión auditora demandaran una exposición o desarrollo extenso, será incluido como anexo del Informe. Dichos aspectos, podrán lugar a la formulación de conclusiones y recomendaciones, si hubiera mérito para ello.

2. OBSERVACIONES.

La Comisión Auditora desarrollará las observaciones que, como consecuencia del trabajo de campo y la aplicación de procedimientos, hayan sido determinadas como tales, una vez concluido el proceso de evaluación y contrastación de los hallazgos comunicados con los comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, así como la documentación y evidencia sustentatoria respectiva.

Las observaciones se deberán referir a hechos o situaciones de carácter significativo y de interés para la entidad examinada, cuya naturaleza deficiente permita oportunidades de mejora y/o corrección, incluyendo información suficiente y competente relacionada con los resultados de la evaluación efectuada a la gestión de la entidad examinada.

Se presentarán de forma ordenada, lógica y numerada correlativamente, evitando el uso de calificativos innecesarios y describiendo apropiadamente sus elementos o atributos característicos. Se debe considerar aspectos esenciales: Sumilla, Elementos de la observación, comentarios y/o aclaraciones y su evaluación.

3. CONCLUSIONES.

Se indicarán los juicios de carácter profesional, basados en las observaciones establecidas, que se formulan como consecuencia del examen realizado a la entidad auditada. Al final de cada conclusión se identificará el número de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.

La comisión auditora, en casos debidamente justificados, podrá formular conclusiones sobre aspectos distintos a las observaciones, verificados en el curso del trabajo, siempre que éstos hayan sido expuestos en el Informe.

4. RECOMENDACIONES.

Constituyen medidas específicas y posibles que, con el propósito de mostrar los beneficios que reportará la acción de control, se sugieren a la administración de la entidad para promover la superación de las causas y las deficiencias evidenciadas durante el examen. Estarán dirigidas al Titular o en su caso a los funcionarios que tengan competencia para disponer su aplicación.

Las recomendaciones se formularán con orientación constructiva para propiciar el mejoramiento de la gestión de la entidad y el desempeño de los funcionarios y servidores públicos a su servicio, con énfasis en contribuir al logro de los objetivos institucionales dentro de parámetros de economía, eficiencia y eficacia; aplicando criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo proporcional a los beneficios esperados.

Para efecto de su presentación, las recomendaciones se realizarán siguiendo el orden jerárquico de los funcionarios responsables a quienes va dirigida, referenciándolas en su caso a las conclusiones, o aspectos distintos a éstas, que las han originado.

5. ANEXOS.

A fin de lograr el máximo de concisión y claridad en el Informe, sólo se incluirá como Anexos, además de los expresamente considerados en la presente norma, aquella documentación indispensable que contenga importante información complementaria o ampliatoria de los datos contenidos en el Informe y que no obre en la entidad examinada.

FIRMA

El Informe una vez efectuado el control de calidad correspondiente previo a su aprobación, deberá ser firmado por el Jefe de Comisión, el Supervisor y el nivel gerencial competente de la CGR. En el caso de los Órganos de Auditoría Interna del SNC, por el Jefe de Comisión, el Supervisor y el Jefe del respectivo órgano. Los Informes emitidos por las SOA’s serán suscritos por el socio participante y auditor responsable de la auditoría.

           

De ameritarlo por la naturaleza y contenido del Informe, también será suscrito por el abogado u otro profesional y/o especialista participante en la acción de control.