Tópicos generales

Planeación del área a auditar

La auditoría de los sistemas de información se define como cualquier auditoria que abarca
la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los
sistemas automáticos de procesamiento de la información, incluidos los procedimientos
no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una
serie de pasos previos que permitirán dimensionar el tamaño y características de área
dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que

hacerla desde el punto de vista de los dos objetivos:

1. Evaluación de los sistemas y procedimientos.

2. Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para ello es
preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto
planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Riesgos y contingencias más comunes

Planificación de la auditoria

La planificación es la primera fase del proceso de la auditoria y de ello dependerá la

eficiencia y efectividad del logro de los objetivos propuestos, utilizando los recursos
estrictamente necesarios.

La planificación debe ser cuidadosa, creativa, positiva e imaginaria, debe considerar

alternativas y seleccionar los métodos más apropiados para realizar las tareas, por tanto
esta actividad debe recaer en los miembros más experimentados del grupo.

La planificación de una auditoria comienza con la obtención de información necesaria

para definir la estrategia a emplear y culmina con la definición detallada de las tareas a
realizar en la fase de ejecución.

La planificación de cada auditoria se divide en dos fases, denominados planificación

preliminar y planificación especifica.
En la planificación preliminar, se determinará la estrategia a seguir en el trabajo, a base
del conocimiento acumulado e información obtenida del ente a auditar; mientras que en la
planificación específica se define tal estrategia mediante la aplicación de los
procedimientos específicos por cada componente y la forma en que se desarrollara la
auditoria en las siguientes fases.

En un trabajo que se realiza por primera vez, no existe conocimiento acumulado y por lo
tanto, la etapa de planificación demandará un esfuerzo de auditoría adicional.

Planificación de la auditoria

La planificación de la auditoría es la etapa más importante de un encargo exitoso, pues

busca que este se realice de manera eficiente y eficaz. Durante la planificación, el auditor
discute los elementos del encargo con la dirección de la entidad, pero sin comprometer su
eficacia.

Beneficios que resultan de realizar una buena planificación son los siguientes:

 Prestar la atención adecuada a las áreas importantes.

 Identificar y resolver oportunamente los problemas potenciales.
 Facilitar la selección del equipo de trabajo, con los niveles de capacidad y
competencia idóneos
 para responder a los riesgos previstos.
 Asignar el trabajo a los asistentes de forma apropiada.
 Posibilitar la dirección y supervisión de los miembros del equipo y la revisión de su
trabajo.
 Permitir la coordinación del trabajo realizado por auditores y expertos, cuando sea
el caso.

Aspectos que deben considerarse

En la planificación de la auditoría el auditor debe considerar:

El conocimiento general del marco normativo aplicable a la entidad: cuando se trata de

una auditoría de estados financieros debe identificarse el grupo de aplicación de
Estándares

Internacionales en el que se encuentre clasificada la entidad (que puede ser del grupo 1
que aplica el Estándar Pleno, del grupo 2 que aplica el Estándar para Pymes, o del grupo
3 que aplica contabilidad simplificada).

La determinación de la materialidad o la importancia relativa.

La participación de expertos. Esto último, en caso de que se requiera debido a que el

encargo abarca un área en la que el auditor no tiene el suficiente conocimiento y
experiencia.
Los procedimientos analíticos necesarios para la valoración del riesgo.

La aplicación de cualquier otro procedimiento para la valoración del riesgo.

“el auditor puede discutir algunos elementos con la dirección de la entidad, teniendo
cuidado de no poner en discusión aspectos que comprometan la eficacia de la auditoría”

En la planificación del encargo, el auditor puede discutir algunos elementos con la

dirección de la entidad, teniendo cuidado de no poner en discusión aspectos que
comprometan la eficacia de la auditoría.

Adicionalmente, el auditor debe realizar las siguientes actividades:

 Identificar el alcance de la auditoría.

 Determinar los objetivos de la auditoría en relación con los informes a emitir, para
establecer el momento de realización de la auditoría y la naturaleza de las
comunicaciones requeridas.
 Considerar los factores que, a juicio profesional del auditor, sean significativos
para la dirección de las tareas del equipo que realizará la auditoría.
 Considerar los resultados de las actividades preliminares de la auditoría, es decir,
las relacionadas con la evaluación de la continuidad de las relaciones con el
cliente, el cumplimiento de los requisitos de independencia y conflicto de intereses
y la aceptación de los términos del encargo.
 Determinar la naturaleza, el momento de utilización y extensión de los recursos
necesarios para realizar la auditoría.

Estrategia de auditoría

La estrategia de auditoría es el documento en el que se reflejan las actividades que se

explicaron en el punto anterior. Dicho esto, el auditor debe establecer la estrategia de la
auditoría con la cual, luego de haber finalizado la aplicación de los procedimientos de
valoración del riesgo, pueda definir cuestiones como los recursos necesarios a emplear
en áreas específicas sometidas a examen, el momento en el que se van a emplear dichos
recursos, así como su gestión, dirección y supervisión (al respecto, le recomendamos
consultar nuestra publicación Estrategia global para encargos de auditoría.

Plan de auditoría

“el plan de auditoría debe ser más detallado que la estrategia de auditoría, puesto que en
este se incluye la naturaleza, el momento de realización y la extensión de los
procedimientos de auditoría”

Una vez elaborada la estrategia de la auditoría, se debe diseñar un plan de auditoría en el

que se desarrollen los aspectos identificados en el primer documento, teniendo como
prioridad la consecución de los objetivos de la auditoría mediante la utilización eficiente de
los recursos.
Por lo anterior, el plan de auditoría debe ser más detallado que la estrategia de auditoría,
puesto que en este se incluye la naturaleza, el momento de realización y la extensión de
los procedimientos de auditoría que se aplicarán durante su ejecución.

Actividades preliminares

Al iniciar el encargo, el auditor debe evaluar el cumplimiento de los requerimientos de

ética relativos a la independencia y establecer los términos de la auditoría. La realización
de estas actividades facilita la identificación y el examen de situaciones que puedan
afectar de manera negativa la capacidad para planificar y desarrollar adecuadamente la
auditoría, evita que se generen malentendidos con el cliente y protege al auditor frente a
incumplimientos que puedan generarle sanciones disciplinarias por parte de la Junta
Central de Contadores –JCC–.

Documentación de la auditoría

La documentación de la auditoría sirve como registro de la naturaleza, el momento de

realización y la extensión de los procedimientos de valoración del riesgo planificados. En
la documentación el auditor debe incluir:

La estrategia de auditoría.

El plan de auditoría.

Los cambios significativos que se realicen en la estrategia, el plan o el desarrollo de la

auditoría, así como los motivos que dieron origen a dichos cambios.

Este paso es muy importante para el auditor, debido a que se convierte en la única forma
de probar que realizó el trabajo adecuadamente. Recordemos que el artículo 9 de la Ley
43 de 1990 establece que el contador público debe dejar constancia de las labores
realizadas para emitir su juicio profesional, los cuales pueden ser examinados por las
autoridades estatales y deben conservarse por un término mínimo de cinco (5) años
contados a partir de su fecha de elaboración.

Riesgos y materialidad de auditoria

Se puede definir los riesgos de auditoria como aquellos riesgos de que la información
pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error
que ha ocurrido.

Los riesgos en auditoria pueden clasificarse de la siguiente manera:

Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no
existen controles compensatorios relacionados que se puedan establecer.

Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma
oportuna por el sistema de control interno.
Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de
un procedimiento inadecuado.

Técnicas de evaluación de riesgos

Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son:

Permitir que la gerencia asigne recursos necesarios para la auditoria.

Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales,

y garantiza que las actividades de la función de auditoria se dirigen correctamente a las
áreas de alto riesgo y constituyen un valor agregado para la gerencia.

Constituir la base para la organización de la auditoria a fin de administrar eficazmente el

departamento.

Proveer un resumen que describa como el tema individual de auditoria se relaciona con la
organización global de la empresa así como los planes del negocio.

Objetivos de controles y Objetivos de auditoria

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de

auditoria es verificar la existencia de estos controles y que estén funcionando de manera
eficaz, respetando las políticas de la empresa y los objetivos de la empresa.

Procedimientos de auditoria

Algunos ejemplos de procedimientos de auditoria son:

Revisión de la documentación de sistemas e identificación de los controles existentes.

Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles
aplicados.

Utilización de software de manejo de base de datos para examinar el contenido de los

archivos de datos.

Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Evaluación de fortalezas y debilidades de auditoria.

Luego de desarrollar el programa de auditoria y recopilar evidencia de auditoria, el

siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una
opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el
nivel de los controles identificados.

La Matriz muestra las áreas en que los controles no existen o son débiles, obviamente el
auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el
control.
En esta parte de evaluación de debilidades y fortalezas también se debe elegir o
determinar la materialidad de las observaciones o hallazgos de auditoria. El auditor de
sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la
gerencia y se debe informar de acuerdo a ello.

Seguimiento de las observaciones de auditoria.

El trabajo de auditoria es un proceso continuo, se debe entender que no serviría de nada

el trabajo de auditoria si no se comprueba que las acciones correctivas tomadas por la
gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la
oportunidad de seguimiento dependerá del carácter crítico de las observaciones de
auditoria.

El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos

factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la
situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema.