Bases Generales: Documentación

Como auditores estamos en la obligación de documentarnos, basamos nuestros trabajos en las pruebas, la recopilación de la información es parte esencial del proceso, e incluso es una norma: Norma Internacional de Auditoria 230 (Circular No. 03-2014 del Colegio de Contadores Públicos de CR).

En la página 8 del documento mencionado en el párrafo anterior  sobre la NIA-230 dice lo siguiente:

 Alcance de esta NIA

La NIA 230: Documentación de auditoría trata de la responsabilidad que tiene el auditor de preparar la documentación de auditoría correspondiente a una auditoría de estados financieros.

Dentro de la norma como un anexo se enumeran otras NIA que contienen requerimientos específicos de documentación y orientaciones al respecto. Los requerimientos específicos de documentación de otras NIA no limitan la aplicación de la presente NIA. Las disposiciones legales o reglamentarias pueden establecer requerimientos adicionales sobre documentación…

 

A pesar de que la NIA-230 hace referencia a la documentación de los estados financieros es aplicable perfectamente y parte de las buenas practicas a las auditorias de TI, siendo estas un complemento a la Auditoria en general.

Podemos decir incluso que la documentación es el registro de las actividades realizadas, los procedimientos utilizados para obtener evidencias y las conclusiones de la actividad. Para lograr lo anterior, el auditor tiene que preparar documentos para quienes no estén involucrados en el proceso y destacar los resultados obtenidos. Esto procurando la búsqueda de la trasparencia de los procesos.

Ejemplo de un proceso de documentación:

Debemos recordar que dentro de las diferentes áreas que abordan los procesos de TI, la documentación es sin duda una herramienta imprescindible; así por ejemplo si pensamos en el desarrollo de un software: la documentación empieza conforme se van levantando los requerimientos, por otro lado a la vez que se da el proceso de la programación del software es necesario ir documentando las mejoras o cambios inesperados pruebas de desempeño, e incluso justo antes de la entrega del programa o aplicación al cliente se debe de documentar según las buenas practicas (esto nos da un punto de comparación como auditores a la hora de un proceso de auditoria). Así mismo, la documentación que se entrega al cliente tendrá que coincidir con la versión final de los programas que componen la aplicación.

Como podemos ver en un entorno ideal de TI (redes, base de datos, desarrollo, diseño, etc), la documentación es parte de las buenas prácticas que debemos de seguir, más aún si hablamos de un proceso de auditoría.

De la red SlideShare.net, rescato esta presentación sencilla donde se pueden leer una serie de filminas sobre las Buenas prácticas en documentación:

Auditoría de Sistemas

  • Debemos partir de lo esencial, una definición para el término de Auditoría:

La Auditoría es una función de dirección que de forma independiente procura analizar, estudiar, apreciar y evaluar, con vistas a las eventuales acciones correctivas (ojala preventivas), tomando como base el control interno de las organizaciones que procura garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión. RV2

Siendo Costa Rica el lugar donde me desarrollo laboralmente debo de tomar como fuente las normativas establecidas por la Contraloría General de la Republica, siendo preciso la N-2-2009-CO-DFOE Normas de Control Interno –Sector Publico en donde menciona la definición del termino Auditoría Interna:

“… Es la actividad independiente, objetiva, asesora y que proporciona seguridad al ente u órgano, puesto que se crea para agregar valor y mejorar sus operaciones. Contribuye a que se alcancen los objetivos institucionales mediante la práctica de un enfoque sistémico y profesional para evaluar y mejorar la efectividad de la administración del riesgo, del control y de los procesos de dirección en las instituciones y órganos…”

Ahora bien, debemos de tener como parámetro una definición mundial para complementar con lo cual tomo como base la que nos da el Instituto de Auditores Internos (The Institute of Internal Audit – IIA):

“Auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno. “

Como podemos ver ambas muy similares en esencia.

Dentro de la auditoría tenemos un concepto que se conoce como el Universo Auditable (Conjunto de elementos susceptibles de la prestación de los servicios de la auditoría interna dentro de su ámbito de competencia institucional R-DC-119-2009 Norma para el ejercicio de la Auditoría Interna en el Sector Público), este va a estar compuesto por la diferentes áreas que forman parte de la organización o institución una de ellas muy actual y determinante desde mi punto de vista son las Tecnologías de Información, es decir los departamentos de T.I.

  • Vamos a definir que es la Auditoria de Sistemas

También conocida como Auditoría de T.I. o Auditoría Informática, siendo parte esencial del universo auditable teniendo como objetivo evaluar sistemas informáticos en forma integral, los procedimientos y seguridad de los equipos electrónicos o hardware así como los programas o software que posea la empresa sean propios o de modalidad de servicios físicos o virtuales. De igual forma viene a ser el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos

Fuentes:

The Institute of Internal Auditors: https://na.theiia.org/Pages/IIAHome.aspx

Contraloría General de la Republica de C.R.: https://www.cgr.go.cr/