Una de las herramientas tradicionales y quizá de las más
utilizadas en cualquier auditoría es la revisión de los documentos que avalan
los registros de operaciones y actividades de una empresa, principalmente en
aquellos casos donde la evaluación está enfocada a los aspectos financieros, el
registro de los activos de la empresa y a cualquier otro aspecto contable y
administrativo. Esta técnica se aplica verificando el registro correcto de
datos en documentos formales de la empresa y, con mucha frecuencia, en la
emisión de sus resultados financieros.
Esta costumbre de revisar los registros es muy socorrida
por los contadores en las auditorías de carácter contable, fiscal y financiero,
debido a que es un requisito obligatorio evaluar el registro de las operaciones
financieras de la empresa, ya que con esos registros se evalúa la elaboración
de sus estados de resultados financieros. Esto se lleva a cabo mediante la
revisión y evaluación de los registros realizados en las llamadas pólizas,
libros diarios y otros documentos contables.
Sin embargo, además de revisar los documentos financieros
de la empresa, también se puede revisar el registro de las actividades y
operaciones que se plasman en documentos y expedientes formales, con el fin de
que el auditor sepa cómo fueron registradas las operaciones, resultados y otros
aspectos inherentes al desarrollo de las funciones y actividades normales de la
empresa.
En esta evaluación se revisan los manuales, instructivos,
procedimientos diseñados para las funciones, actividades y operaciones, el
registro de resultados, estadísticas y otros instrumentos de registro formal de
los alcances obtenidos, la interpretación de los acuerdos, memorandos, normas,
políticas y todos los aspectos formales que se asientan por escrito para el
cumplimiento de las funciones y actividades en la administración cotidiana de
las empresas.
Documentación
de la Empresa
La técnica de revisión documental en la auditoría de
sistemas es de gran utilidad para dictaminar el desarrollo correcto de las
operaciones, así como para valorar la gestión administrativa del área de
sistemas, la existencia, actualización y uso de los documentos formales de
administración y control de los activos informáticos del centro de cómputo y
del aprovechamiento del sistema, entre muchas otras aplicaciones. Sin embargo,
el auditor de sistemas computacionales que utiliza la revisión documental,
además de ajustarse a las características tradicionales de revisión de los
documentos formales, también debe adaptarse a las técnicas específicas de
registro utilizadas en el área de sistemas, así como utilizar las computadoras
para la captura, almacenamiento y acceso de datos.
Actualmente ya se acepta el almacenamiento de datos en
discos flexibles, discos duros, cintas, CD-ROMs y otros dispositivos exclusivos
de los sistemas computacionales para hacer la revisión documental. Incluso, las
autoridades fiscales ya aceptan los registros en dispositivos de almacenamiento
magnético, siempre y cuando sean registros formales de las operaciones
financieras de los sistemas computacionales en donde se lleva la contabilidad.
Además, con el avance del comercio electrónico, se tienen que tomar en cuenta
las actividades y operaciones financieras que se realizan a través de Internet.
Para un mejor entendimiento de este tema, a continuación
presentamos un cuadro concentrado de los principales tipos de documentos con
los que se puede realizar la revisión documental en una auditoría de sistemas
computacionales:
Al llevar a cabo la revisión documental, el auditor de
sistemas debe estar abierto para analizar los distintos documentos utilizados
en el área de sistemas computacionales, considerando los siguientes aspectos:
- Que en el área haya documentos relacionados con los sistemas.
- Que los documentos relacionados con el uso de los sistemas estén disponibles para los usuarios y empleados del área de sistemas.
- Que se difunda la existencia de los documentos relacionados con el uso de los sistemas entre los empleados y usuarios del área de sistemas.
- Que se trabaje con el apoyo de estos documentos.
- Inventarios de documentos administrativos.
- Inventario de documentos técnicos para el sistema.
- Inventarios de documentos para el desarrollo de sistemas.
Es importante destacar que en el ambiente de sistemas
computacionales, la revisión documental se puede hacer a través de documentos
formales, en registros en sistemas computacionales o en cualquier otro medio de
uso común en el área de sistemas, como discos duros, disquetes, CD-ROMs, cintas
magnéticas, DVDs o cualquier otro dispositivo de captura y lectura de
información.
Documentación
realizada durante el proceso de Auditoría
Acta
Testimonial
El acta testimonial es un documento de carácter formal,
que por su representatividad, importancia y posibles alcances de carácter legal
y jurídico es uno de los documentos vitales para cualquier auditoría; este
documento no sólo sirve de testimonio para comprobar, corroborar, ratificar o
evidenciar cualquier evento que ocurra durante la revisión, sino que es tal su
alcance que se puede convertir en un documento de carácter legal, probatorio de
alguna anomalía de tipo jurídico, penal o de cualquier otro aspecto legal. Por
esta razón es muy importante que el auditor sepa elaborarla correctamente.
La importancia de esta herramienta radica en que con su
uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias y,
en algunos casos, jurídicas para comprobar desviaciones en el área auditada;
incluso se pueden utilizar para comprobar manejos dolosos, desviaciones de
recursos o cualquier otro tipo de indecencias que el auditor descubra durante
su evaluación y que, al plasmarlas en actas testimoniales, fundamenten posibles
acciones posteriores a la evaluación o durante la misma evaluación.
El acta testimonial puede, y debe, aplicarse en muchos
casos de carácter jurídico y legal que inciden no sólo en una auditoría, sino
en cualquier acto formal y protocolario de la administración cotidiana del área
de sistemas y de cualquier otra actividad administrativa relevante de la
empresa.
Contenido
del acta testimonial
En el caso de auditoría de sistemas computacionales, o de
otros tipos de auditoría, no hay formatos específicos donde se indique el
contenido total que debe tener un acta testimonial y la forma de elaborarla,
salvo los casos en que sea una diligencia de carácter legal, en donde ya se
tiene establecido un protocolo de procedimientos.
Tipos de actas testimoniales para una auditoría de
sistemas computacionales
Existen muchos documentos que pueden ser clasificados
como actas testimoniales; para ejemplificar esto, a continuación presentaremos
algunos de estos documentos, con un breve comentario de su contenido,
importancia y utilidad, a fin de que el lector pueda elegir la más adecuada
para el trabajo que esté realizando:
- Acta de entrega-recepción de puesto
Esta acta se elabora con la finalidad de hacer la entrega
de un puesto por quien lo transfiere a un nuevo titular o a alguien temporal.
Dicha entrega incluye todos los activos del puesto, así como las funciones y
actividades que se estén realizado, los proyectos, responsabilidades y todos
los aspectos inherentes al desempeño de la funciones de quien antes las tenía y
del que ahora ocupa el puesto.
Por regla general, esta entrega-recepción se hace con la
participación de quien lo entrega y de quien lo recibe y, preferiblemente, con
la asistencia de un auditor o de algún funcionario de la empresa para avalar
dicha entrega.
- Acta de carácter disciplinario
Este documento se elabora para asentar por escrito alguna
desviación, incidencia o medida disciplinaria que repercuta en el desarrollo
normal de las funciones y actividades de un puesto. Por lo general se realiza
en el ámbito operativo, contando con la participación del responsable del área
donde se presenta la incidencia, el(los) empleado(s) involucrado(s), su
representante sindical, si es necesario, y de algún representante del área de
personal. El auditor también puede participar para avalar el acto.
- Acta por incumplimiento de actividades
Aunque es muy similar a la anterior, debido a que puede
ser producto de alguna incidencia disciplinaria, es preferible levantar esta
acta testimonial por incumplimiento, ya que puede llegar a consecuencias que
repercutan en la operación normal de la empresa y en sus activos; por eso es
recomendable asentar el hecho lo más claramente posible y con lujo de detalles.
Además, con el levantamiento de esta acta se pueden
deslindar responsabilidades y, en su caso, fincarlas hacia alguien en especial.
- Acta de liberación de sistemas
En la operación cotidiana de sistemas computacionales, la
entrega y liberación de un sistema se realiza mediante algún documento de
carácter oficial, mismo que se elabora con la participación del representante
del área de sistemas que lo entrega y el representante del área que lo recibe;
sin embargo, lo más aconsejable es que esta entrega y liberación del sistema se
haga por medio de algún acta testimonial, con todos los requisitos indicados
anteriormente, a fin de que sea más formal.
- Acta por faltantes de activos
Cuando se sospecha o se sabe de algún faltante en los
activos de la empresa, es indispensable levantar un acta testimonial, con el
propósito de testificar la desaparición del bien, deslindar y fincar
responsabilidades y dejar la constancia del hecho para que sea investigado
posteriormente. En el levantamiento de esta acta participan el responsable del
bien, quien tiene el resguardo del mismo, el responsable del área, los
testigos, si es que los hay, y alguna persona que dé fe del faltante, que puede
ser el auditor o algún funcionario de la empresa. Si existiera la sospecha
sobre alguien en especial, esa persona también tiene que participar en el
evento; aunque no es muy fácil lograr esto.
En el caso concreto de la auditoría de sistemas
computacionales, cuando el auditor sospecha que falta algún activo, o sabe que
éste es sustraído, debe proceder a levantar el acta testimonial del caso
después de realizar las averiguaciones correspondientes. El propósito es
protocolizar y asentar el hecho detectado e iniciar las diligencias
correspondientes. Además, le servirán de sustento para su informe de auditoría.
- Acta por existencia de software pirata en la empresa
Cuando el auditor encuentra o sospecha de la existencia
de software no autorizado o del cual, aparentemente, hacen falta las licencias
correspondientes, es su deber levantar el acta testimonial correspondiente, a
fin de establecer las causas de ese ilícito y, en su caso, proceder a deslindar
responsabilidades.
En
este acto deben participar el propio auditor, el responsable del sistema en
donde se localizó dicho software y el responsable del área, con el propósito de
efectuar, la testificación que el caso requiera.
El responsable del área puede realizar esta misma acción
cuando detecte la existencia de software pirata.
- Acta de alteración de programas e instrucciones del sistema
Si el auditor observa desviaciones, alteraciones o
modificaciones no autorizadas en las instrucciones, lenguajes, códigos, bases
de datos y/o rutinas de programación de algún software institucional,
independientemente de la repercusión que tenga para el propio sistema, es
indispensable que levante el acta testimonial correspondiente, con el propósito
de establecer las causas, reales y aparentes, las repercusiones y posibles
alteraciones que sufran los sistemas, o para asentar las justificaciones de quien
hizo las modificaciones y la respectiva autorización.
En este acto deben participar el propio auditor, el
responsable del sistema en donde se localizaron las modificaciones del
software, el programador y el responsable del área, con el propósito de efectuar
la testificación que el caso requiere.
Esta misma acta se puede levantar cuando se detecten
desviaciones en el manejo de la información utilizada en el sistema
computacional.
- Acta por resultados de siniestros y catástrofes
Cuando ha ocurrido un siniestro que repercute en el
funcionamiento de los sistemas, independientemente de su magnitud, por rutina
se debe levantar el acta testimonial correspondiente, ya que se deben asentar
las repercusiones que sufrieron los sistemas por este percance; más aún cuando
se trata de las bases de datos que pudieron verse afectadas por el siniestro.
También se debe incluir en el acta la reanudación de las actividades normales y
las modificaciones y correcciones realizadas para subsanar las posibles
repercusiones.
En este acto es indispensable la participación del
auditor, ya que debe asentar, con lujo de detalles, todas las incidencias del
caso y las repercusiones que hayan sufrido los sistemas, así como la
reanudación de las operaciones normales del sistema.
- Acta administrativa por deficiencias en el trabajo
Es poco frecuente, pero llegan a darse casos en los que
se tienen que levantar actas testimoniales por deficiencias en el desarrollo
del trabajo normal de un empleado o, incluso, de toda un área de trabajo;
entonces, para asentar esto, el auditor debe levantar el acta correspondiente,
describiendo detalladamente las situaciones que se presentan para fundamentar
la deficiencia del trabajo, ya sean por negligencia, descuido, accidente, dolo,
mala fe o por cualquier otra deficiencia de parte de quienes realizan el
trabajo.
En este documento se debe señalar, si es posible, en qué
consiste esa deficiencia, las pruebas, si es que las hay, y las repercusiones
que esto trae consigo, con todos los detalles que sean necesarios para
evidenciar los acontecimientos.
Evidentemente, el auditor tiene que participar en el
acto, así como el responsable del área y él o los trabajadores involucrados y,
si es necesario, los representantes del sindicato y de la empresa.
- Acta administrativa por acumulación de faltas
Aunque esta acta testimonial es un documento elaborado
casi exclusivamente en el área de recursos humanos de las empresas, también se
puede dar el caso que se tenga que elaborar en el área de sistemas por el
número de faltas injustificadas que acumula un trabajador durante 30 días
hábiles.
El levantamiento de esta acta consiste en testimoniar la
acumulación de faltas no justificadas de un trabajador, con objeto de
establecer alguna sanción de acuerdo con la Ley del Trabajo. En estos casos
deberán estar presentes el auditor, el representante sindical de la empresa, el
responsable de recursos humanos y el propio trabajador.
Debido a lo serio de las sanciones a las que se puede
hacer acreedor el trabajador, es necesario asentar las causas de las faltas
conforme a lo señalado en la Ley del Trabajo.
No hay comentarios:
Publicar un comentario