Normas de Auditoría Informática PDF Imprimir E-mail
Jueves, 18 de Junio de 2009 22:00

Normas de Auditoría Informática

  
Titulo 1

Procedimientos de Auditoría Informática

  
1- Objetivos y Metas:

La Auditoría de Informática tiene asignados, básicamente, los siguientes objetivos y metas:
1. Objetivos.-
1.1. Efectuar auditorías de ámbitos, sistemas, datos e información, computarizados, de cualquier tipo y finalidad, en:
a)    Los entes que manejen fondos públicos; y
b)   Las empresas que provean servicios de computación a los entes que manejen fondos públicos, sobre las cuales el Tribunal de Cuentas tenga jurisdicción y competencia; y
1.2.  Asistir a los Fiscales y Auditores del Tribunal de Cuentas, en materia de auditoría de ámbitos, sistemas, datos e información, computadorizados, de cualquier tipo y finalidad.
2. Metas:
La Auditoria Informática, como servicio de apoyo especializado, se integra tanto a la "Operativa de Control" como a la "Operativa Jurisdiccional" del Tribunal de Cuentas; con la finalidad de aportar información para retroalimentar los sistemas controlados - a efectos de mejorar la economía, eficiencia y eficacia y prevenir o corregir irregularidades - y elementos probatorios.

 

11 - Normas Éticas y Técnicas, de Carácter General:

1. Condición básica:
1.1.            Independencia: El Auditor y sus colaboradores deben tener independencia con relación al ente objeto de la Auditoría.  Ello implica una actitud mental objetiva, que debe apoyarse en la convicción íntima de poseer independencia de criterio.
1.2.            Falta de independencia: El Auditor y sus colaboradores, no son independientes -debiendo abstenerse de actuar- en los siguientes casos:
a)    Cuando fuera cónyuge pariente por consanguinidad, en línea recta o colateral hasta el cuarto grado inclusive, o por afinidad hasta el segundo grade, de alguno de los responsables de rendir cuentas del ente bajo examen;
b)    Cuando en el año fiscal a examinar o un período de hasta cuatro años anteriores al mismo, hubiera estado en relación de dependencia o haya tenido algún tipo de vinculación profesional, empresarial, administrativa, etc.- respecto del ente auditado; y
e)    Cuando existiera otra causa que, a juicio del funcionario o agente o del propio Tribunal de Cuentas, le imposibilite actuar con independencia de criterio.
2.    Reglas básicas-
2.1.      El Auditor y su equipo de colaboradores deben actuar con responsabilidad, idoneidad y corrección, reflejar las Normas más elevadas de moralidad, honradez y dignidad; ser disciplinados y mantener absoluta confidencialidad sobre los sistemas e información examinada y los papeles de trabajo, más allá de las actuaciones que deriven del cumplimiento de sus funciones y de las normas vigentes.
2.2.      En todo memento, el Auditor debe ejercer la función de asesoramiento a los funcionarios y cuentadantes -a través del Fiscal que tenga asignado el control del ente respectivo-, sin perjuicio de proponer que el Tribunal de Cuentas adopte las medidas necesarias para prevenir corregir cualquier irregularidad.
2.3.            El Auditor es responsable de la elección cuidadosa de los procedimientos de auditoría, precisando su alcance y oportunidad, así como de la efectiva aplicación de lo programado. En particular no debe omitir procedimiento alguno que le permita obtener evidencias, teniendo presente los objetivos y metas fijados en cada caso.
2.4.            En la ejecución de las auditorías deben priorizarse los aspectos de fondo - relacionados con la integridad del patrimonio público y la eficiencia administrativa -, teniendo presente además que el principio de legalidad - cumplimiento de las normas vigentes - es esencial en la administración pública.
2.5              En los casos que sea posible - de acuerdo con la naturaleza del objeto del examen - el Auditor puede aplicar procedimientos sobre bases selectivas.  Para ello, debe apoyarse en los resultados de la evaluación del control interno de los entes respectivos.
2.6              A través del desarrollo de la tarea, el Auditor debe obtener elementos de juicio válidos, pertinentes y suficiente s que permitan informar fundadamente sobre el objeto del examen.
2.7              Las actas e informes del Auditor deben cumplir con los requisitos o características que corresponden a toda información.
En especial, se deben evitar vocablos o expresiones ambiguas o que pudieran inducir a error a los interesados.
Las observaciones del Auditor deben tener vida propia - poder interpretarse sin recurrir a otros elementos - ser claras, precisas y surgir de elementos de juicio válidos, pertinentes y suficientes.
            Las opiniones del Auditor deben quedar claramente separadas de cualquier otro tipo de información.
2.8       Cuando de las verificaciones realizadas por el Auditor surjan irregularidades que, a su criterio, sea necesario ponerlas en conocimiento, o formular denuncia, ante la Justicia,  con su informe en forma inmediata deberá comunicar a las autoridades jerárquicas proponiendo que se efectúen las actuaciones pertinentes.
2.9.      El Auditor debe conservar por un plazo no menor de seis años los papeles de trabajo que, juntamente con las actas e informes, constituyen la prueba del desarrollo de la tarea, siempre que no corresponda su a-regado a un expediente.

 

III - Marco de Actuación: Funciones y Elementos Vinculados a la Administración de los Recursos Informáticos:

El Auditor deberá 'tener siempre presente -como visión integral y marco de referencia para fijar los enfoques, criterios y naturaleza del control en función de los objetivos del examen que se definan en cada auditoría, así como para interpretar los efectos que sobre el conjunto puedan tener observaciones individuales o sobre aspectos parciales - las funciones y ni elementos básicos que caracterizan un ámbito computarizado, conformado tanto por el área de sistemas (centro de cómputos) como por las áreas usuarias, que se describen a continuación.
1.    Actividades de control interno:
1.1. Medidas disuasivas: buscan impedir errores, omisiones abusos, siniestros y violaciones al secreto, previo a las operaciones de entrada de datos.
1.2. Medidas preventivas: actúan concomitantemente con el ingreso de datos, rechazando los inválidos y obligando a su corrección, previo al procesamiento definitivo.
1.3. Medidas detectivas: advierten sobre errores ocurridos, pudiendo el sistema corregir el problema.
1.4. Medidas correctivas: comprenden aquellas acciones que permiten a un sistema recuperar en el menos tiempo posible su capacidad de procesamientos y brindar la información necesaria.
2.    Controles Internos necesarios
2.1.    Para los recursos afectados:
a)         Medios físicos y soporte
Objetivos
-  Asegurar que se detecten las fallas en el funcionamiento de los equipos, dispositivos de comunicación y soporte Lógico de base y de aplicación.
-  Asegurar la protección física, el adecuado manejo y acceso al equipo.
Controles
- Dispositivos y programas incorporados en los medios físicos y soportes lógicos como, por ejemplo, rutinas de detección y corrección de errores de memoria.
- Mecanismo para la detección y corrección de errores de transmisión y procedimientos de reconstrucción de transacciones cuya transmisión no fue exitosa.
- Procedimientos de verificación de los cálculos que ejecutan los programas de aplicación.
- Técnicas de cifrado en los casos de transmisión de información crítica (cajeros automáticos, etc.).
- Dispositivos automáticos para detectar y combatir incendios.
- Mecanismos para apertura de puertas con ingreso de contraseñas o tarjetas con banda magnética para el control de acceso a la sala del computador.
b) Documentación
Objetivos.
- Asegurar que exista documentación completa y actualizada que satisfaga las necesidades de mantenimiento, operación y control de los sistemas.
Controles:
- Protección física de las carpetas de los sistemas y pro,-ramas con definición clara de las restricciones para su acceso.
- Copia de la documentación en poder de áreas responsables del control interno.
c) Recursos humanos.
Objetivos
-   Asegurar la adecuada selección de personal.
-   Asegurar la capacitación del personal:
- En el uso de los recursos físicos y lógicos de base;
- En la operación de los sistemas de aplicación; y
-   En los procedimientos de procesamientos alternativas en caso de no funcionamiento del computador.
Controles
- Políticas de selección de personal con énfasis en la integridad moral e idoneidad.
- Planes de capacitación para el personal de operación del computador, desarrollo de sistemas y usuarios.
- Pruebas periódicas del funcionamiento de los procedimientos alternativas de procesamiento.
d) Instalaciones
Objetivos
- Asegurar la existencia de todos los elementos necesarios para el correcto funcionamiento del equipo.
Controles:
- Mecanismos de regulación de voltaje, acondicionamiento de aire, etc., de acuerdo a normas del fabricante
e) Archivo de datos y programas:
Objetivos:
- Asegurar la integridad de los archivos de datos y programas.
Controles.
- Procedimientos que resuelven adecuadamente los conflictos de acceso simultáneo por dos o más usuarios para modificar un mismo registro.
- Identificación de los archivos mediante el uso de etiquetas internas y externas.
- Rutinas en los programas de aplicación que verifiquen que los archivos utilizados coinciden con los requeridos
- Procedimientos de manejo y acceso a archivos de datos y programas que determinen bajo que circunstancias pueden ser consultados o modificados, por quiénes y en qué oportunidad. - Políticas de resguardo ("back-ups") de archivos de datos y programas.
- Métodos para reconstruir archivos que han sido afectados por problemas de procesamiento.  - Normas que eviten, en lo posible, la utilización de archivos reales en procesos de prueba e indicaciones precisas para que, en caso de ser utilizados, se lo haga con el correspondiente control .
2.2. Para las técnicas de procesamiento:
Objetivos
- Asegurar que toda la información autorizada ingresada se procese en forma completa, exacta y oportuna.
Controles:
- Procedimientos para detectar pérdidas o agregados de documentos o datos procesados (totales de control para determinados campos, totales de documentos procesados, etc.). Procedimientos de corte utilizados al fin de un período contable que aseguren que todas las transacciones que correspondan a éste han sido ingresadas y que no se han procesado transacciones de otros períodos.
- Políticas de determinación de prerrogativas de acceso a las distintas transacciones que se procesen mediante el uso de contraseñas.
- Restricciones de horario al uso del equipo o de las terminales.
- Administración adecuada de las contraseñas que aseguren que ellas no sean fácilmente deducibles y que se cambien con la frecuencia debida.
- Dispositivos que identifiquen la terminal que origina una transacción y control de que sea la que corresponde.
- Existencia de un registro de la operación del computador (log) que pueda servir como fuente de información y supervisión de los procesos que se llevan a cabo en cuanto a la oportunidad y la razonabilidad de su ejecución.
- Procedimientos escritos de trabajo para la atención del computador (operación) que estén claramente definidos.
2.3.      Para la modalidad de ingreso de los datos
Objetivos
Asegurar que todos los datos autorizados sean ingresados en forma completa, exacta y oportuna.
Controles:
- Evidencias de autorización de los formularios fuente y procedimientos para verificar su  existencia.
-Verificación de la secuencia numérica de formularios prenumerados u otros procedimientos que aseguren el ingreso de todos los datos.
- Programas que comparen los totales de control precalculados con los que resulten de sumar las transacciones ingresadas.
- Programas que verifiquen la razonabilidad de los datos ingresados comparándolos con algún conjunto preestablecido de valores (contenidos en tablas o archivos) límite u otro algoritmo de verificación (dígito verificador, etc.).
- Procedimientos incorporados en los programas que rechacen el ingreso de transacciones correspondientes a períodos contables cerrados.
- Procedimientos de comparación manual entre el documento fuente y un listado emitido por el computador para aquellas transacciones o datos que no pueden ser controladas a través de procedimientos computarizados.
- Procedimientos que aseguren que todas las transacciones con errores sean investigadas y corregidas por personas autorizadas y reingresadas antes del cierre definitivo de cada periodo contable.
2.4.      Para los métodos de operación del sistema:
Están vinculados con las técnicas de procesamiento y con la forma de ingreso de los datos.
Objetivos
Idem puntos 2.2. y 2.3.
Controles:
Idem puntos 2.2. y 2.3.
2.5.            Para el desarrollo y mantenimiento del sistema:
Objetivos.
Asegurar que los sistemas incluyan la documentación, controles y procedimientos especificados por el ente para su desarrollo y mantenimiento.
Controles:
Metodología para asegurar que toda la documentación se elabore de acuerdo con pautas de normalización predeterminada.
- Procesamientos normalizados (estándar) para la programación de las operaciones (manejo de menú, mensajes de errores, etc.). - Pruebas de sistemas y programas y de las modificaciones subsecuentes para asegurar su consistencia con las especificaciones originales.
- Separación de funciones que asegure que el personal que desarrolla los programas no origine ni autorice transacciones.
-   Procedimientos formales de aprobación de las distintas etapas del desarrollo y mantenimiento de sistemas por parte de los sectores participantes.
-  Procedimientos para la evaluación de los riesgos del sistema a efectos de determinar los controles a incluir.
- Obtención de los programas fuente adecuadamente probados y documentados en los casos de desarrollo de sistemas sin intervención del ente.

 

IV - Normas Operativas:

1.         Procedimientos
            El Auditor debe reunir los elementos de juicio válidos, pertinentes y suficientes que le permitan respaldar sus actas e informes, a través de la aplicación de los siguientes procedimientos de auditoría
a) Relevamiento y evaluación del control interno:
a.1. Relevamiento:
General: estructural y funcional, de los recursos informáticos.
Detallado: de manuales de organización, manuales de sistemas, equipamiento, personal, etc.
a.2. Evaluación:
-      Controles y riesgos de los sistemas.
-      Capacidad de los controles para cumplir con su finalidad.
a.3.  Prueba de funcionamiento y evaluación de los controles (reejecución del procesamiento, etc.).
b) Obtención de elementos de juicio mediante el uso del computador (programas de auditoría, hojas electrónicas, etc.).
c)    Análisis de información archivada en soportes magnéticos.
d) Análisis legal.
e) Análisis documental.
f) Análisis formal.
g) Comprobaciones matemáticas.
h) Inspecciones oculares.
i) Obtención de confirmaciones directas de terceros.
j) Revisiones y evaluaciones conceptuales, sobre aspectos técnicos.
k) Revisiones y evaluaciones conceptuales sobre aspectos de gestión, éticos y morales.
1) Comprobación de información relacionada.
1l)   Estudio y análisis de documentos importantes.
m)Preguntas a funcionarios y empleados del ente.
n) Obtención de una confirmación escrita de los responsables del ente, de las explicaciones e informaciones suministradas.

Los procedimientos usuales enunciados pueden ser modificados, reemplazados por otros o suprimidos atendiendo a las circunstancias de cada situación. En estos casos, el Auditor debe estar en condiciones de demostrar que el procedimiento usual no fue practicarle                                  o de razonable aplicación o que, a pesar de la modificación, reemplazo o supresión, pudo obtener elementos de juicio válidos, pertinentes y suficientes.
En la aplicación de procedimientos sobre bases selectivas, el Auditor debe apoyarse en los resultados de la evaluación del control interno de los sistemas pertinentes a su revisión.
2. Proceso de Auditoria:
2.1. Horizonte operativo: a través de la ejecución de su tarea, el Auditor debe obtener elementos de juicio válidos, pertinentes y suficientes que respalden sus informes, en consonancia con los objetivos particulares y metas fijadas en cada caso.
2.2. – Programación:    en función de los objetivos particulares y metas fijadas en cada oportunidad, el Auditor debe seleccionar los procedimientos de auditoría que considere adecuados a las circunstancias y pertinentes a la revisión, su alcance, su distribución en el tiempo  y su asignación a quienes los deban ejecutar.
La programación, se debe formalizar por escrito y, en los casos en que el Auditor lo determine, deberá efectuarse en forma detallada.
2.3. Ejecución:
El Auditor debe ejecutar los procedimientos de auditoria programados, teniendo presente lo expresado en el Punto 2. l.
2.4. Precauciones permanentes. Control:

 

El Auditor debe efectuar una revisión cuidadosa e trabajo que ejecute personalmente o a través de sus colaboradores, a medida que se vaya desarrollando y una vez que se haya completado,          debiendo realizar en forma oportuna las modificaciones necesarias a la programación. Toda restricción al alcance del examen programado debe comunicarlo oportunamente a su autoridad jerárquica.
Debe evaluar la validez, pertinencia y suficiencia de los elementos de juicio obtenidos en cada auditoría.  Para ello, debe:
a)    considerar la naturaleza y la forma en que se obtuvieron;
b)    considerar la importancia relativa de lo examinado en relación con su conjunto; y
c)    estimar el grado de riesgo inherente a lo no examinado, que dependerá en buena parte del grado de seguridad que ofrezcan las actividades de control de los sistemas involucrados.
2.5. Conclusión:
            Al finalizar cada auditoría, el Auditor debe evaluar si se han obtenido elementos de juicio válidos, pertinentes y suficientes.
Cuando no los halle o tenga dudas, debe ampliar el alcance del examen y/o aplicar procedimientos adicionales, hasta satisfacerse. Ello en la medida que no existan restricciones insuperables, inherentes al ente o sistema bajo examen (inexistencia de información, documentación, etc.) o al Tribunal de Cuentas (recursos insuficientes, vencimientos de plazos acordados, etc.).
2.6.    Informes:.
Los informes deben cumplir con los requisitos o características que correspondan a toda información. En especial, se deben evitar vocablos o expresiones ambiguas o que pudieran inducir a error a los interesados.  Las observaciones deben ser claras, precisas y surgir de elementos de juicio fundados. Las opiniones deben quedar claramente separadas de cualquier otro tipo de información.
Al finalizar la etapa detallada en el punto anterior, el Auditor debe emitir informe fundado respecto del tipo de auditoría realizada, teniendo presente los objetivos y metas fijadas y las normas legales y reglamentarias que fueran de aplicación.
     Dichos informes deben ser destinados a su autoridad jerárquica, para su evaluación y derivación ante quien corresponda.

V - Papeles de Trabajo:

1.  Contenido:
1.1. Los papeles - o soportes magnéticos- de trabajo, que prueban el trabajo realizado por el Auditor y sus colaboradores y respaldan las aseveraciones, opiniones, comentarios y las actas e informes, están conformados por los planes y recomendaciones efectuadas en programas escritos, con la indicación de su cumplimiento y los elementos de juicio o evidencias reunidas en el desarrollo de la tarea.
1.2. Deben contener lo siguiente:
a)  la descripción de la tarea realiza a;
b) los datos y antecedentes recogidos durante el desarrollo de la tarea, tanto aquellos que el Auditor hubiera preparado como recibido de terceros; y
c)  las conclusiones sobre el examen de cada ítem o rubro, las observaciones, las conclusiones particulares y generales y las opiniones y recomendaciones.
2. Requisitos en su ejecución:
2.1.    El diseño específico queda librado al criterio del Auditor y dependerá básicamente del tipo de información que debe contener.       
2.2.  El Auditor debe tener presente las siguientes pautas a respetar en la preparación de un juego de papeles o soportes de trabajo:
a)    debe permitir respaldar las actas e informes;
b)        debe contener indicaciones claras y precisas que le permitan concluir que:
·       todos los pasos del proceso de control se han programado y cumplido; y
·       el sistema de control interno ha sido adecuadamente evaluado;
c)    los elementos de   examinados deben encontrarse perfectamente indicados;
d)    cada planilla o soporte debe indicar la fuente de donde surge su información;
e)    las explicaciones, comentarios y observaciones deben ser claras y concisas;
f)    su diseño debe ser lógico;
g)    el lenguaje empleado debe ser sobrio;
h)      quien prepare el papel de trabajo debe firmarlo, quien lo supervisa también debe hacerlo y siempre debe constar la firma del Auditor.  Cuando existan soportes magnéticos, deberán referenciarse en papeles de trabajo con idénticos recaudos.
i)   debe identificarse el ente controlado, el objeto del examen y la fecha de realización de la tarea;
 j) cuando el volumen de papeles lo justifique, debe utilizarse un sistema de referencias o codificación; y
k) los puntos importantes deben ser resumidos o agrupados para su examen por los niveles superiores.
3. Legajos o archivos:
3.1. Los papeles de trabajo y soportes magnéticos que no sean agregados a un expediente, deben ser archivados por el Auditor sobre alguna base razonablemente sistemática.
       Para ello debe preparar legajos, archivos o carpetas de dos clases: permanentes o continuos y, corrientes o del periodo. Además, en legajos separados, debe llevar         archivo con las copias de actas e informes emitidos.
3.2.    En los legajos permanentes debe reunir todos los datos que, por sus características, resulten útiles para más de una auditoría sobre un mismo ente.
3.3. En los legajos corrientes debe reunir todos los datos que,.por sus características, no serán útiles en otras auditorias sobre un mismo ente.
3.4. El legajo de copias de actas e informes, emitidos, tiene el carácter de permanente.
3.5.    Además, el Auditor debe poseer con carácter de permanente el "Legajo del Auditor de. Sistemas Computadorizados", que contendrá elementos básicos de trabajo (las presentes normas de auditoría, guías de aplicación de procedimientos, modelos de papeles de trabajo y de actas e informes, etc.).

VI- Normas Sobre Informes:

Los informes del Auditor deben ser escritos y cumplir con los requisitos o características que corresponden a toda información; en especial: objetividad, claridad y fundarse en elementos de juicio obrantes en los papeles de trabajo.
Los informes del Auditor se clasifican del siguiente modo:
- informe de Auditoría de Control Interno de Ámbito Computarizado.
- informe de Auditoría de Sistema de Procesamiento de Datos.
- Informe  de Auditoría de Información Computadorizada.

1.    Informe de Auditoria de Control Interno de Ámbito Computarizado:
Es el que emite el Auditor al concluir el relevamiento y evaluación – parcial o integral – del control interno del ámbito computadorizado de un ente, a través del cual expresa sus conclusiones.  El informe debe estructurarse contemplando los siguientes ítems:
- Denominación del ente controlado.
- Detalle de autoridades y responsables del ámbito computadorizado.
- Objetivo del examen.
-   Procedimientos de auditoría aplicados.  Alcance.  Restricciones (cuando corresponda).
-   Aclaraciones o salvedades.
-   Conclusiones:
-   Generales.
-   Particulares.
-   Lugar y fecha.
2.    Informe de Auditoría de Sistema de Procesamiento de Datos-.
Es el que emite el Auditor al concluir la auditoría de un sistema de procesamiento de datos de un ente, a través del cual expresa sus conclusiones. El informe debe estructurarse contemplando los siguientes ítems:
- Denominación del ente controlado.
- Detalle de autoridades y responsables del sistema auditado.
- Objetivo del examen.
- Procedimientos de auditoría aplicados. Alcance. Restricciones (cuando corresponda).
- Aclaraciones o salvedades.
- Conclusiones:
- Generales.
- Particulares.
- Lugar y fecha
3.    Informe de Auditoria de Información Computarizada:
Es el que emite el auditor al concluir la auditoria -integral o parcial- de determinada información computadorizada de un ente, a través del cual expresa sus conclusiones.  El informe debe estructurarse contemplando los siguientes ítems:
- Denominación del ente controlado.
- Detalle de autoridades y responsables de la información auditada.
- Objetivo del examen.
- Procedimientos de auditoria aplicados.  Alcance. Restricciones (cuando corresponda).
- Aclaraciones o salvedades.
- Conclusiones:
- Generales.
- Particulares.
- Lugar y fecha.

 

TITULO 11

Administración de la Auditoría Informática

1.    Planificación-
El Auditor informático debe elaborar el Plan General Anual y ponerlo a consideración de las jerarquías superiores en el plazo que se le asigne.  Para ello, debe tener presente las siguientes pautas:
-        El plan debe entenderse como una guía adecuada con vistas a alcanzar los objetivos y metas de la Auditoría Informática y a la vez cumplir con las restantes tareas en proceso o recientemente  terminadas, pero que requieran continuidad o seguimiento
-           Para ello, debe considerar que:
1)        Las auditorías proyectadas por iniciativa propia deben planificarse siguiendo las siguientes etapas:           
a) Solicitar oportunamente a todos los Fiscales de las “Áreas de Control y Juicio de Cuentas”  requieran a los responsables de todos los entes bajo jurisdicción y competencia del Tribunal de Cuentas la siguiente información mínima sobre cada sistema de procesamiento que opere:
- Denominación.
-  Finalidad.
-  Técnicas de procesamiento (centralizado-descentralizado-distribuido, servicio externo, etc.)
-  Desarrollo y mantenimiento (realizado por el propio ente, servicio externo, etc.)
- Responsable operativo.
b) En base a la información precedente debe seleccionar la muestra de los sistemas a auditar, previendo conceptualmente la naturaleza, alcance y oportunidad de cada auditoría.
2) La proyección anterior debe realizarse sin utilizar un margen razonable previendo conceptualmente la naturaleza, alcance y oportuna de tiempo para atender el cupo de auditorías que puedan ser solicitadas por las “Áreas de Control y Juicio de Cuentas" y "Juicio Administrativo de Responsabilidad”.
3)    La oportunidad de su ejecución, deberá proyectarse sólo como una guía tentativa para ordenar los procesos de control, pero estará sujeto a ajustes toda vez que deberá ceder, en general ante cualquier circunstancia y, en particular, cuando se deban ejecutar auditorías que la superioridad defina como impostergables.
4) Al estimarse tiempos mínimos necesarios para efectuar las auditorias seleccionadas y los trabajos a completar del ejercicio anterior, implica que el plan no cubrirá todo el tiempo disponible durante el año y/o la totalidad de los recursos humanos. los remanentes quedarán disponibles para realizar auditorias que durante la ejecución del plan se soliciten o para reforzar los trabajos que están desarrollándose.
- Durante su ejecución la flexibilidad del Plan estará en función de los objetivos y metas de cada auditoría y dentro del marco dado por la obligación de obtener elementos de juicio válidos, pertinentes y suficientes que respalden los informes.
- Por lo tanto, cuando al modificar el Plan por cualquier motivo, el Auditor estime que no dispondrá de tiempo y/o recursos humanos suficientes para lograr dichos elementos de juicio, deberá ponerlo a consideración de la superioridad en forma inmediata.

2.      Ejecución:      
   Es responsabilidad del Auditor Informático el cumplimiento efectivo del Plan General Anual y, en particular, de la calidad, de los trabajos realizados en cada ejecución del control en los distintos aspectos, a saber: definición de objetivos, programas y procedimientos de auditoría, como así su real aplicación en cuanto a la naturaleza, alcance y oportunidad previstas, validez, pertinencia y suficiencia de los elementos de juicio reunidos y emisión de informes.                                                                       
Los programas específicos sobre cada auditoría a realizar, deberán ser aprobados por el Director de Auditorías con la periodicidad que determine, los avances de la ejecución de la planificación, debiendo informarle en forma inmediata hallazgos de auditoría significativos.

Los plazos acordados deben ser de cumplimiento estrictos, que sólo cederán ante motives de excepción que, a criterio del Director de Auditorías, lo justifiquen.

3.    Coordinación:
La ejecución de las tareas deben coordinarse de tal manera de evitar duplicidad de esfuerzos y/o recursos, con las áreas que tienen a su cargo el control de los entes.
Asimismo, deberán efectuarse reuniones con los distintos Fiscales a efectos de intercambiar opiniones, evacuar consultas, evaluar puntos débiles y soluciones sugeridas, etc., y coordinar la ejecución de las auditorías.
Las solicitudes de auditorías efectuadas por las “Áreas de Control y Juicio de Cuentas" y "Juicio Administrativo de Responsabilidad" deberán canalizarse a través del Director de Auditorías, quien juntamente con el Auditor Informático evaluará las mismas a la luz del Plan en ejecución y de la cantidad y magnitud de los trabajos pedidos; derivando a decisión de Nivel Superior los casos imposibles de satisfacer con los recursos asignados.

 

Noticias

Infobae - Ahora
Infobae
Infobae - Ahora
 
Banner
Banner
Banner