Evaluación de la información y elaboración del informe de auditoría

1. Los hallazgos

1.1. Son la totalidad de documentos preparados o recibidos por el auditor, de manera que en conjunto constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión.

1.2. El Informe de Auditoría, si se precisa que sea profesional, tiene que estar basado en la documentación o papeles de trabajo, además los papeles de trabajo pueden llegar a tener valor en los Tribunales de justicia.

1.3. En los hallazgos se debe incluir: • El contrato cliente/auditor informático y/o la caita propuesta del auditor informático. • Las declaraciones de la Dirección. • Los contratos, o equivalentes, que afecten al sistema de información, así como el informe de la asesoría jurídica del cliente sobre sus asuntos actuales y previsibles. • El informe sobre terceros vinculados. • Conocimiento de la actividad del cliente.

2. El informe

2.1. Características

2.1.1. El Informe deberá ser claro, adecuado, suficiente y comprensible. Una utilización apropiada del lenguaje informático resulta recomendable.

2.1.2. El Informe debe contener uno de los siguientes tipos de opinión: favorable o sin salvedades, con salvedades, desfavorable o adversa, y denegada.

2.2. Estructura

2.2.1. 1.- Identificación del informe 2.- Identificación del cliente 3.- Identificación de la entidad auditada 4.- Objetivos de la auditoría informática 5.- Normativa aplicada y excepciones 6.- Alcance de la auditoría 7.- Conclusiones: Informe corto de opinión 8.- Resultados: Informe largo y otros informes 9.- Informes previos 10.- Fecha del informe 11.- Identificación y firma del auditor 12.- Distribución del informe

2.3. Formato

2.3.1. Informe de auditoría

2.3.1.1. Empresa: (Nombre de la empresa por auditar). Periodo auditado: (Periodo contable que se audita). Encargado de la auditoría: (Nombre del auditor). Destinatario: (Público que podrá consultar el informe). Fecha del informe: (Fecha en que se realiza el informe).

2.3.2. Párrafo de alcance

2.3.2.1. Se especifica el tipo y periodo de los estados financieros que serán auditados y se hace referencia a las Normas de Auditoría generalmente aceptadas.

2.3.3. Párrafo legal

2.3.3.1. Se estipula que conforme a lo establecido, se consideran únicamente el estado de resultados, el balance general y los financiamientos del último año contable.

2.3.4. Párrafo de énfasis

2.3.4.1. Se mencionan aspectos que son relevantes respecto a la economía de la empresa pero que no influyen en la opinión final del auditor.

2.3.5. Párrafo de salvedades

2.3.5.1. Se mencionan aspectos relevantes respecto a la economía de la empresa y si influyen en la opinión final del auditor.

2.3.6. Párrafo de opinión

2.3.6.1. El auditor emite su opinión respecto al estado económico de la empresa basado en su propio juicio.

2.3.7. Párrafo sobre el informe de gestión

2.3.7.1. Se menciona si el informe concuerda con las cuentas anuales de la empresa.

2.3.8. Datos generales del auditor

2.3.8.1. Nombre del auditor y datos registrales del auditor.

3. Las normas

3.1. En 1996 la Unión Europea publicó el Libro Verde de la Auditoría, dedicado al papel, la posición y la responsabilidad del auditor legal.

3.1.1. El Libro acepta las Normas Internacionales IFAC para su adaptación adecuada a la Unión Europea.

3.2. Otra fuente de Normas Internacionales es ISACF. Nuestro país está representado en ISACA por la Organización de Auditoría Informática.

3.3. La normativa española oficial que afecta, en mayor o menor medida, a la Auditoría Informática, es la siguiente: • ICAC • AGENCIA DE PROTECCIÓN DE DATOS

3.3.1. ICAC: Normas Técnicas de Auditoría: punto 2.4.10. Estudio y Evaluación del Sistema de Control Interno.

3.3.2. AGENCIA DE PROTECCIÓN DE DATOS: Instrucción relativa a la prestación de servicios sobre solvencia patrimonial y créditos. Norma cuarta: Forma de Comprobación.

3.4. Dentro de la Unión Europea, la FEE tiene en marcha el Proyecto EDIFICAS.EUROPE. dentro del UN/EDIFACT. en el que España está representada por el IACJCE. que se estructura en cuatro grupos de trabajo: • Mensajes. • Auditoría (Guías de Auditoría de entornos de EDI). • Promoción y Asuntos Especiales.

4. La evidencia

4.1. La evidencia es la base razonable de la opinión del Auditor Informático.

4.2. La evidencia tiene una serie de calificativos; a saber:

4.2.1. La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.

4.2.2. La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.

4.2.3. La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.

4.2.4. La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.

5. Cierre

5.1. El cierre de la Auditoría es la etapa en la que evaluamos los hallazgos y asuntos significativos resultantes de la auditoria, las medidas tomadas para manejarlos y la base para las conclusiones a que lleguemos. Se obtiene evidencia suficiente y adecuada para confirmar o descartar si existe una incertidumbre importante en la continuidad del negocio

5.2. Con estas auditorías se busca evaluar la participación de la gestión administrativa en el manejo, operación y control de los sistemas computacionales asignados a las áreas de sistematización, con el fin de dictaminar sobre el uso correcto, manejo adecuado y explotación eficiente de esos sistemas en el procesamiento de información.

5.3. Estas auditorías también sirven para evaluar la administración del personal y de los bienes informáticos asignados a las áreas de sistemas de la empresa, la administración de los sistemas y métodos de seguridad y prevención de contingencias, así como la adquisición de software y hardware de los sistemas computacionales.