Unidad V
LA AUDITORÍA DE LA FUNCIÓN INFORMÁTICA
CONTENIDO
I.- COMENTARIOS GENERALES
II.- SIGNIFICADO DE LA AUDITORIA
III.- REVISIÓN DE PROCEDIMIENTOS
IV.- ESQUEMA BÁSICO DE LA AUDITORIA OPERACIONAL
V.- AUDITORIA OPERACIONAL DE CENTROS DE PROCESOS ELECTRÓNICO DE DATOS
VI.- AUDITORIA OPERACIONAL DE LOS SISTEMAS ADMINISTRATIVOS DE INFORMACION
VII.- RESUMEN DE ASPECTOS A CONSIDERAR EN LA "AUDITORIA DE SISTEMAS"
COMENTARIOS GENERALES
Si se tratara de resumir en una sola
palabra el objetivo de la auditoria, cualquiera que sea su finalidad, esta
seria: " seguridad".
Al principio fue precisamente la exigencia
de todos los interesados en los negocios de contar con la "seguridad" de que las
cifras consideradas en los estados financieros en los mismos, eran
razonablemente correctas lo que dio origen a esta función.
Siendo la elaboración de los estados
financieros, con todos los aspectos que en su elaboración se involucran, propia
del ámbito de actuación de la contaduría publica, ha sido precisamente dentro de
esta profesión donde la función de auditoria se ha desarrollado.
Los contadores públicos a través del
tiempo ha establecido y afinado toda una gama de requisitos y procedimientos
aplicables a esta labor. Labor que habiendo nacido específicamente orientada al
análisis de las cifras de los estados financieros, para en base a dicho análisis
expresar una opinión, que los contadores llaman " dictamen", con el transcurso
de los años su ámbito se ha ampliado, desarrollándose técnicas para efectuar
auditorias con propósitos diferentes al que inicialmente le dio origen.
Así encontramos que se habla de:
§
Auditoria para fines fiscales.
§
Auditoria operacional o administrativa.
§
Auditoria en informática, etc.
Mas independientemente del objeto para el
cual se practique una auditoria siempre se encuentra involucrado del concepto de
" seguridad"; analicemos:
La auditoria financiera, ¿qué persigue?
Obtener seguridad en que las cifras que se muestren son razonablemente
correctas.
Y la auditoria operacional o
administrativa, obtener seguridad de que la estructura administrativa,
políticas, procedimientos, etc., establecidos en la empresa son los adecuados
para cumplir con los objetivos de la misma bajo la premisa de maximizar los
recursos con que esta cuenta.
La auditoria para efectos fiscales,
obtener seguridad de que se han cubierto correctamente las cargas impositivas a
cargo de la empresa, y se han cumplido con todas las obligaciones que las leyes
en la materia establecen.
Y así sucesivamente cualquier trabajo de
auditoria, independientemente de cual sea su enfoque, siempre tendrá como
objetivo primario el concepto de " seguridad"
El caso de la auditoria de sistemas, no es
la excepción. su objetivo primordial es obtener seguridad que estos se están
explotando racionalmente, analizando todos los aspectos que los rodean, mismos
que se pueden resumir en dos grandes aspectos:
Aspectos administrativos lo cual implica un análisis sobre:
Las políticas establecidas sobre seguridad en computación.
La estructura orgánica y división de responsabilidades en
las áreas involucradas en la operación de los sistemas.
Seguridad física contra incendios
Políticas hacia el personal.
Seguros
Elementos técnicos y de procedimientos lo cual implica
analizar los siguientes aspectos:
La seguridad en los sistemas (equipo y programación, redes,
sistemas terminales, etc. )
La seguridad en las aplicaciones, incluyendo seguridad en
los datos y archivos.
Los estándares establecidos relacionados con la
programación y operación de los sistemas.
Políticas sobre auditoria.
Planes y simulacros en caso de desastres.
La revisión de todos los aspectos señalados anteriormente,
debe ser el objetivo de una auditoria de sistemas, misma que al efectuarse
tendrá como finalidad el evaluar como se están cubriendo cada una ellos, con la
intención de presentar como resultado del trabajo la auditoria en "informe", el
cual debe comprender cuando menos lo siguiente:
Informe sobre la situación real encontrada.
Aspectos donde se detectaron deficiencias y posibles
situaciones de peligro que las mismas puedan llegar a provocar en su futuro.
Medidas de solución que se proponen para subsanar tales
deficiencias.
Los cuadros que se anexan, muestran de
forma resumida los puntos específicos que deben ser considerados en la revisión
de cada uno de los aspectos señalados con anterioridad.
Se incluye además el siguiente material:
Naturaleza de la auditoria.
Normas de auditoria.
El control interno
Como puede verse un organismo.
Análisis del control interno.
-
Auditoria operacional de centros de procesos de datos.
-
Auditoria operacional de los sistemas administrativos de
información.
El material anterior fue tomado de las siguientes obras:
-
Auditoria de Eric. L. Kohler, de Diana.
-
Auditoria Operacional del Instituto Mexicano de
Contadores Públicos, a.c.
Aún cuando el contenido de dicho material
está enfocado al área de la contaduría publica, los conceptos y principios que
en el mismo se tratan, resultan también de gran utilidad para ser aplicados en
el ámbito de la "auditoria de sistemas".
2. SIGNIFICADO DE LA AUDITORIA
Naturaleza de la auditoria
En su acepción más amplia "auditoria"
significa cualquier revisión profesional o no profesional de registros o
informes de contabilidad. Cuando se usa por el contador público, la palabra se
aplica, en su sentido más estricto y profesional, a sus actividades en el
desarrollo de la revisión periódica o examen del balance general.
Hace algunos años se daba mucha atención a
la clasificación del trabajo del contador público. Se proponían definiciones muy
elaboradas de auditoria se hacían intentos de distinguir entre el propósito
extensión y formas de varias clases de informes. Afortunadamente estas
proposiciones han sido olvidadas; si hubieran subsistido, habría sido necesario
llevar al lector sin experiencia contable en estados financieros a través de un
laberinto de practicas técnicas de auditoria para poder darle los pormenores
esenciales que le permitan comprender la actuación del auditor.
En la actualidad se establece cierta norma
mínima, en la actuación del contador público que garantiza cada grupo de estados
financieros en los cuales estampa su firma, pues de otra manera, sería necesario
establecer diversos grados de criterios para los estados financieros, situación
que confundiría a todos especialmente a los mismo contadores públicos.
Los primeros reglamentos y opiniones de la
comisión de valores y cambios de los Estados Unidos, tuvieron el efecto
saludable de conducir al contador a una norma de auditoria, lo cual significa
que si se ha alcanzado un determinado objetivo en la auditoria, el contador
puede expresar una opinión amplia y desarrollada como sea necesaria. Pero si el
contador no puede alcanzar ese objetivo, puede indicar que debido a su
incapacidad para satisfacerse acerca de ciertos puntos o por lo limitado de la
extensión de su examen, no puede dar una opinión.
Antes de intentar una definición sobre el
objetivo de la auditoria es necesario explorar más el significado de una
auditoria periódica o de balance. Originalmente el término sólo se refería al
trabajo del contador en su "verificación" del balance. Cuando se estableció una
practica de presentar a los accionistas un estado de resultados junto con el
balance y el dictamen del auditor en los reportes anuales, los contadores
públicos empezaron a incluir también, en este ultimo, referencias del estado de
resultados; pero por muchos años la técnica de auditoria tuvo pocos cambios.
En el folleto Examination of Financial
Statements by Independent Public Accountants, de 1986, una publicación
oficial del Instituto Norteamericano de Contadores, al estado de resultados y
sus elementos solo se les menciona transitoriamente. Pero el reconocimiento de
la necesidad de ampliar la técnica de auditoria más allá de los limites
tradicionales, ha ido en constante aumento.
No solo se ha generalizado un examen
limitado de varios conceptos de perdidas y ganancias, si no el procedimiento de
auditoria va aún más lejos examinando sistemas de administración que afectan
varios aspectos de la operación de los negocios.
El examen profesional del negocio ha
trascendido de su alcance original, aunque "Auditoria de Balance" es una
expresión todavía de uso común. Actualmente existe alguna tendencia para aceptar
el termino simple "Auditoria" Para designar el trabajo del contador público
antes de predecir su reporte o informe. Se prefiere por algunos el término
"Examen" para indicar mejor la amplitud la labor que el contador público
realiza.
Según se explica aquí, auditoria es una
revisión analítica hecha por un contador público, del control interno y
registros de contabilidad de una empresa mercantil u otra unidad económica, que
precede a la expresión de su opinión acerca de la corrección de los estados
financieros.
Esa opinión es para asegurar a otros que
se han observado normas de información y presentación; para el establecimiento
de dichas normas han contribuidos elementos profesionales y públicos durante
muchos años, a fin de proporcionar una información útil a los lectores de
estados financieros. Siendo los estado financieros resúmenes convencionales de
miles de transacciones que están siempre en constante evolución, no es difícil
imaginarse que las normas para determinar lo que es "útil", continuarán
cambiando en el futuro como han cambiado en el pasado. Por tanto, una parte de
la función del auditor, es tener a su cliente al día en este aspecto, asimismo
debe estar atento a la opinión pública y a los adelantos de técnica.
Los términos de la definición arriba
indicada, no requieren interpretación técnica especial; tienen significado
especifico y entendido comúnmente, entre personas familiarizadas con los
negocios.
Un contador público no solamente examina
los libros de contabilidad; debe conocer cuales han sido los procedimientos
seguidos para el control interno, la eficiencia con os que la administración del
negocio los ha observado y hasta que punto de refleja en las cuentas. O sea que
el considera las cuentas y los estados financieros formulado con las cuentas
como la expresión practica de los principios básicos contables que han sido
aceptados por la administración de negocios y como arreglos a los cuales este ha
operado. La falta de capacidad para proyectar y establecer políticas o hacerlas
efectivas, concierne al contador, por que implica ampliar el límite de su
investigación más allá del plano original, y llevarlo a descubrir
irregularidades de distintas clases. Todo esto es necesario antes de poder dar
su opinión de los estados financieros; su opinión sobre la habilidad de conducir
los negocios claramente hacia el objetivo para el cual han sido establecidos.
Convenciones de auditoria
Cierto número de convenciones prácticas se
han asociado a la auditoria ordinaria. Ayudan a definir más el tipo de trabajo
del auditor, algunas de ellas son las siguientes:
-
Época de ejecución.
La mayor parte del trabajo del
auditor puede ejecutarse ya sea antes o después del ejercicio que se estudia.
En muchos casos el "Trabajador Preliminar" durante el período de auditoria
facilita la inevitable "temporada dura" con la que tiene que enfrentar la
profesión contable; al mismo tiempo el auditor puede corregir prácticas que
sería más difícil de cambiar una vez cerrado los libros.
En organismos en los cuales las
normas de control interno son adecuadas es posible completar la mayor parte de
las pruebas requeridas antes del fin del ejercicio, y el auditor puede estar
seguro que durante el ejercicio las transacciones se han efectuado y
continuarán efectuándose competentemente, y así su trabajo al final del
período se reducirá efectuándose casi a una mera formalidad. En tales casos,
el objetivo de la auditoria permanece sin cambios. Los métodos de auditoria
descritos en los capítulos V a VIII se siguen en varias variables de énfasis y
detalles de acuerdo con lo requerido en cada caso particular.
-
Relación con el control interno
. El control interno
establecido y llevado correctamente por la administración no sólo facilita la
labor del auditor, si no que hace posible una mejor auditoria.
Todo contador público está
familiarizado con lo que ahora es por todos sabidos: que el trabajo de
detalle involucrado en la auditoria varía a la inversa según la eficiencia de
control interno. No todos los contadores públicos han modificado sus
procedimientos de acuerdo con esta teoría. Muchos auditores realizan un
acucioso trabajo que podría eliminarse en gran parte por medio de una mejor
apreciación y comprensión del mecanismo del control interno. Cuando el control
es inadecuado, el examen del auditor debe aplicarse de acuerdo con los
procedimientos descritos en el capítulo XIV; al mismo tiempo, el auditor se
esforzará sin duda en persuadir a su cliente para que refuerce su control
interno de manera que la confianza en los registros de años subsecuentes, sea
mayor. El control interno y su relación con el auditor se tratan ampliamente
en el capítulo IV.
3. Pruebas
selectivas. El examen de las cuentas, en la mayoría de los casos,
depende de la efectividad de las pruebas o muestras. Del significado y exactitud
de un número determinado de asientos en una cuenta, y del examen de cierta
cantidad de comprobantes, se juzgan el significado y exactitud de toda la cuenta
o serie de cuentas. Cuando hay errores de consideración o se descubren otras
irregularidades, el examen debe ampliarse. La calidad del examen depende en gran
parte de la capacidad, experiencia y juicios subjetivos del auditor individual.
En años recientes la profesión ha
prestado una atención creciente a la adaptabilidad de exámenes típicos
hechos por los auditores. Se han experimentado métodos de pruebas y
probabilidades en la auditoria de cuentas por cobrar y otras semejantes
siendo su objeto:
-
Evaluar métodos típicos de pruebas, actualmente en
uso.
-
Simplificar o mejorar estos métodos.
-
Determinar las áreas en las cuales se pueden
emplear métodos estadísticos y
-
Formular normas de auditoria con base cuantitativa.
Se ha logrado cierto progreso y se espera
aún más. Sin embargo, se debe reconocer que no podrá haber un substituto
mecánico para los juicios estadísticos y a las conclusiones y deducciones
derivadas del resultado de tal aplicación.
4. Fraude.
Exceptuando el que sean relevados por procedimientos normales, tanto el
fraude como las irregularidades no se cubren en una auditoria anual; aún en una
auditoria detallada no descubrirá ciertos tipos de fraude. Se reconoce ahora, en
forma general, por contadores y directores de negocios que la protección más
práctica contra los fraudes y otras posibles pérdidas es el control interno bien
establecido y que las auditorías detalladas que quieren cubrir hasta los
procedimientos más comunes son costosas e innecesarias. Esto no quiere decir que
el auditor ya no tenga que mantenerse alerta contra posibilidad de
irregularidades; en realidad sería negligente en su trabajo si dejara de aplicar
ciertos procedimientos bien establecidos de auditoria, anotados en capítulos
subsecuentes, que están específicamente formulados para descubrir ciertos tipos
de prácticas fraudulentas. Pero el descubrir fraudes no es un objetivo
primordial de al auditoria anual.
Normas de auditoria
A principios de 1917 se hicieron los
primeros intentos profesionales para codificar normas sobre las que se pudiera
basar el proceso de auditoria, con el folleto Uniform Accountings: Una
propuesta de prueba hecha por la Junta Federal de la Reserva. Con ligeras
modificaciones; el folleto se publicó de nuevo el año siguiente con el título
Approved Methods for the Preparation of Balance-Sheet Statements. Visto
desde la ventajosa posición actual, el objeto primordial del folleto era
proporcionar el bosquejo de los posibles contenidos de cada uno de los conceptos
del balance. Los métodos a seguir por el auditor se subordinaban al esfuerzo de
asegurar que las distintas partes del balance se clasificaran y describieran
correctamente.
Los dos folletos fueron preparados por
comités del Instituto Norteamericano de Contadores; en 1929, una edición
revisada que se tituló Verificación of Financial Statements, no sólo
repetía las ideas de sus predecesoras, en cuanto a clasificación, sino que
describía ampliamente procedimientos recomendados de auditoria. Hubo otra última
versión. Examination of Financial Statements by Independent Public
Accountants aparecida en 1936.
En ésta, se fijaron procedimientos de
auditoria, la palabra verificación se omitió del título, los estados
financieros se reconocieron como pertenecientes a la administración y la función
del contador público se limitó a una revisión de los estados e implantación de
pruebas específicas para establecer la corrección de los mismos.
El uso del término descriptivo
independiente, practica sugerida por la Ley Federal de Seguridad de 1933, ha
continuado hasta el presente en los reglamentos de la Comisión de Valores y
Cambios de los Estados Unidos y en todas partes, aunque ahora se sostiene de
independencia es sólo uno de los varios atributos esenciales que deberán
caracterizar el trabajo del contador público.
En Mayo de 1939, unos cuantos meses
después de haberse dado a conocer detalles sobre el caso McKessan & Robbins
(complicado con el dictamen de una firma de contadores públicos en unos estados
financieros erróneos) el Consejo del Instituto Norteamericano de Contadores,
aprobó un informe de un Comité Especial sobre Procedimientos de Auditoria.
El informe fijó una base para un examen
más riguroso de cuentas por cobrar e inventarios, los dos renglones más
seriamente afectados en el balance de McKesson & Robbins. También se dio
atención a la forma del dictamen o informe del auditor. Más adelante en el mismo
año, los descubrimientos del Comité fueron recopilados en la primera de una
serie de boletines llamados Statements on Auditing Procedure y un Comité
de Procedimientos de Auditoria se estableció permanentemente. Durante los diez
años siguientes se publicó un total de veinticuatro boletines, la mayoría de
ellos sobre el mismo tema o relativos a problemas surgidos en las auditorias del
tiempo de guerra. Sin embargo, pronto se reconoció que las particularidades
inherentes a la gran variedad de transacciones afrontadas por el auditor en
cualquier empresa, hacían virtualmente imposible formular una especificación de
procedimientos de auditoria, por lo general que fuera; esto motivó que se
suspendiera la distribución de los veinticuatro boletines, y del Examination
of Financial Statements. El comité, en su informe de 1948, declaraba:
Mientras que no es práctico, por los muy
variable de las condiciones que encuentra el auditor, formular algo así como un
programa de reglamento para "todo uso" tratándose de procedimientos de
auditoria, si es posible formular un manifiesto con relación a las normas d
auditoria que debe observar el contador en sus juicios sobre los procedimientos
seleccionados y la extensión de la aplicación de ellos a través de pruebas
selectivas.
El comité procedió entonces a distinguir
entre normas y procedimientos de auditoría; estos últimos se relacionaban con
"reglas de actuación" y las primeras, significaban "la calidad de la observación
de tales reglas y los objetivos a alcanzar con el empleo de los propios
procedimientos.
En octubre de1914 el Comité publicó un
informe preliminar titulado Tentative Statement of Auditing Standards-Their
Generally Acepted Significance ab Scope. En este informe, el Comité dio
Ejemplos de sus ideas respecto a normas. Propuso nueve normas; las cuales fueron
formalmente aprobadas por los miembros del instituto en la junta anual de
septiembre de 1948. Estas son en forma condensada:
Normas generales
-
La auditoria deberá ser dirigida por una persona de
estudios y experiencia adecuada.
-
El auditor debe mantener una actitud mental
independiente.
- "El cuidado profesional debido" se deberá reflejar en la dirección de la
auditoria en el informe.
Normas de práctica
-
La auditoria deberá planearse adecuadamente y los
ayudantes, si los hay, serán supervisados en forma competente.
-
El control interno deberá ser estudiado, y evaluado el
grado de su eficiencia, para determinar la extensión de los procedimientos
de prueba.
-
La evidencia adecuada, obtenida por medio de la
inspección, preguntas y confirmaciones, es un prerrequisito necesario para
poder expresar la opinión del auditor en su informe. Normas respecto a
informes.
-
El informe deberá indicar si los estados financieros
concuerdan con los "principios de contabilidad generalmente aceptados".
-
El informe deberá indicar si estos principios se han
seguido consistentemente o se difieren de los usados en el ejercicio
anterior.
Se consideran adecuadas las
explicaciones en los estados financieros, incluyendo notas aclaratorias, a
menos que se hagan excepciones en el informe del auditor.
De esta manera el instituto, por primera
vez, aprobó formalmente y dio significado al término "normas de auditoría
generalmente aceptadas" un término que constituye una mención importante en
el informe del auditor.
En 1951 el instituto publicó la
Codificación de Statements in Auditing Procedure, que contiene una
recopilación de las normas de auditoria que parecían haber sobrevivido de los
veinticuatro boletines, así como nueve generales más. En capítulos subsecuentes
se harán referencias a aquellas partes de la codificación que continúan
siendo de importancia.
En 1953 el Instituto Norteamericano de
Contadores publicó el CPA Handbook, que trata de varios aspectos del trabajo del
contador público profesional. De interés especial para el estudiante de
auditoria son los Capítulos 13 a 16; estos se refieren a normas, planeación y
control de procedimientos de auditoria, papeles de trabajo y control interno.
3. REVISIÓN DE PROCEDIMIENTOS
LA REVISIÓN DE PROCEDIMIENTOS.
Es una característica de las
auditorias actuales, llevadas a cabo por contadores públicos. Es la revisión de
procedimientos, estudio de las características de operación y estructura de la
organización bajo examen. Esto tiene dos propósitos:
1) Conocer cómo se realizan las funciones del
organismo. Al planear una auditoria y asignar el
trabajo al personal, es esencial tener información sobre la naturaleza del
negocio, su administración y la forma cómo opera. El reconocimiento rápido que
precede a la formulación del memorando de auditoria relativo a un primer
trabajo, es únicamente un "principio". Queda al auditor desarrollar la
investigación de acuerdo con las reglas establecidas por su oficina. Para los
trabajos posteriores, la planeación y asignación se podrán realizar con
conocimiento acerca de la clase de condiciones con las cuales se enfrentará.
2) Para formarse una opinión de la adecuada eficacia y
confianza que puede tenerse en el control interno, por medio del cual se expresa
la política y decisiones de la administración. Tal opinión se requiere, como
base sobre la cual confiar para determinar a extensión de los procedimientos de
prueba del auditor.
Tratándose del primer trabajo, la revisión
que se haga el auditor de los procedimientos será necesaria detallada y amplia.
Se debe llevar al cabo de preferencia durante la auditoria y no posteriormente
al periodo por auditarse, pues las condiciones que releve pueden tener
influencia considerable sobre la extensión y dirección del resto del trabajo en
las siguientes auditorias, la revisión podrá ser general nuevamente o podrá
limitarse a una parte del negocio; siempre se hace con base de rotación para que
en un periodo de 3 ó 4 años se cubran de nuevo todas sus partes.
Muchas firmas de contadores públicos han
ideado una serie de formas impresas que hacen posible una consulta uniforme
acerca de diversos detalles de la organización de cada cliente. Las formas se
llenan en primer lugar por el auditor o por el contador y se revisan
posteriormente por el auditor y su jefe. Son muchos los tipos de formas; algunas
contienen una lista de preguntas que sólo requieren contestar "si" o "no"; otras
piden descripciones de los procedimientos. Se pueden dar razones de peso para
usar cualquiera de estos métodos; pero todos coinciden en que aquél que se
adopte deberá continuar concientemente, y que el cuestionario debe ser corto y
las respuestas breves, si desea evitar que el desarrollo sea sólo superficial.
En las primeras etapas de su práctica
profesional, el auditor se entera de que cada organismo tiene características
propias de operación que no se encuentran dondequiera (que reflejan la habilidad
particular de las administraciones pasadas o presentes), que se han hecho
tradicionales dentro del negocio.
Algunas han producido el éxito del
negocio, en su desarrollo; otras, tal vez, han ocasionado deficiencias, son de
poca importancia y no requieren sugestiones para que sean modificadas; sin
embargo deben ser tomadas en cuenta y estados financieros. En años recientes,
los requisitos legales, el intercambio de información entre directores de
negocios, el desarrollo de literatura sobre administración, las leyes sobre
impuestos y los reglamentos de las oficinas gubernamentales han tendido a
eliminar algunas deficiencias en la conducción de negocios; una situación
afortunada para el auditor, cualquiera que sea su efecto en el futuro de la
empresa privada. Un ejemplo puede observarse en la uniformidad de las sociedades
norteamericanas, que es ahora casi igual, sin importar lugar o clase de
empresas.
Aún así, el auditor siempre deberá prever
en las transacciones, y examinar el reflejo de la propia organización que
requerirá su más minucioso estudio y apreciación critica.
Control interno
En la definición de Auditoria, que
se vio anteriormente, el examen periódico hecho por el contador público se
describe incluyendo, en parte "una revisión analítica y critica del control
interno". Ahora bien, es necesario examinar más minuciosamente el significado de
"Control Interno" y lo que hace el auditor al "revisarlo".
En su más amplio sentido, Control Interno
es "La Metodología General según la cual se lleva a cabo la dirección de un
organismo".
El "Control Interno" es el medio por el
cual se realiza la política administrativa. Sería natural inferir de esto que un
buen sistemas de control interno es sinónimo de buena administración, y que un
mal sistema de control significa una mala administración. Pero no debe
interpretarse que los controles dominantes emanen de métodos de aplicación
autocráticos, rigurosos, o de operación altamente personal. La progresista
empresa moderna, hoy en día, pequeña o grande, es una especie de cooperativa, a
cuyo éxito contribuye los empleados de todas las categorías a través de la
operación de controles interno desarrollados más o menos cuidadosamente. Hay
muchos tipos de control interno. La mayoría se puede describir como planes
instituidos por los principales directivos en el nivel superior y que operan en
otro nivel de la empresa. Entre ellos tenemos los siguientes:
Definición y separación clara de las funciones de
custodia, de operación y contables.
Definición clara y delegación coordinada de
responsabilidades autoridad y rendición de cuentas.
Entrenamiento del personal.
Costos normales.
Presupuestos.
Auditoria interna.
Informes internos.
Actualmente se reconoce que un examen de
control interno es un complemento necesario de toda auditoria anual, o de
balance. La atención dada al control interno en cualquier procedimiento de
auditoria tiene ahora una aceptación tan general que ya no requiere mencionarse,
el conocido: "Hemos revisado el sistema de control interno…", como anteriormente
se hacía, y que era unos de los puntos del informe.
La intensidad con la que el auditor debe
revisar y volver a revisar el control interno, varía de acuerdo con las
instrucciones que se le den y según su propio criterio aplicado en cada caso. No
se han establecido aún por la profesión o por alguna institución reguladora,
normas acerca de cuánto se puede depender del control interno; pues las
prácticas de las firmas de contadores varía grandemente. La única regla aceptada
actualmente es que la revisión del control interno es una necesidad de la
auditoria.
El término tiene un significado más amplio
que la antigua "sistemas de comprobación interno" el cual se refiere únicamente
a tipos de interrelaciones esenciales para establecer protección al efectivo y
documentos al cobro pero en le breve tiempo señalado para el examen anual de una
empresa, el auditor difícilmente puede esperar familiarizarse con todo control
interno proyectado, o en vigor durante la auditoria. Muchos estarán, remotamente
relacionados con el propósito de su examen.
Por otro lado, los miembros de la
profesión y las cuentas de mayor son consecuencia de muchos controles de
operación a los cuales se les prestaba poca atención en el pasado. Un mejor
entendimiento de estos controles, invariablemente, da color y significado a las
cuentas individual y colectivamente que de otra manera no tendría. Una cuenta
tendrá muy poco significado para el auditor si únicamente busca irregularidades
en las transacciones que la forman. Interpretada bajo el punto de vista de la
política del negocio, la cuenta adquiere nueva importancia. Se convierte en un
medio para apreciar estados financieros; el resultado final de la
administración.
Como puede verse un organismo
La conducción de las actividades humanas
dentro de las formas institucionales, de negocios o gubernamentales, puede
considerarse por el auditor como determinante de la división del trabajo en
cuatro niveles de esfuerzo, más o menos definidos. Estos niveles son las
principales divisiones "en sentido horizontal" del negocio, comparables a
primera vista a las que se observan en una gráfica de organización:
Primero el nivel conceptual
o de la empresa; éste es el punto de vista del economista. Para él la
organización es un factor social, que contribuye al bienestar total; se maneja
por un individuo de capacidad compleja (empresario) que promueve la empresa
desde su iniciación y la conserva una vez establecida. Este es el punto de
ventaja de los accionistas y otros inversionistas que contribuyen con capital,
emplean administradores y como grupo constituyen el depósito final de todos los
controles.
Segundo el nivel de al alta
administración, donde los objetivos del organismo y sus propósitos generales
se traducen en políticas. Abarca tanto el consejo de administración o como a los
ejecutivos o funcionarios de una empresa, comprende una corriente continua de
decisiones concernientes a la determinación del carácter general de las
operaciones, productos y servicios con los cuales el negocio, tipo de clientes
localización de plantas y oficinas, sistema de precios, principios de
contabilidad y presupuestos, etc.
Tercero el nivel de control.
Sólo ocasionalmente en éste, un punto claramente establecido dentro de cualquier
organismo. Podrá ser el personal administrativo el encargado de la
transformación de la política en procedimientos; con frecuencia, es una función
secundaria de los administradores y también puede hallarse en áreas normalmente
asociadas con las operaciones. Por ejemplo, un alto grado de autonomía con
respecto tanto a procedimientos como a operaciones podrá atribuirse al
vicepresidente a cargo de una porción aportada del negocio como mantenimiento,
una planta, una línea de productos, etc. En éste nivel hay también una corriente
constante de decisiones: pero decisiones relacionadas más directamente con la
dirección de los distintos sectores de operaciones. Aquí es donde las
actividades, subdivisiones del organismo, programas de operación y control
interno, se autorizan, modifican, consolidan o abandonan; se preparan los
presupuestos y después de adaptarse se imponen; en general es aquel sector de
ala administración en el cual las políticas administrativas se convierten en
realidades de acción.
Cuarto el nivel de operación.
En éste nivel se encuentran las unidades de actividad tanto de la oficina como
de la fábrica, donde el trabajo diario del organismo se organiza, se piden,
reciben, almacenan, fabrican y finalmente se venden los artículos; se emplean
servicios y se aplica a los objetivos de la empresa; además, se tienen en
movimiento las líneas de ensamble. Es para activar y regular este sector que
existen los otros niveles de la empresa.
La división del trabajo que hace posible
la coexistencia de esos niveles se logra por medio de la delegación de
autoridad, responsabilidad y su gradación, a personas colocadas en varios
lugares claves por todo el organismo. Se formalizan tales delegaciones mediante
gráficas funcionales, manuales de oficina u organización e instrucciones
especificas.
En todas las empresas con excepción de las
muy grandes muchas delegaciones son informales y a veces inadecuadas así, un
individuo podrá asignársele la responsabilidad de las compras de un negocio,
pero sin autoridad para restringir a los jefes de departamento par colocar
pedidos directamente a proveedores de su preferencia. La falla en otorgamiento
de la autoridad proviene de la incertidumbre a cerca de que y cuánto de requiere
o se puede asumir, del temor a cerca de que otra persona se pueda " alterar" de
la esperanza de que en alguna forma " los dos se adaptarán a la nueva situación
" o de que el individuo " resolverá su problema por si solo "; de la idea
errónea de que una asignación de responsabilidad trae consigo la autoridad
"necesaria"; las causa son muchas y variadas. En un establecimiento bien
organizado las líneas de autoridad están bien definidas, y las responsabilidades
pueden identificarse inmediatamente con cada individuo.
Con frecuencia sucede también lo
contrario, la adjudicación de autoridad sin atención a la responsabilidad por
los altos ejecutados. Tal vez el mejor ejemplo de esta afirmación sea el
gobierno federal. Hasta que la Ley de Procedimientos Contables y de Presupuestos
de 1950 fue puesta en vigor por el Congreso, la autoridad para autorizar los
gastos de las dependencias del Gobierno recaía sobre empleados conocidos como
oficiales encargados de certificación y pago. No existía verdadera
responsabilidad respecto a los gastos. Los intentos hechos para fijar
responsabilidades a estos agentes con relación a los gastos indebidos, que
existieran dudas a cerca de su honradez, se tradujeron en la votación por el
Congreso de una enorme cantidad de notas de créditos; procedimiento que abarco
más de un siglo.
La disposición contenida en la legislación
de 1950 de reconocer al jefe de la dependencia como la fuente de responsabilidad
y autoridad para todo lo referente a gastos de la misma, fue un reconocimiento
tardío del Congreso sobre la aplicación a asuntos gubernamentales de técnicas
administrativas conocidas desde hace bastante tiempo. No quiere decir esto que
el auditor no encontrará nunca esta misma falta en la empresa privada.
El "disimulo" en los gastos se encuentra
en casi toda actividad humana, y cuando la responsabilidad básica respecto a una
transacción puede ser transferida o no se puede localizar su origen no obstante
que exista el comprobante aprobado con documentos fidedignos, el auditor tiene
un motivo para llamar la atención respecto de una falla muy seria en los
controles internos.
Una fuerza coherente de sostén vertical a
los cuatro sectores horizontales de una organización, un sostén sin el cual esas
entidades separadas no podrían sustentarse fácilmente, se puede designar por un
término que se ha pedido en préstamo a los ingenieros, control de faltas.
Aplicado a una fábrica, el control de falta sugiere la idea de una mesa
controladora que, por medio de dispositivos electrónicos, mantiene un proceso
normal, capacidad de producción, o ambos; o un diagrama estadístico de control
de calidad expuesto a la vista del público que indica el resultado de las
pruebas periódicas verificadas por un inspector y que muestra a todos los
interesados la habilidad de un operador y su máquina para permanecer dentro de
las tolerancias fijadas. Aplicado al personal de ventas, el control de faltas
supone un informe del gerente de ventas al presidente en el cual explica los
obstáculos que ha encontrado para alcanzar una meta prefijada en un plan de
ventas.
Aplicado a la operación de oficinas, el
control de faltas sugiere una comparación con los presupuestos, y una
explicación de las causas de cada variación importante. Siempre se debe contar
con un plan predeterminado, una recopilación de resultados y una acción de
corrección y revisión de planes anteriores. Ante situaciones criticas típicas,
el control de faltas se encontrar o estará ligando cualquiera de los niveles de
los cuales puede ser considerada en una empresa. Bajo la forma de auditoria
interna o externa, e información contable, el trabajo del contador, del auditor
interno y del contador público podrá observarse que se extiende de un nivel a
otro de la organización o a través de todos ellos, hasta el público en general,
que ve el informe del contador público o reacciones hacia los productos de la
empresa.
Análisis del control interno
En la practica de auditoría aparece una
forma simple de análisis de control interno, o cuestionario (A-P 21 -32). Su
propósito es hacer que las prácticas del cliente con respecto a los controles
"de normas" sean objeto de un registro. Una vez lleno el cuestionario se
convierte en una sección importante del archivo permanente y se modifica o
adiciona anualmente, según sea necesario.
Debe observarse que el análisis incluye,
hasta donde es posible, normas generalmente aceptadas de control interno, si el
auditor encuentra que tales normas se cumplen, únicamente hará una indicación
afirmativa. Algunas veces existen ciertas normas, de las cuales cualquiera reúne
los requisitos de buen control; tales casos las normas se describirá brevemente
pero en forma que revele su corrección o incorrección.
Si en algún punto no existe una norma
generalmente aceptada, el auditor debe satisfacerse de que los procedimientos en
vigor proporcionen controles apropiados al negocio; o bien deberá solicitar el
consejo de su jefe principal acerca de un aumento en la extensión de su examen a
fin de explorar la posibilidad de irregularidades de importancia provocadas por
los métodos existentes. Una pequeña falla de los métodos de control interno a
menudo se puede corregir de inmediato mediante una sugestión del auditor; otras
fallas necesitaran de conferencias con los funcionarios, seguidas por un
memorándum a la compañía, en especial cundo hayan ocurrido serias
irregularidades o pueda verlas en el futuro.
En muchos casos de formulará y enviara al
cliente una carta o informe especial, a parte del informe de la auditoria, en le
que hará comentarios acerca de los métodos del control interno. Como ya se dijo
esto forma parte del servicio regular que rinden muchos auditores.
Un requisito primordial del control
interno es que a ningún empleado que tenga a su cargo custodia física de activos
tendrá acceso a los libros de contabilidad, y que los controles contables para
cada clase principal de activo no solamente deben existir, sino que en alguna
forma objetiva deben compran periódicamente con la existencia física en
condición de los activos mismos. En empresas pequeñas donde no es posible la
división de trabajo necesario para el control interno, una descripción breve
sobre los procedimientos generales de operación servirá de sustituto de un
análisis más completo: en tales casos será necesario que en la correspondencia
con el cliente confirmando la auditoria, y también en el informe se indique la
falta de tales controles y la naturaleza del examen efectuado.
Algunos auditores suponen que empresas
pequeñas puede prescindirse del control interno. Esto es un error. El auditor no
solo encuentra en la pequeña oficina muchas de las características del control
interno que son comunes a empresas mayores, sino que, con un poco de esfuerzo él
mismo podrá sugerir otras formas que, usadas en organismos grandes, podrán
también ser utilizadas con la misma eficacia.
Al revisar el control interno el auditor
encontrará que muchos resultados, provienen de su inmediata observación
personal. Las afirmaciones que le suministra el personal del cliente, y en
especial los funcionarios y supervisores deben ser sometidas a pruebas prácticas
si se desea que la realidad y no las suposiciones sean registradas con
veracidad. El auditor experimentado frecuentemente encuentra que los manuales de
contabilidad o de otros procedimientos son anticuados, inadaptables o no han
sido entendidos por las personas que deben aplicarlas. También sabe que casi
todos los procedimientos bien diseñados y cuidadosamente instalados cambian con
el transcurso del tiempo y que una revisión anual de procedimientos traerá a la
luz modificaciones de importancia, que ignoran los directores de la contabilidad
de la organización.
Se trata de que las normas citadas en el
análisis práctico del control interno de los negocios medianos, sean los
requisitos mismos que deben usarse; con frecuencia y especialmente en negocios
más grandes, estas normas se tendrán que alterar o aumentar o habrá actividades
para las cuales se idearán y aplicarán otras.
4. ESQUEMA BÁSICO DE LA AUDITORIA OPERACIONAL
Introducción
Desde fines de los años sesenta, algunos
contadores públicos han venido realizando trabajos de examen administrativos,
cuyo propósito es promover la eficiencia de las entidades. A este tipo de examen
se le ha denominado preponderantemente, auditoria operacional.
La importancia de dictar normas sobre este
tipo de trabajo fue reconocida por el IMCP. En diciembre de 1972, la Comisión de
Auditoria Operacional emitió su primer boletín, con el propósito de identificar
el trabajo de Auditoria Operacional realizado por el contador público,
independiente o no, y con la intención de lograr unificar criterios sobre el
tema.
Desde entonces se reconoció que este tipo
de trabajo, dada su naturaleza, que implica un alto contenido de creatividad,
está sujeto a una dinámica que implica el que su conceptualización y metodología
fueron afinándose a base de aproximaciones sucesivas. Es este el origen de esta
nueva versión del Boletín No. 1 de la Comisión de Auditoria Operacional.
Propósito del boletín
Este boletín persigue definir el
concepto, objetivo, alcance y aplicación de la Auditoria Operacional, así como
su relación y diferenciación con la auditoria Interna, la externa, la
consultoría y otro tipo de trabajos profesionales de naturaleza análoga.
Los criterios aquí expuestos, pretenden
eliminar las divergencias que sobre el tema han existido, adoptando una posición
práctica de identificación de conceptos y aportándose de polémicas doctrinales y
académicas estériles.
Concepto de la auditoria operacional
Debe entenderse por el servicio
que presta el contador público cuando examina ciertos aspectos administrativos,
con la intención de hacer recomendaciones para incrementar la eficiencia
operativa de la entidad.
Este trabajo frecuentemente requiere de un
equipo multidisciplinario. Cuando ello ocurra, el contador público que dirija o
participe en dicho equipo, deberá cuidar que los conocimientos propios y los de
los demás profesionales garanticen un trabajo de calidad.
Objetivo de la auditoria operacional
El objetivo de la Auditoria Operacional se
cumple al presentar recomendaciones que tiendan a incrementar la eficiencia en
las entidades a que se practique.
Existen tres niveles en que el contador público puede
participar en apoyo a las entidades, a saber;
Primero, en la emisión de opiniones sobre el estado
actual de lo examinado.
Segundo, en la participación para la creación o
diseño de sistemas, procedimientos, etc., interviniendo en su formación.
Tercero, en la implantación de los cambios
e innovaciones.
La Auditoria Operacional
persigue: detectar problemas y proporcionar bases para solucionarlos; prever
obstáculos a la eficiencia, presentar recomendaciones para simplificar el
trabajo e informar sobre obstáculos al cumplimiento de planes y todas aquellas
cuestiones que se mantengan dentro del primer nivel de apoyo a la administración
de las entidades, en la consecución de la óptima productividad.
En la práctica de una Auditoria
Operacional, el contador público se circunscribirá al primer nivel de apoyo, ya
que su participación en los demás niveles queda fuera de la práctica de
auditoria operacional. Los niveles segundos y terceros quedan enmarcados dentro
de los que se conoce como trabajo de reorganización, desarrollo de sistemas y
consultoría administrativa.
El auditor operacional, al revisar las
funciones de una entidad: investiga, analiza y evalúa los hechos, es decir,
diagnostica obstáculos de la infraestructura administrativa que la respalda y
presenta recomendaciones que tiendan a eliminarlos.
El auditor operacional hace las veces del
médico general, que diagnostica las fallas (enfermedades) dando pie a la
participación del especialista, que puede ser el mismo u otro contador público,
el que promoverá las soluciones concretas. Esto último corresponde a los niveles
de apoyo segundo y tercero antes mencionados.
Alcance
En este apartado se señalan aquellas que
delimitan la práctica de auditoria operacional, que la identifican claramente y
que la equiparán o distinguen de otros trabajos.
Algunos firman que la auditoria
operacional no debe presentar recomendaciones, que sólo debe conjuntar hechos,
ayudar a la administración a evaluar desempeños y determinar que tipos de
investigaciones adicionales deben hacerse para lograr avances. El diseño de las
recomendaciones es, en opinión de tales autores, responsabilidad de los
encargados de áreas o especialistas en actividades sometidas a evaluación.
La Comisión de Auditoria Operacional del
IMCP, ha mantenido siempre un criterio uniforme sobre esta particular,
considerando que la auditoria operacional debe proponer recomendaciones
especificas en los caso s que se tengan elementos para ello y que de no ser así,
pudieran tener un carácter general, pero en todos los casos deben presentarse
sugerencias para mejorar la eficiencias.
De otra manera, el servicio se vería
restringido, pues sin presentar recomendaciones, en lo general este solo sería
requerido por grandes entidades que tienen el potencial suficiente y los
especialistas necesarios para encontrar las soluciones. En nuestro medio la
tendencia es que la administración requiere no solo se presenten los hechos
comparados contra estándares, si no que exigen del auditor la presentación de
recomendaciones. Así, el servicio de auditoria operacional es más útil y más
acorde a nuestra realidad.
En relación con los elementos del proceso
administrativos que deben ser tomados en cuenta en un examen de auditoria
operacional, la revisión debe ser integral, abarcando todos los pasos de dicho
proceso (planeación, organización, dirección, y control) y no debe restringirse
solo al control.
El boletín No. 2 de esta Comisión -
Metodología en su edición revisada, define a la operación como el "conjunto
de actividades orientadas a logro de un fin u objetivo particular dentro la
entidad, tales como vender, comprar, cobrar o producir ". En dicho boletín
se resalta igualmente la característica de que en el examen de una operación se
consideren todos los departamentos que en ella intervienen y se presentan en un
cuadro de las principales operaciones que pueden darse en una entidad.
Las anteriores referencias son un
antecedente del énfasis que se desea añadir para aclarar de mejor manera lo que
es una operación, evitando dar nuevas definiciones pero incluyendo en su lugar
ciertas comparaciones y reglas simples, que junto con las ya indicadas,
faciliten la formación de un mejor juicio:
1) No es lo mismo un departamento que una operación. En
una operación puede intervenir varios departamentos, bien sea en forma total
o solamente una parte de ellos.
2) No deben confundirse las funciones fundamentales de la
administración con las principales operaciones o funciones de una entidad;
lo que si es importante resaltar es que al revisar las operaciones, debe
considerarse la forma en que ella son planeadas, organizadas, dirigidas y
controladas.
3) Los limites que se establezcan a una operación en una
entidad, deben dar consideración a la posibilidad de realizar una
investigación completa y lógica que aporte sugerencias integrales y no una
visión parcializada y eventualmente errónea de los hechos.
La segregación de operaciones en una
entidad esta más acorde a las funciones tradicionales de la misma (vender,
comprar, producir, cobrar, almacenar, otorgar crédito, invertir, etc. ) que a
cualquier otra consideración.
Operación de la auditoria operacional
Aunque no pueden establecerse reglas fijas
que determinen cuando debe practicarse, sí se pueden mencionar aquellas que
habitualmente los administradores de entidades, los auditores internos y los
consultores, han determinado como más frecuentes:
Para aportar recomendaciones que resuelven un problema
conocido.
Cuando se tienen indicaciones de ineficiencia pero se
desconocen las razones, y
Para contar con un respaldo para la prevención de
ineficiencias o para el sano crecimiento de las entidades.
La auditoria operacional puede realizarse
en cualquier época y con cualquier frecuencia; lo recomendable es que se
practique periódicamente, a fin de que rinda sus mejores frutos. Así, puede
prepararse un programa cíclico de revisiones, en el cual un área sea revisada
cuando menos cada dos años, manteniéndose un examen permanente de aquellas
operaciones que requieran de especial atención del monto de recursos invertidos
en ellas o por su criticidad.
La auditoria interna y la auditoria operacional
En los últimos años se ha notado cierta
tendencia de parte de los auditores internos, de adoptar el término "Auditor
Operacional". Esto obedece a que tradicionalmente la auditoria interna se ha
ligado a la auditoria financiera. Actualmente se considera que el auditor
interno, que no es también operacional se ha rezagado en su practica
profesional. Desde luego debe entenderse que el auditor interno siempre deberá
estar en aptitud de realizar evaluaciones del proceso generador de información
financiera, particularmente cuando en esta área se detectan fallas de
consideración.
La auditoria externa y la auditoria operacional
Las normas de auditoria que rigen, el
examen de estados financieros, obligan al contador público independiente a "…
Efectuar un estudio y evaluación adecuados del control interno existente, que le
sirvan de base para determinar el grado de confianza que va a depositar en el;
asimismo, que le permita determinar la naturaleza, extensión y oportunidad que
va a dar a los procedimientos de auditoria". (Boletín E-02 de la Comisión de
Normas y Procedimientos de Auditoria del IMCP).
Asimismo, el referido boletín señala que
el contador público "Como resultado de este trabajo, esta obligado a formula
sugerencias constructivas para mejorar los sistemas examinados y en
consecuencia, aumentar la eficiencia en la operación de la entidad" .
El examen de control interno que realiza
el contador público independiente para dictaminar los estados financieros, se
enfoca a la medida en que el control interno permite "la obtención de
información financiera, verás y confiable" que es uno de los cuatro objetivos
del control interno, de acuerdo con el Boletín E-02 al que ya se ha hecho
mención.
Por su parte, normalmente el contador
público independiente cumple con la responsabilidad profesional adicional de
informar sobre la situación que guarda el control interno, a través de
comentarios, memoranda sobre situaciones específicas e informes que contienen
recomendaciones orientadas a mejorar el control interno en sus objetivos de
"obtención de información financiera, veraz y confiable" y "protección de los
activos de la entidad".
El mismo boletín E-02 de la Comisión de
Normas y Procedimientos de Auditoria de este Instituto, señala un tercer
objetivo de control interno en las entidades: "La promoción de eficiencia en la
operación de la entidad". Evidentemente, si el auditor externo en su revisión
detecta obstáculos en este propósito, también lo señala en su carta de
recomendaciones.
El énfasis del auditor externo al revisar
el control interno, en consecuencia, es juzgar la efectividad de éste en materia
de su contribución a la confiabilidad de la información financiera; por ello, la
auditoria financiera tiene un propósito prioritario perfectamente determinado,
proporcionar elementos para que el auditor pueda emitir un juicio sobre la
razonabilidad de la información mostrada en los estados financieros.
Consecuentemente, la revisión del control interno, realizada como parte de la
auditoria financiera, no debe confundirse con la auditoria operacional, toda vez
que sus propósitos y metodología son diferentes.
La consultaría administrativa y la auditoria operacional
La consultoría administrativa se ha
desarrollado como una especialidad de los servicios tradicionales del contador
público. El diseño e implantación de sistemas y procedimientos, actividades
propias del consultor, es trabajo subsecuente al diagnóstico de problemas u
obstáculos administrativos; sin embargo, es frecuente que el propio consultor
diagnostique los problemas y posteriormente diseñe e implante las soluciones.
La fase de diagnóstico que realiza el
consultor, por su propósito -detectar obstáculos de la eficacia y la eficiencia
-y su metodología, coincide con el examen de la auditoria operacional, y
consecuentemente, cuando éste es realizado por contador público, se recomienda
se rija por los lineamientos de este boletín.
La auditoria operacional y otros trabajos profesionales
Las diferencias existentes con otras
denominaciones con que se conoce a la auditoria operacional, son exclusivamente
de grado y de forma. Ahondar en polémicas que resultan más gramaticales que
técnicas, es estéril.
En la práctica, los usuarios de este tipo
de trabajos profesionales, no encuentran diferencias substanciales entre ellos y
utilizan sus beneficios indistintamente. Lo que es más, el usuario poco le
importa el título con el que se le designe, lo que le interesa es que se
satisfaga el propósito de diagnosticar obstáculos a la eficiencia de su entidad.
Asimismo, los prestadores de este servicio, tanto internos como externos, en un
alto porcentaje, no encuentran tampoco diferencias concretas entre ellos.
Las denominaciones análogas a la de
auditoria operacional, son, entre otras: auditoria administrativa, auditoria de
operaciones, auditoria de eficiencia, auditoria de la productividad, auditoria
operativa, diagnóstico administrativo, evaluación administrativa y revisión
administrativa.
Independientemente del nombre con que se
le designe cuando es contador público quien realiza u trabajo tendiente a
promover la eficiencia, invariablemente debe garantizarse la calidad del
servicio profesional. Por ello el esquema de referencia básico de este boletín
es el de todos aquellos trabajos profesionales ejecutados por contadores
públicos, o en su nombre, y que persigan como objetivo básico el promover la
eficiencia operativa de la entidad, a través de la presentación de
recomendaciones. Este tipo de servicio profesional debe designarse
preferentemente, como auditoria operacional.
Si la manera de realizar un trabajo y
ciertas peculiaridades de enfoque difieren significativamente, para que pueda
ser calificado con una denominación distinta la de auditoria operacional, pero
el objetivo idéntico, se recomienda se respeten las normas de trabajo y calidad
de la participación del contador público para la auditoria operacional, es
decir, las directrices de actuación relativas a independencia mental,
conocimientos experiencia y evidencias suficientes, así como las etapas
fundamentales que debe respetar el contador público en materia de metodología.
Se recomienda a los prestadores y usuarios
de este tipo de servicio profesional, definir claramente, desde su contratación,
el objetivo, alcance y características, precisándose el producto final del
mismo.
Aunque la Comisión de Auditoria
Operacional no es normativa, el contenido de sus boletines representa
recomendaciones que se espera adopten los contadores públicos miembros del IMCP.
5. AUDITORIA OPERACIONAL DE CENTROS DE PROCESO ELECTRÓNICO DE
DATOS
Introducción
El avance de la tecnología y el
consecuente abatimiento de los costos de los equipos de proceso electrónico de
datos (PED), ha originado que cada vez sea mayor el número de empresas que
utilizan estos equipos como una herramienta para el proceso de información, por
otro lado, las empresas que utilizan el PED, debido a las ventajas que ofrece,
como son principalmente velocidad, exactitud, oportunidad y manejo eficiente de
grandes volúmenes de datos, tienden a incorporar el mayor número de sistemas al
PED en las áreas susceptibles de automatizarse. Esto origina que la información
producida por los centros de PED sea un elemento de suma importancia para la
toma de decisiones en las empresas y para el control adecuado de muchas de sus
operaciones.
Normalmente, los recursos económicos
destinados a la actividad de PED representan cantidades importantes, lo cual
hace indispensable que el rendimiento obtenido sobre dicha inversión deba ser
satisfactorio, o sea, que el aprovechamiento de la capacidad instalada en PED
debe ser el máximo.
A diferencia de la mayoría de las
operaciones que normalmente existen en una empresa, el PED tiene algunas
características especiales que no se presentan en las demás operaciones. Estas
características motivan que la Auditoria Operacional del PED incluya aspectos
especiales en la ejecución y el enfoque de algunos procedimientos.
Estas características son:
1.- Concentración del proceso de información en una función
de la empresa.
Las computadoras son usadas para
procesar información de muchos tipos, independientemente del departamento, área,
localidad, etc., de la empresa donde se generen los datos fuente o se necesiten
los reportes. Debido a esto, en los centros de PED se manejan datos de
diferentes lugares de la empresa, lo cual origina una concentración de las
actividades de proceso de información en una función específica de la empresa,
ya sea una o más localizaciones físicas.
2.- Descentralización de la supervisión del proceso de información.
En los sistemas que no utilizan el PED,
generalmente la ejecución de la mayoría de los procedimientos están bajo la
supervisión y control de un sólo ejecutivo responsable del departamento o área
la que se refiere la operación. Sin embargo, en los casos de sistemas
automatizados, parte del proceso es realizado en el centro de PED, el cual es
una unidad administrativa diferente a aquellas donde se generan los datos fuente
y se utiliza la información.
Lo anterior motiva que la supervisión del
proceso de información en una forma tal, que bajo la responsabilidad de dos o
más ejecutivos, dependiendo del número de departamentos o áreas que generen
datos y reciban información en función de un sistema determinado.
3.- El centro de PED es sólo parte del flujo total de los sistemas.
En la mayoría de los sistemas hay
algunos procedimientos que no es posible o práctico automatizar, originado que
existan partes manuales y partes automatizada. Esto motiva que, considerando las
diversas operaciones de la empresa desde su origen hasta su terminación, el PED
comprenda solamente una parte del flujo total de las operaciones.
Debido a las características anteriores, el alcance de este
Boletín, se limita en la siguiente forma:
Aspectos que incluye:
a. Los centros de proceso electrónico
de datos que forman parte de la organización administrativa de una
empresa y que solamente proporcionan servicio a otras divisiones, áreas
o departamentos de la misma empresa;
b. Todas las funciones realizadas
dentro del centro de PED y que son necesarias para su operación.
Aunque este boletín no cubre en forma
específica los puntos mencionados a continuación, muchos de los aspectos
comentados más adelante son aplicables en la Auditoria Operacional de las
situaciones excluidas.
El PED incluye sólo un a parte de los
sistemas en los que existe algún grado de automatización. En éste Boletín no
se pretende cubrir la Auditoria Operacional de dichos sistemas; sin embargo,
con objeto de estudiar algunas de las funciones propias del centro de PED,
será necesario que el auditor examine documentación relacionada con uno o
varios sistemas, pero sin tener como objetivo la auditoria de los mismos.
Esta situación puede originar que, como
resultado de las irregularidades observadas en la documentación examinada, el
auditor detecte la necesidad de efectuar una Auditoria Operacional de algún
sistema en particular, lo cual debe considerarse como un trabajo adicional a la
Auditoria Operacional del centro de PED.
Centros de servicio, debido a que su
operación incluye algunos aspectos que no existen cuando el centro de PED
forma parte de la organización dentro de las misma empresa.
Mini-computadores, ya que en la mayoría de los casos, los
procedimientos para la auditoria de las operaciones en los que intervienen.
Concepto y alcance de las actividades desarrolladas en los
centros de PED
Un centro de PED es la unidad
organizacional dentro de una empresa de donde: a) se realizan actividades de
procesos de datos, mediante de la utilización de uno o mas de computadores y
otros equipos auxiliares relacionados, para producir información para la toma de
decisiones y ejercer control de las operaciones de una empresa, y b) se
desarrollan los sistemas en que se desea utilizar el equipo de PED como una
herramienta de proceso.
Para efectos de este boletín, el centro de PED abarca, por lo
menos, las siguientes actividades:
1.- La recepción y control de los documentos fuente; la
verificación de que cumplan con requisitos establecidos en cuantos a su
integridad, legibilidad y autorizaciones; la conversión de los datos fuente
a un medio legible por el equipo PED; y verificación de dicha conversión.
2.- El proceso de los datos mediante la operación,
programación y control de las diferentes unidades que constituyen el equipo
de PED.
3.- El manejo de archivos de datos grabados en un medio
legible por el equipo de PED y la actualización de los mismos, en los
sistemas así lo requieran.
4.- La custodia y control de los archivos y programas
grabados en un medio legible por el equipo de PED, así como la documentación
que los ampara.
5.- La conciliación de los datos incluidos en los
reportes con la formación de los documentos fuente, cuando sea aplicable y
la distribución de los reportes.
6.- La identificación y control de las transacciones
erróneas detectadas durante el proceso y el seguimiento de su corrección y
reincorporación al proceso.
7.- El establecimiento y prueba de procedimientos de
respaldo y recuperación del equipo de PED, los archivos de datos, los
programas y la documentación.
8.- El establecimiento y prueba de procedimiento de
respaldo y recuperación del equipo de PED, los archivos de datos, los
programas y la documentación.
9.- El desarrollo de nuevos sistemas susceptibles de
automatizarse (o la conversión de sistemas manuales o mecánicos), incluyendo
el estudio preliminar, la definición de requerimientos y especificaciones
técnicas, el diseño la preparación y prueba de programas, el establecimiento
de procedimientos, la prueba, conversión e implementación del sistema y el
desarrollo de la documentación soporte, relacionada con cada uno de los
puntos anteriores.
10.- El mantenimiento (Modificaciones) a los sistemas y
programas existentes y el desarrollo de la documentación respectiva.
11.- El desarrollo, establecimiento y documentación de
políticas, procedimientos y estándares relacionados con las actividades del
centro.
OBJETIVOS DE LA AUDITORIA OPERACIONAL DE CENTROS DE PED
El objetivo de la Auditoria
Operacional de Centros de PED, es examinar críticamente las actividades
indicadas en el apartados anterior, con la finalidad de detectar problemas que
estuviesen obstaculizando la eficiencia en su manejo o pudiera pones en riesgo
su operación.
Metodología
El método para auditar la operación de los
centros de PED que a continuación se describe, esta organizado de conformidad a
la estructura de la metodología señalada en el boletín No. 2 de esta Comisión.
1.- Familiarización
El auditor debe familiarizarse con el centro de PED mediante
el estudio de:
-
La estructura de organización del centro de PED y su
publicación dentro de la organización general de la empresa.
-
Los planes a corto y largo plazo relacionados con el PED y
su coordinación con los planes y objetivos generales de la empresa;
-
Los manuales de políticas y procedimientos de las
diferentes actividades desarrolladas en el centro de PED, incluyendo su
administración;
-
Los informes resultantes de revisiones efectuadas
anteriormente por auditores internos y externos y consultores;
-
Los antecedentes financieros de la empresa y el impacto que
tienen los costos y gastos del centro de PED en los resultados de operación;
-
Asimismo, el auditor deberá conocer:
-
Cuales don las principales áreas que reciben servicio del
centro de PED y que importancia tienen estas en relación a la empresa tanto
financiera como operativamente;
-
Cuales sistemas están automatizadas y en que grado y cuales
sistemas importantes, susceptibles de automatizarse, no los están;
-
Una descripción detallada de la configuración del equipo de
PED y del sistema operativo, la cual deberá incluir: Marca, Modelo, Cantidad,
Capacidad y Velocidad de la Unidad Central de Proceso, de las unidades
periféricas y otro equipo auxiliar; tipo, versión y proveedor del sistema
operativo y otros programas de operación, así como una descripción de las
modificaciones que se le han hecho, en su caso.
Visita a las instalaciones
Deberán visitarse las instalaciones
correspondientes al centro de PED, incluyendo los lugares donde se guardan los
archivos de respaldo y hacer observaciones sobre:
-
De su ubicación y de la distribución de las áreas de
trabajo y las medidas para restringir el acceso al personal no autorizado.
-
Los controles y aparatos para conservar la temperatura y el
grado de humedad dentro de los limites especificados por el proveedor del
equipo de computo, dentro del área en que se encuentra este instalado;
-
Las medidas establecidas para la detección y contención de
incendios (detectores de humo, prohibición de fumar, sistemas de extinción de
fuego, etc.);
-
El orden y limpieza del equipo y accesorios (Discos,
cintas, tarjetas, disquettes, etc.) y de la documentación;
-
Las condiciones ambientales (luz, ventilación, etc.), y
-
Las relaciones de trabajos entre jefes y subordinados y de
estos entre si;
2.- INVESTIGACIÓN Y ANÁLISIS
ANÁLISIS DE LA INFORMACIÓN FINANCIERA Y OPERATIVA
El auditor deberá obtener y analizar
objetivamente la información que se menciona a continuación, la cual por la
naturaleza de las actividades de los centros de PED, el principalmente
operativa. En caso que la información solicitada no se prepare como parte delas
actividades normales del centro de PED, el auditor debe evaluar el esfuerzo
requerido y la disponibilidad de datos para que se le proporcione y solicitar su
preparación cuando lo considere justificable; independientemente, en la mayoría
de los casos, la falta de este tipo de información normalmente representa
ausencia de elementos de evaluación y control de las actividades del centro de
PED:
-
Presupuesto de gastos del control de PED comparado con los
gastos reales.
-
Estadísticas de tiempo extra trabajado y las razones que lo
motivaron.
-
Reportes de recepción de documentos fuente que incluya
información sobre la documentación recibida después de las fechas y horas
programadas.
-
Estadísticas sobre la captura de datos fuente (número de
golpes por hora y errores por operador).
-
Estadísticas de uso de la unidad central de proceso y del
equipo periférico ( incluyendo terminales remotas) que muestran:
-
Producción normal
-
Reprocesos
-
Corridas especiales
-
Pruebas y compilaciones de nuevos programas
-
Mantenimiento de equipo y sistema operativo
-
Fallas del equipo
-
Tiempo ocioso
Cuando sea aplicable deberá obtenerse el detalle a nivel de participación;
- Reportes de actividad por terminal (frecuencia de uso, duración, errores
de operación, etc.);
- Estadísticas de mantenimiento por cada unidad de equipo (preventivo y por
fallas);
- Estadísticas de entregas de reportes a usuarios con datos sobre calidad,
oportunidad y necesidades de reproceso por errores;
-
Reportes de tiempo incurrido y grado de avance, comparados
contra presupuestos, pos los diferentes proyectos de desarrollo de nuevas
aplicaciones y mantenimiento de las existentes;
- Estadísticas de ocupación de personal, mostrando tiempo productivo, de
entrenamiento, vacaciones, rotación, etc.
Entrevistas
Debido a que esta técnica proporciona al auditor
información valiosa para el desarrollo de su trabajo, se deberá:
-
Planear las entrevistas necesarias para obtener información
sobre la ejecución práctica de las políticas y procedimientos estudiados en la
fase de familiarización.
-
Utilizar cuestionarios que sirvan como guía para obtener
información sobre el centro de PED y las actividades que en él se realizan.
-
Efectuar entrevistas con el personal que el auditor
considere conveniente y que deberán abarcar los siguientes grupos:
-
Personal que trabaja en el centro de PED incluyendo las
siguientes áreas: gerencia, análisis y diseño de sistemas, programación,
operación del equipo, mesa de control y biblioteca de cintas y discos.
-
-
Directivos de la empresa, con objeto de conocimiento el
grado en que participan en el desarrollo de los planes relativos al PED y la
coordinación con los planes generales de la empresa, el grado de supervisión
que ejercen sobre el centro de PED y las expectativas en relación al
servicio que debe proporcionar el centro de PED a la empresa en general.
-
-
Usuarios de los servicios de PED, para conocer el grado
en que participan en el desarrollo de nuevos sistemas, la forma en que se
atienden sus solicitudes de servicio (nuevas sistemas y cambios a los
existentes), la calidad y oportunidad de la información que reciben, el uso
que les dan a los reportes recibidos y la utilidad de la información que
contiene (grado de detalle, formato, etc.) y la naturaleza de las relaciones
con el personal del centro de PED.
-
-
En relación con la información recibida por los usuarios,
es conveniente evaluar si todos los reportes recibidos son utilizados o si
es posible suprimir algunos o reducir la información que contienen.
-
-
Auditores internos y externos para conocer el grado en
que participan en el desarrollo de nuevos sistemas, la naturaleza de las
revisiones que han efectuado al centro de PED y las forma en que utilizan el
equipo de PED como herramienta de auditoria.
-
-
Personal de organización y métodos manuales, para conocer
su relación con el centro de PED y su grado de participación en el
desarrollo de sistemas automatizados.
EXAMEN DE LA DOCUMENTACIÓN
Además de los documentos estudiados en las
etapas de familiarización y análisis de la información financiera y operativa,
el auditor deberá examinar otra documentación, puede ser:
-
Descripciones de puestos.
-
Evaluaciones periódicas de la actuación del personal del
centro de PED. (en relación a este punto y el siguiente deben considerarse los
aspectos que sean aplicables del Boletín de Auditoria Operacional de la
Administración de Recursos Humanos).
-
Programas de entrenamiento para el personal del centro de
PED y los usuarios;
-
Estudios de viabilidad para adquisición y ampliación del
equipo, compra de programas paquete y desarrollo de nuevos sistemas. En
relación a los estudios para la adquisición ampliación de equipo y compra de
programas paquete, el auditor únicamente deberá examinar que la documentación
sea adecuada y que los elementos de juicio, las conclusiones y recomendaciones
sean razonables, ya que la evaluación de los aspectos técnicos relacionados
con estos estudios requieren de conocimientos y procedimientos diferentes a
los necesarios para la Auditoria Operacional de centros de PED;
-
Manuales de estándares de análisis, diseño y documentación
de sistemas, de programación y de operación;
-
Documentación de algunos sistemas importantes;
-
Registros de flujo de documentos y datos dentro del centro
de PED;
-
Registros de datos erróneos con datos sobre su corrección y
reincorporación al proceso;
-
Programas de uso de equipo
-
Bitácoras de uso del equipo (anuales o automatizadas);
-
Procedimientos de custodia, retención y reconstrucción de
archivos y programas;
-
Planes de acción en caso de siniestros o fallas prolongadas
del equipo.
Durante la ejecución de su revisión el
auditor deberá tener presente aquellos aspectos que deben existir en un centro
de PED y cuya ausencia puede efectuar la eficiencia de sus operaciones, con
objeto de evaluar la información obtenida en el desarrollo de los pasos
anteriores y determinar la existencia de posibles problemas. A continuación se
mencionada algunos de los principales aspectos a considerar.
-
Estructura de organización balanceada y con una adecuada
segregación de funciones;
-
Entrenamiento y supervisión adecuados, debidamente
documentados, para asegurar competencia e integridad personal.
-
En este aspecto también es importante considerar la
dependencia que tiene la continuidad de operaciones del centro PED, por la
concentración de conocimientos y habilidades en una persona o un grupo
reducido.
-
Existencia de estándares de actuación y vigilancia de su
cumplimiento;
-
La dirección de la empresa interviene en un grado
satisfactorio en los planes y administración del centro PED y el desarrollo de
aplicaciones y vigilancia su coordinación con las políticas, objetivos y
planes generales de la empresa;
-
Existencia de procedimientos relacionados con el desarrollo
de nuevos sistemas y el mantenimiento de los existentes, que permitan una
administración adecuada de los proyectos, así como una orientación de los
recursos de PED hacia las áreas de la empresa en donde se obtendrá el mayor
beneficio, incluyendo un grado satisfactorio de participación del usuario.
-
La capacidad dele equipo instalado es adecuada para las
necesidades de la empresa a corto plazo y tiene la flexibilidad para
incrementarse de acuerdo a futuros requerimientos. Además, los conocimientos
del personal de PED y el apoyo que proporciona el proveedor del equipo,
permite utilizar el equipo actual en una forma eficiente, tomando en
consideración el uso del sistema operativo y otros programas de soporte
(Software) más adecuados al tipo de aplicaciones existentes;
-
Existencia de procedimientos para programar y controlar
adecuadamente el uso del equipo de PED, incluyendo terminales remotas y para
detectar oportunamente las fallas habidas (del equipo y del personal);
-
Existencia de procedimientos que razonablemente, aseguren
que los datos recibidos son controlados y capturados adecuadamente que la
información es procesada en su totalidad, sin duplicaciones y alteraciones los
reportes son completos, correctos, y su distribución es controlada
adecuadamente; y el proceso de los datos se lleva a cabo de acuerdo a lo
requerido por la aplicación respectiva.
-
Existencia de procedimientos de seguridad y protección que
aseguren razonablemente: acceso restringido a personas no autorizadas a los
datos programas y actividades de operación; medidas preventivas y correctivas
en casos de siniestro y fallas prolongadas del equipo; reconstrucción de
archivos y programas destruidos accidentalmente o por otras causas continuidad
en las actividades de PED en caso de incapacidad del centro de PED de la
empresa para operar normalmente.
3.-DIAGNOSTICO
RECAPITULACIÓN DE HALLAZGOS
Una vez estudiada y analizada la
operación, se hará un resumen de los problemas y fallas detectadas, agrupadas de
acuerdo con el tipo de situación que afecten. Posteriormente deberán
visualizarse las posibles causa y efectos de los problemas detectados.
Discusión del borrador con los involucrados
Debe discutirse con los involucrados el borrador del informe con el objeto de:
-
Asegurarse que se tratan de hallazgos reales, y
-
Que los involucrados coincidan con su existencia,
precisamente en la forma que describe en el borrador.
Uno de los objetivos de está discusión, es convencer a los involucrados con el
fin de que hagan frente común con el auditor al presentar el diagnostico
definitivo a la alta gerencia.
Informe definitivo
En el boletín No. 2 de esta Comisión
se establece el concepto de informe para Auditoria Operacional. En seguida se
incluyen algunos ejemplos de hallazgos y sus interpretaciones que podrían
hacerse en el curso de una Auditoria Operacional de centros de PED y servir de
base para la elaboración del informe final.
No se prepara un programa diario para la utilización de la
computadora
La utilización del computador no se lleva
a cabo con base en un programa en el que se asignen prioridades y tiempos
estimados de procesos. En la practica, el jefe de operación es quien decide el
orden de los procesos a efectuar conforme es informado por los operadores que un
proceso ha sido terminado.
El tiempo ocioso del equipo representa, en
promedio durante los últimos seis meses, un 32% del tiempo disponible dentro del
horario normal de trabajo; esta cifra es mayor en los casos en que el jefe de
proceso se ausenta temporalmente del centro de PED.
Por otro lado, el importe de las horas
extras pagadas al personal de operación se ha incrementado en un 28% durante el
mismo periodo.
Con el objeto de reducir el tiempo ocioso
del equipo de computo y también el tiempo el costo del tiempo extra, es
recomendable se efectúe un estudios de las cargas de trabajo actuales y se
determine la posibilidad de distribuirlas para reducir los picos que motivan las
horas extras. Además, de preparar un programa de los procesos que deben
realizarse diariamente indicando la prioridad para su ejecución y la duración
estimada.
No existen estándares para la documentación del desarrollo de
sistemas y sus modificaciones
Al examinar la documentación de los
sistemas de nominas, cuentas por pagar y estadísticas de ventas, se observó que,
además de encontrarse incompleta en algunos aspectos (principalmente diagramas
de flujo), no hay uniformidad en la presentación y orden de la información que
contienen. Esto se debe a que no se han establecido estándares que indiquen los
requisitos que deben reunir toda documentación relacionada con el desarrollo y
mantenimiento de sistemas.
Lo anterior ha motivado que el tiempo
invertido en hacer modificaciones a los sistemas mencionados, haya sido superior
a un 80% al que se requeriría en circunstancias normales de trabajo, motivando
un incremento en el costo.
Se recomienda que se desarrollen,
documentos e implementen estándares para la preparación de la documentación
relacionada con el desarrollo y mantenimiento de sistemas.
Falta de metodología para la administración del desarrollo de
sistemas
A la fecha de la revisión se encontraban
en el proceso de desarrollo las aplicaciones de control presupuestal y
programación de mantenimiento preventivo de maquinaria. Aún cuando hace diez
meses que se iniciaron loas analistas manifestaron que están en etapa de diseño.
Debido a que no existe un calendario de actividades ni reportes de avances
periódicos, no es posible evaluar el esfuerzo dedicado a estas aplicaciones ni
determinar la fecha que deben quedar terminadas.
Con objeto de controlar y evaluar
adecuadamente el esfuerzo humano invertido en los proyectos, es necesario que se
establezca una metodología formal para la administración de los mismos. Esto
permitirá obtener un mejor aprovechamiento de los recurso y controlar
efectivamente el costo incurrido en cada proyecto.
Tiempo de reproceso excesivo
Las estadísticas de uso del computador,
preparadas para la auditoría, indican que el tiempo promedio utilizado en
reprocesos durante los últimos seis meses, es aproximadamente un 38% del tiempo
total disponible. Las causas principales son el uso de archivos equivocados y la
falta de instrucciones de operación para algunos sistemas.
Debido al impacto que tiene el costo de
los reprocesos en los gastos totales del centro de PED, es conveniente
reducirlos al mínimo posible. Para tal efecto, es necesario que se elaboren los
instructivos de operación faltantes y que se establezca un procedimiento para
solicitar por escrito a la biblioteca los archivos que serán usados en los
procesos a efectuar diariamente.
Reportes no utilizados
Durante entrevistas con varios usuarios se
determino que los siguientes reportes no son usados para propósito alguno:
Nombre del
reporte Periodicidad
Usuario
Ventas por zona
geográfica Mensual
Depto. de ventas
Materiales de
importación Semanal
Depto. de producción
Relación de
cobros en efectivo Diario
Depto. de cobranzas
Cuentas por
pagar vencidas Mensual
Depto. de contabilidad
Aunque estos reportes eran usados
anteriormente, la información que contienen esta incluida en otros reportes
generados por nuevos sistemas. El tiempo de proceso necesario para producir
dichos reportes representa un 4% del total mensual disponible.
Con el objeto de eliminar el costo
innecesario que representa la preparación de los reportes de arriba indicados se
sugiere que su elaboración sea suspendida.
Este boletín de la Comisión de Auditoria
Operacional del Instituto Mexicano de Contadores Públicos (federación de
colegios de profesionistas) presenta la opinión unánime de los miembros de dicha
comisión, y fue autorizado para su publicación por el Comité Ejecutivo del
Instituto.
Aún cuando la comisión de Auditoria
Operacional para la profesión la hacen recomendar el cabal cumplimiento de sus
recomendaciones o bien de la urgente unificación profesional sobre el tema,
considerando que no debe dejarse de cumplir sin la presencia de circunstancias
que claramente obliguen a ello.
6. AUDITORIA OPERACIONAL DE LOS SISTEMAS ADMINISTRATIVOS DE
INFORMACIÓN
Introducción
En el momento que vivimos, la
administración se torna cada vez más difícil y sofisticada. Este ambiente los
sistemas administrativos de información juegan un papel importante ya que
proporcionan los elementos que apoya la toma de las principales decisiones que
afectan el futuro de "informar" a los ejecutivos responsables de la
administración cobra especial importancia en el proceso administrativo de
planeación y control de las operaciones.
El presente boletín se enfoca a los
lineamientos más sobresalientes que debe considerar todo contador público al
efectuar una evaluación de los sistemas de información con los que se cuenta una
entidad, a fin de proponer sugerencias para mejorar la calidad y utilidad de los
informes que se obtienen.
El boletín No. 7 de esta Comisión enumera
las características de la revisión operacional en centros de procesamiento
electrónico de datos, sin embargo, cabe mencionar que el alcance y contenido del
presente boletín no está limitado a la función de operar o administrar un centro
de cómputo sino que trata de evaluar las características principales de los
sistemas administrativos de información independientemente de cuales sean los
medios que se utilicen para procesar los datos, ya sean electrónicos,
electromecánicos o manuales.
La aplicación de este boletín es general,
no se limita a algún tipo de entidad, no obstante, en la sección 6 se incluyen
los conceptos que deben considerarse en los sistemas administrativos de
información de las empresas, como los meros ejemplos.
Propósitos del boletín
Los sistemas de información administrativa
cubren las áreas de planeación, de operación, de control, de evaluación y en
general de comunicación. En este boletín se pretenden abarcar todas esas áreas,
con excepción de la planeación, la cual debe ser objetivo de un boletín
especial, aún cuando se haga una referencia general en este boletín.
Los propósitos que se persiguen al emitir este boletín son
los siguientes:
-
Establecer los conceptos básicos de los sistemas
administrativos de información.
-
Definir el objetivo de la auditoria operacional de los
sistemas administrativos de información, independientemente del medio que se
utilice para procesar los datos.
-
Auxiliar la revisión crítica de la información que se
obtiene de los diferentes sistemas administrativos de información de la
empresa.
-
Fomentar la creatividad de las personas que realizan el
trabajo de la auditoria operacional de los sistemas administrativos de
información.
-
Establecer la metodología aplicable a la revisión de los
sistemas administrativos de información, de acuerdo a ciertas técnicas
disponibles para llevarla a cabo.
-
Ejemplificar los conceptos tratados en el boletín,
indicando los puntos mínimos a incluir en los sistemas administrativos de
información. Para este fin, se incluyen los principales conceptos que están
asociados con los diferentes áreas del control de las operaciones en las
empresas.
Conceptos y alcance de los sistemas administrativos de
información
Por sistema administrativo de información
se entiende de el conjunto de procedimientos que se utilizan para registrar,
clasificar y resumir los datos generados en las operaciones de las empresas o
entidades, con el fin de obtener información sobre el resultado de la ejecución
de estas operaciones.
La calidad de los sistemas administrativos de información
radica en:
-
Exactitud durante el proceso y en la obtención de
información sobre las diferentes operaciones.
-
Oportunidad con que se logra el proceso de los datos.
-
Enfoque de la información, atendiendo las necesidades del
usuario final.
-
Confiabilidad en los diferentes reportes que se obtienen de
los sistemas administrativos de información.
Existen los siguientes tipos de sistemas administrativos
dependiendo del enfoque final de la información que generan:
-
Sistemas de proceso de transacciones, cuyas características
radican en procesar operaciones en volumen y que de los archivos del sistema,
desde los manuales hasta los computarizados, es posible obtener información
con un alto grado de detalle, así como la información resumida. Como ejemplo
de sistemas de proceso de transacciones se sobre las cuentas por cobrar,
control sobre las cuentas por pagar, control de las existencias y valuación de
inventarios, etc.
-
Sistemas de información para la gerencia y sistemas de
respaldo en, las decisiones (*). Estos sistemas están encaminados a
proporcionar información dirigida a los más altos niveles de la organización.
Consisten en concentrar, comparar y
analizar datos obtenidos de los sistemas de proceso de transacciones, con objeto
de apoyar el proceso de toma de decisiones de los administradores y ejecutivos.
Estos sus temas tienen como características principales el estar orientadas a
proporcionar información sobre la problemática de la alta dirección y
complementarse con el uso de modelos de simulaciones o de técnicas avanzadas
para accesar los datos en detalle e incrementar la calidad y velocidad de las
funciones de consulta.
En términos generales se puede afirmar que
la diferencia entre los dos tipos de sistemas indicados, consiste en que el
primero se orienta al proceso de una transacción específica, la cual es validada
y almacenada para posteriormente emitir información para los niveles operativos
de la empresa; el segundo sistema está orientado a los principales directivos y
puede adaptarse el estilo del proceso de toma de decisiones importantes.
Además, los sistemas de proceso de
transacciones se enfocan exclusivamente al proceso de la operación sin
considerar las otras áreas de la empresa o entidad, en cambio, los sistemas de
información gerencial o de respaldo en la toma de decisiones, integran los datos
de varios sistemas en las funciones de la empresa como un todo.
Las siguientes técnicas pueden
considerarse de aplicación general para lograr que la información de cualquier
sistema tenga calidad requerida por los usuarios:
-
Comparación de la información.
Es importante
comparar la información con las operaciones o períodos que la empresa llevó a
cabo con anterioridad y con medidas estándar de eficacia obtenidas en el
proceso de planeación. También, e pueden realizar comparaciones con datos
externos a la compañía como por ejemplo: razones e índices financieros de la
industria a la que pertenece la empresa, estadísticas de ventas y penetración
de mercado u otros datos que pueden estar disponibles en cámaras de comercio o
industria, secretarías de estado, bancos de información, etc.
-
Detección de la información relevante.
La
información debe ser relevante en los aspectos principales que afectan la
operación del negocio. Sobre esta base existen varias técnicas que ayudan a la
presentación de la información para que sea relevante, como por ejemplo:
utilizar cifras en miles, millones, etc., concentrar datos de diferentes
fuentes de información y compararlos, producir información por las excepciones
sustanciales a las políticas establecidas, etc.
-
Análisis e interpretación de la información.
Principalmente en los informes que serán utilizados por los ejecutivos de más
alto nivel, es recomendable que la información se presente resumida y
analizada con objeto de hacer más eficiente el tiempo que el ejecutivo dedica
a la lectura del informe. Este análisis debe incluir la explicación de las
variaciones obtenidas en la comparación de la información, según se surgió en
el inciso anterior.
Objetivos de la auditoria operacional de los sistemas
administrativos de información
Los objetivos de la auditoria operacional
de los sistemas administrativos de información son los siguientes:
-
Evaluar el contenido y la presentación de los informes que
se distribuyen a los diferentes usuarios en todos los niveles de la
organización.
-
Proponer planes de acción específicas para mejorar la
calidad de la información que se obtiene a todos los niveles de la
organización.
-
Recomendar la obtención de reportes adicionales para cubrir
las carencias de información importante para la administración de la entidad
económica, así como el medio más apropiado para lograrlo.
-
Estudiar la relación costo-beneficio que representa para la
empresa el proceso de los dados y la obtención de reportes, con el fin de
proponer medidas tendientes a lograr que esta relación sea favorable y que el
costo se mantenga en niveles aceptables.
La auditoria operacional de los sistemas
administrativos de información se lleva a cabo de conformidad con la metodología
establecida en forma genérica en el boletín No. 2 de esta Comisión; no obstante,
en este apartado se comentan los aspectos particulares aplicables al examen de
los sistemas administrativos de información.
La metodología para llevar a cabo una
auditoria operacional, debe considerarse que los procedimientos se determinan
fundamentalmente por los objetivos y las circunstancias particulares de la
empresa o entidad y por el criterio de la persona encargada de realizar la
auditoria. Asimismo cuando se revisan sistemas administrativos de información,
el trabajo puede incluir todos los informes que sirven a todos los
departamentos, oficinas, secciones o dependencias de la empresa que intervienen
en la operación cotidiana, o bien, determinar un alcance reducido para el
trabajo si las circunstancias así ameritan, en cuyo caso éste será el universo
para la realización de la auditoria.
Familiarización
Además de la familiarización de carácter
general, será necesario conocer la estructura organizacional de operación y los
sistemas que la organización tiene instalados para obtener información.
Es importante determinar el enfoque de los
diferentes sistema de información, sus objetivos, las políticas que son
aplicables a estos sistemas y los medios para el procesamiento de transacciones
que se utilizan en la empresa o entidad.
También es necesario un conocimiento
profundo de las actividades que se realizan, los procedimientos de planeación y
ejecución de los trabajos, el estilo gerencial en práctica y en general, todos
aquellos datos que afectan la operación. Para familiarizarse con las
operaciones, es recomendable visitar las instalaciones y realizar una
investigación inicial, según se explica a continuación:
Visita a las instalaciones
Al realizar las visitas a las
instalaciones, es conveniente no perder de vista la ubicación física que tienen
las diferentes oficinas e instalaciones. Este aspecto será principalmente
importante al analizar la distribución de los diferentes oficinas e
instalaciones. Este aspecto será principalmente importante al analizar la
distribución de los diferentes informes que se producen en la empresa,
particularmente cuando son consultados a través de unidades electrónicas de
consulta.
No se debe olvidar que el principal
objetivo de las visitas a las instalaciones es el de obtener un conocimiento
detallado de la forma de operación de la entidad e involucrarse aún más con las
políticas, administración y procedimientos de control. Es importante
considerar que el óptimo entendimiento de la organización, ayudará a enfocar
mejor las recomendaciones que resulten del análisis que se realice de la
situación de los sistemas administrativos de información.
Investigación inicial
En la investigación preliminar
conviene determinar como se lleva acabo la planeación de las operaciones, con
objeto de identificar el grado de detalle y la calidad de los procedimientos que
se utilizan para pronosticar los resultados y las situación financiera a futuro.
Otros puntos importantes a considerar
durante la etapa de investigación inicial, radican en la obtención de
información sobre las características de la administración del negocio, la
calidad del control interno establecido y la rigidez y elasticidad de los
métodos y procedimientos que se utilizan.
Además en la investigación inicial se
deberá obtener información general sobre la calidad de la información que
proporcionan los actuales sistemas administrativos de información. Por tanto,
los siguientes pasos de la metodología se enfocan en forma directa a los
problemas que afectan la calidad de información que se procesa.
Investigación y análisis
Dentro de esta etapa de investigación y
análisis, tiene relevancia la obtención de ejemplos de la información que se
genera en el proceso de planeación estratégica, en la planeación detallada de
las operaciones y en el control de las actividades, así como evaluar en forma
detallada la calidad del proceso de planeación y la disponibilidad que tiene la
empresa de tener acceso a cifras sobre la industria o el mercado en el cual
participa.
El obtener un ejemplar de cada uno de los
informes que se producen para incluirlo en los papeles de trabajo facilita el
análisis. Las entrevistas con los usuarios con objeto de obtener sus comentarios
sobre la calidad, oportunidad, utilidad y veracidad de los informes que se
evalúan, forma parte de esta etapa.
El determinar las necesidades adicionales
de información del personal de la empresa y documentarlas en forma detallada en
los papeles de trabajo, servirá de base para complementar el diagnostico
realizado.
Al analizar cada uno de los informes que
se producen, se deben evaluar de manera rápida los métodos de recolección de
información fuente y el calculo de resultados, que sirvieron de base para su
elaboración, de tal manera que se cuente con un respaldo objetivo acerca de los
datos contenidos en el informe.
Para documentar los ejemplos de informes
recopilados, se recomienda diseñar un papel de trabajo el cual puede denominarse
"inventario de informes"< que incluya como mínimo la siguiente información para
cada uno de esos informes:
*Nombre del informe
*Breve explicación del objetivo que se persigue con
la obtención del informe
*Utilización del informe
*Breve explicación del contenido
*Frecuencia de preparación
*Persona responsable de su elaboración
*Distribución del informe, mencionando los diferentes
puestos que reciben copia
*Medio que se utiliza para su obtención
*Formato del informe, o sea, si es pre-impreso o no y
en su caso la existencia de formas impresas.
Existe la práctica generalizada de
utilizar formatos pre-impresos para ciertos informes rutinarios, lo que facilita
su elaboración y en ciertos casos mejora la presentación del mismo. Esta
practica ha resultado de gran utilidad para los organismos que la utilizan y es
aplicable tanto para los sistemas de proceso de transacciones como para sistemas
de información general. Es recomendable que en la etapa de análisis se considere
esta posibilidad ya que puede redundar en sugerencias posteriores.
Para documentar los resultados del
análisis realizado se debe elaborarles de trabajo que puede denominarse
"Inventarios de puntos detectados en la revisión "en los cuales se anotarán
todas aquellas inquietudes y observaciones que fueron determinadas durante el
curso del trabajo, sirvan de base para llevar a cabo el diagnostico de la
situación encontrada.
Diagnóstico
En esta etapa, el auditor operacional
deberá asegurarse de la validez de los puntos detectados en el análisis y su
efecto de los objetivos de la empresa.
No deberá perder de vista el correcto
enfoque de sus recomendaciones, las cuales deberán ser practicas y realistas.
Deberá elaborarse un plan de acción para llevar a cabo la implantación de las
mejoras que se hayan propuesto, este indicará claramente el camino que el
auditor operacional propone para solucionar los problemas que han sido
encontrados.
Cuando se elabore el plan de acción deberá
definirse los recursos que son necesarios para llevarlo a cabo. Asimismo, deberá
obtenerse el costo que tendrá la implantación del plan.
También es necesario realizar un análisis
de la relación costo/beneficio que representa la implantación de las
recomendaciones propuestas como resultado del análisis realizado de la situación
de los sistemas administrativos de información ya que de este análisis se
desprenderán el principal respaldo al plan de acción que el auditor operacional
proponga. El análisis de costo beneficio deberá incluir tanto los aspectos
tangibles (Costo y beneficio que pueden medirse en unidades monetarias) como las
intangibles (circunstancias que tienen efecto en los costos y beneficios pero
que no son valorables).
Elaboración y discusión del informe
En esta etapa se elabora un informe
describiendo los resultados de la revisión. Los elementos que deberá contener el
informe serán aquellos determinados durante la etapa de diagnostico y deben
presentarse en forma clara y ordenada. Debe ser dirigido a un nivel lo
suficientemente alto dentro de la organización con el fin de contar con la
aprobación y apoyo al plan de acción que se sugiere.
Un informe de auditoria debe contener como mínimo los
siguientes puntos:
introducción, indicando el alcance y el enfoque de la
revisión.
resumen de la situación encontrada.
conclusión general sobre el estudio.
plan de acción sugerido.
Conceptos asociados a la información que requieren las
empresas
Con el propósito de motivar la creatividad
de los auditores operacionales de sistemas administrativos de información a
continuación se menciona algunos puntos que deben de considerarse al rediseñar
los informes sobre la situación de los recursos en la empresa:
Relativo a finanzas
Informar acerca del cumplimiento del plan estratégico.
Informar sobre los planes y programas específicos que
realizan los ejecutivos, comparados con los presupuestos mensuales,
semanales, etc.
Proporcionar información sobre el manejo y la utilización
del efectivo.
Informar sobre la situación que guardan la existencia de
los inventarios.
Analizar la función de producción en la empresa(costos de
producción, programa de producción, etc.).
Análisis financiero de la situación de la empresa.
informar acerca de la rentabilidad de la empresa.
Relativos a la maquinaria y los equipos
Característica física de la maquinaria y equipo.
Estudio del estado tecnológico.
Análisis de los proyectos de compra o renta de equipo.
Problemas generados por los programas de mantenimiento.
Control de proyectos.
Métodos de trabajo.
Relativo a la función de producción y al mantenimiento de
inventarios
Situación de las ordenes de venta por sufrir,
Situación de las ordenes de compra por recibir.
Respuesta y desarrollo de proveedores.
Programación de producción.
Posición de inventarios y su rotación.
Relativo a los productos o servicios que ofrece la
compañía
Análisis de la situación actual de la compañía
Evaluación de la competencia.
Análisis de las reclamaciones.
Rentabilidad y contribución por línea de productos.
Información sobre costo beneficio de programas de
investigación y mejoras en el diseño de productos.
Información sobre nuevos productos.
Comparación de calidad.
Relativo a la función del mercado
Estadísticas de ventas, pronósticos.
Situación del inventario en poder del cliente.
Rentabilidad por cliente, área geográfica, etc.
Efectividad de la fuerza de ventas.
Efectividad de la publicidad.
Situación del servicio a clientes.
Participación en el mercado.
Relativo a los costos
Análisis de los costos de producción.
Desviaciones en función a costos predeterminados.
Productividad y eficiencia de la mano de obra, tiempos
extras, etc.
Efectos de los costos de la capacidad no utilizada.
Resultados de programas de reducir costos.
Estructuras de precios.
Relativos a planeación de los recursos humanos
Números de empleados y obreros de la empresa.
Rotación de personal.
Análisis de las relaciones sindicales.
Valuación para aumento de sueldos.
Análisis de puestos vacantes.
Otros conceptos importantes
Factores externos (medición de condiciones económicas, su
efecto, etc.).
Presupuestos y programas a largo plazo, así como
planeación estratégica para la empresa a futuro.
Resumen de aspectos a considerar en la auditoria de
sistema
ASPECTOS ADMINISTRATIVOS
©Arredondo Hernandez Edy Paul