curso: auditoría de sistemas: 01 conceptos, estándares, ética
TRANSCRIPT
1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría de SistemasIngeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Sesiones 01 a 06
2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Bibliografía
Mario G. Piattini Velthuis y Emilio del Peso Navarro. Auditoría
informática – Un enfoque práctico. Editorial RA-MA, 2000.
José Antonio Echenique. Auditoría en informática. McGraw-Hill,
2001.
Enrique Hernández Hernández. Auditoría en informática.
Compañía Editorial Continental, 2004.
Carlos Muñoz Pazo. Auditoría en sistemas. Pearson, 2009.
ISACA, COBIT 5
ONGEI. Auditoría de sistemas. Disponible en:
http://www.ongei.gob.pe/publica/metodologias/Lib5002/n00.htm
3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué esperamos encontrar en las empresas?
Economía
Eficiencia
Eficacia Efectividad
Transparencia
Estrategia
Estándares
Mejores prácticas
Gestión
http://www.robeco.es/vision-del-mercado/global-premium/la-filosofia-de-los-tres-circulos.jsp
Ejec
uci
ón
4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Experiencias –la realidad
(in) Cumplimiento de licencias de software -identificar software pirata, control delicencias)
Incompatibilidad del hardware y software –problemas de integración, responsabilidad
Errores frecuentes de la aplicación -“caída”, resultados inexactos, lentitud
Bases de Datos con problemas de integridad
Bajo desempeño del hardware y software –planeamiento de capacidad inadecuado,insuficiente, inapropiado, inexistente
Proyectos con retrasos o que “nunca terminan” –deficiencias de gestión o su inexistencia
Insatisfacción de los usuarios para con los sistemas de información –¿niveles de servicio?¿qué es eso?
Demoras en la atención –más de lo mismo
Corrección frecuente a los programas de las aplicaciones –¿sabemos programar?
Fallas en el control de versiones -¿quién es dueño de la información?
Retrabajos –¿qué pasó aquí?
Alta rotación de personal –aburrimiento, desconfianza, inseguridad
Funciones no establecidas –más de lo mismo y menos S/.S/.S/.
6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgos
• Desconfianza en el servicio
• Pérdida de confianza en la corrección y compleción de la información
• Pérdida o divulgación no autorizada de información valiosa para la empresa
• Manipulación no adecuada o autorizada de la información.
• Acceso no controlado a la información.
• Protección inapropiada contra software malicioso.
• Objetivos institucionales no alcanzados
• Incremento desmedido y no controlado del CAPEX y OPEX
• Pérdida de control de los plazos de entrega
• Retraso en la toma de decisiones.
• Regulaciones incumplidas
7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Impacto
Imagen
Rentabilidad
8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recomendaciones
Implementar políticas de seguridad, apoyar la concientización y las capacitaciones continuas a los usuarios.
Actualizar la política interna de seguridad de la información.
Realizar la definición de las políticas de acceso a la información de acuerdo a los roles y funciones establecidos para los empleados.
Establecer políticas y procedimientos de gestión de activos de información y realizar capacitaciones continuas sobre el tema.
Aplicar criterios de seguridad de la información basándose en los controles estipulados en las buenas prácticas de organismos internacionales como ISO.
Aplicar metodologías para la gestión de servicios de TI.
Aplicar metodologías para la gestión de proyectos como PMBoK.
Realizar e implementar metodologías y buenas prácticas descritas en el documento de detalle referidas a la gestión de la seguridad de la información y controles COBIT.
9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Pero…
¿cómo sabemos que logramos los objetivos?
¿cómo sabemos si obtuvimos los resultados esperados?
¿cómo sabemos cuán bien –o mal- nos fue?
¿cuánto realmente invertimos –gastamos, malgastamos?
CO
STO
TO
TAL
DE
PR
OP
IED
AD
AC
UER
DO
S D
E N
IVEL
DE
SER
VIC
IO
PR
OY
ECTO
RIE
SGO
S
GESTIÓN
10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Inquietudes
¿Está apoyando la función informática las estrategias de negocio?
¿Se utilizan estrategias, estándares internacionales y mejores prácticas en la industria?
¿Están establecidos y maduros los procesos utilizados?
¿Están validados los avances reportados en su función dentro de la empresa?
11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estándares nacionales a considerar
Norma Técnica Peruana NTP ISO
9001:2008
• Sistemas de gestión de la calidad. Requisitos
RESOLUCIÓN MINISTERIAL N° 246-
2007-PCM, Norma Técnica Peruana NTP ISO/IEC 17799:2007
• EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información
RESOLUCIÓN MINISTERIAL N° 129-
2012-PCM, Norma Técnica Peruana NTP ISO/IEC 27001:2008
• EDI Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de seguridad de la Información. Requisitos
Norma Técnica Peruana
NTP ISO/IEC 20000-2:2008
• Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas. 1a Edición
Fuente: http://searchdatacenter.techtarget.com/tip/What-to-look-for-in-a-Tier-III-data-center-provider
12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Costo total de propiedad -TCO
Se utiliza para conocer el costo y riesgos a la hora de invertir entecnologías de la información.
Information Technology Infrastructure Library -ITIL (ITIL, 2013) laconsidera una estrategia del servicio.
Factores intervinientes:
Complejidad de la propia infraestructura tecnológica y de su propiaadministración.
Riesgos de implementación –que crecen con la complejidad de laimplementación.
Riesgos operacionales –periodos de inactividad, pérdida de datos,incumplimiento regulatorio o normativo, entre otros.
Los riesgos podrían generar un mayor costo ante la aparición de undeterminado evento.
Mejores prácticas en la industria.
13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Costos directos (presupuestados –la adquisición del bien).
Costos indirectos y recurrentes (no presupuestados –el uso y mantenimientodel bien) como, pero no limitados a, los siguientes:
De operación.
De maquinaria.
De implantación de las TIC.
De trabajos de consultoría.
De infraestructura (energía eléctrica, espacio físico, climatización, sistemas contraincendio, controles de temperatura y humedad, otros).
Aspectos del uso, mantenimiento, reparaciones, reposiciones, depreciación.
Proyecciones de gastos recurrentes.
Capacitación para el personal de soporte y para usuarios.
Período de inactividad del usuario final.
Investigación y desarrollo, documentación, otros.
Marketing y publicidad.
Beneficios esperados.
14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Acuerdos de nivel de servicio
Con este acuerdo o contrato, el usuario es quien determina el nivel de calidad en laprestación del servicio que proporciona cada proveedor (lo que puede ofrecer), deacuerdo con sus necesidades y expectativas (lo que se necesita y espera), y sujetas a unacuerdo mutuo (lo que se puede obtener y es aceptado).
Un acuerdo de nivel de servicio es parte del diseño mismo del servicio (ITIL, 2013) y se leconsidera una herramienta para la mejora continua del servicio.
15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Según foro-helpdesk.com, el éxito de la implementación de un ANSdepende en gran medida de la correcta elección de los indicadores ylos objetivos a alcanzar para cada uno de ellos.
Un indicador representa algunas de las variables que componen unproceso o servicio brindado –sólo aquellas variables de servicio queestén directamente ligadas con la percepción de calidad por parte delusuario y que respondan a los intereses del negocio son importantes.
Los objetivos estarán relacionados con la eficiencia, la eficacia, laefectividad -o la disponibilidad de dicho servicio.
Téngase presente que los elementos constitutivos deben ser: mediblesy específicos –a mayor detalle, menor ocurrencia de malosentendidos y expectativas no satisfechas.
16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ámbito de solución
Necesidades de los usuarios:
Levantamiento de información.
Consultoría.
Recursos asignados:
Cantidad.
Experiencia.
Calidad.
Tiempo asignado:
Planeamiento.
Diseño / análisis.
Coordinaciones.
Investigación.
Implementación.
Alcances.
Qué sí se hará.
Exclusiones:
Qué no se hará.
Co
sto
s
• Responsabilidades y límites compartidos
• Métricas de Soporte• Indicadores de rendimiento para el
servicio al cliente• Indicadores de rendimiento para la
organización• El precio de la no conformidad
Involucra varias áreas
Aspectos fuera del alcance técnico
Aspectos de posible resolución directa
Aspectos que
requieren mayor
experiencia
Escalamiento
Límite técnico
Límite funcional
Esca
lam
ien
to
17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Procesos: definiciones, terminología
Proceso:
Conjunto de actividades interrelacionadas que interactúan
Transforman elementos de entrada en elementos de salida
Cuentan con retroalimentación
Provee valor añadido -agregado
Tipos
Clave y de soporte
Actividades
Traspaso, control
Entradas y salidas poseen atributos:
Garantizado, uniforme, conforme.
Confiable, estable, íntegro, preciso.
Previsión, profesionalismo, seguridad.
Comunicación clara, concisa, entendible, completa, considerada.
Otros.
Las cosas deben hacerse:- En el momento preciso
- Por quien debe hacerlas
- De manera correcta
–> desde la primera vez
Eficiencia, eficacia, efectividad
R
e
q
u
i
s
i
t
o
s
S
e
r
v
i
c
i
o
s
Recomendaciones, políticas, estándares -buenas prácticas
Capacitación, entrenamiento
Reacción o satisfacción
Aprendizaje
Aplicación e implementación
Impacto en el negocio
18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Beneficios de un proceso bien diseñado
Satisfacción del cliente.
Flexibilidad ante requerimientos del cliente.
Mayor conocimiento y control.
Mejor flujo de información y materiales.
Reducción de tiempos y costos.
Reducción y/o eliminación de burocracia.
Mejora de la cadena de valor.
Economía para la empresa.
Mayor competitividad.
Lograr resultados.
Innovación.
…
19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ATRIBUTOS• Definidos• Documentados• Comunicados• Entendidos• Repetibles• Seguidos consistentemente• Capacidad de realización
Elementos de un proceso
Entradas
PROVEEDOR
PROCESO(Conjunto de actividades
mutuamente relacionadas o que
interactúan, las cuales transforman
elementos de entrada en resultados –
ISO9000)
Salidas
CLIENTE
Mecanismos y controles
Recursos
Requisitos Requisitos• Datos• Materia prima• Materiales• Servicios
• Sistemas de información útil y usable• Producto terminado –o entregado• Servicio implementado -o realizado• Hardware instalado y configurado
ATRIBUTOS• Predecibles• Estables• Consistentes• Medidos• Controlados• Alcanzar resultados esperados
En un proceso las cosas deben hacerse:- En el momento preciso- Por quien debe hacerlas- De manera correcta
–> desde la primera vez
Pro
ceso
s an
teri
ore
s Pro
cesos
po
steriores
Necesidad o expectativa establecida, generalmente
implícita u obligatoria
20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Proceso general de información
21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
La gestión por procesos vs. la gestión por funciones
Fuente: Vicente Andreu, Director de DHO Consultores
22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Control de calidad?
INSUMOS PRODUCTO
EFICIENCIA EFICACIA
LÓGICA PROCESAL LÓGICA DIRECCIONAL
EFECTOS INDESEADOS
EFECTOS DESEADOS
EFECTOS SERENDIPÍTICOS
EFECTOS ANTIPARÍSTASIS
EFEC
TIV
IDA
D
Antiparístasis: interacción de dos opuestos, uno de los cuales, por su oposición, excita y aumenta la fuerza del otro.
Serendipia: un descubrimiento científico afortunado e inesperado que se ha realizado accidentalmente.
BALANCE
RESULTADOS
Capacidad para lograr un fin empleando los mejores medios posibles
Capacidad para lograr el efecto que se desea o se espera, sin que primen para ello los recursos o los medios empleados
PROCESO PROCESO Cuantificación del logro de una meta
Calidad del producto al presentar el máximo de efectos deseados y mínimo de indeseados, reduciendo así los reprocesos, retrabajos y el desperdicio
Cantidad, calidad, espacio y tiempo
PROCESO TÉCNICO ESTRUCTURADO NORMALIZADO
PROCESO TÉCNICO-POLÍTICO REQUIERE CONSTRUCCIÓN DE
VIABILIDAD
Adaptación de: Kilian Zambrano D., 2004,
"Planificación y Control de la Producción Pública"
23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Puntos sugeridos de control
24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Glosario
NAGU: Normas de auditoría gubernamental. Resolución de Contraloría N°162-95-CG.
NIA: Normas internacionales de Auditoría
Statements on Auditing Standards -SAS: Declaraciones sobre Normas de Auditoría
Financial Accounting Standards Board -FASB: Normas de Contabilidad Financiera
NIC: Normas Internacionales de Contabilidad –oficializadas
Normas Internacionales de Contabilidad para el Sector Público -NICSP
¿Qué normas guían el trabajo de los profesionales de auditoría interna?
La Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.
Ley orgánica del sistema nacional de control y de la contraloría general de la república. Ley 27785. Marco normativo.
Aplicables en la obtención
de la evidencia y
preparación de los
papeles de trabajo para
fundamentar la opinión o
dictamen del auditor independiente.
Tienen aplicación en la
formulación de los estados
financieros, que es
responsabilidad de la
gerencia de la empresa.
Normas Internacionales para el
Ejercicio Profesional de la
Auditoría Interna (las Normas),
Código de Ética, Consejos
para la Práctica, y ayudas para
el desarrollo y la práctica
25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría –un enfoque moderno
La auditoría es una función de dirección, un procesosistémico, crítico, cuantitativo y detallista, basado enla evidencia, y realizado por un tercero, competente,distinto y sin relación con quien preparó o serelaciona con la información motivo de la auditoría, yque tampoco tiene relación directa con lainformación que se audita.
Este proceso es necesario para determinar laautenticidad, integridad y calidad de la informaciónque se produce, con el propósito de determinar einformar sobre el grado de correspondenciaexistente entre la información cuantificable y loscriterios establecidos.
26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría –un enfoque moderno
Una auditoría constituye una herramienta de control y supervisión quecontribuye a la creación de una cultura de la disciplina de la organización, alocuparse “fundamentalmente del conjunto de medidas, políticas yprocedimientos establecidos en las empresas para proteger el activo,minimizar las posibilidades de fraude, incrementar la eficiencia operativa yoptimizar la calidad de la información en general”, -un enfoque tradicionalque se veía como algo negativo por la fiscalización inherente.
El enfoque moderno es “proporcionar determinada información a la direcciónpara que pueda evaluar si sus objetivos y metas se están cumpliendoconforme a los esperado o si son efectivos los controles establecidos paraincrementar la eficacia de la empresa partiendo de la evaluación sistemáticadel proceso de control interno de la empresa” -por ejemplo, al descubrir fallasen las estructuras o vulnerabilidades existentes y presentarlas de modoconveniente para que la empresa pueda tomar las acciones correctivasnecesarias.
Fuente: Morell González, Luisa María. “Manual de auditoria interna. Una herramienta indispensable para el auditor”. 2013. Disponible en: http://www.monografias.com/trabajos27/manual-auditoria/manual-auditoria.shtml.http://www.cofinhab.uh.cu/index.php/cofin/article/view/49/49
27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría –un enfoque moderno
Además, “ayuda a la organización a cumplir sus objetivos aportandoun enfoque sistemático y disciplinado para evaluar y mejorar laefectividad de los procesos de gestión de riesgos, control y dirección”.
El objetivo es detectar las desviaciones en cuanto al plan establecido ydetectar los problemas concretos con la finalidad de encontrar lamanera de rectificar las actuaciones y solucionar las contingencias.
La imagen que la auditoría tiene hoy es lade una actividad consultiva y docente queañade valor a la empresa:
Fuente: Hevia, E. “Concepto moderno de auditoria interna”. Partida Doble, número 139, 1999.
Una metodología para auditar normas de calidad orientada a la
gestión de clientes en una empresa proveedora de internet
“Tiene derecho a criticar, quien tiene un corazón dispuesto a ayudar”
Abraham Lincoln
28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Control interno
Es un proceso integral de gestión efectuadopor el titular, funcionarios y servidores de unaentidad, diseñado para enfrentar los riesgos enlas operaciones de la gestión y dar seguridadrazonable que se alcanzarán los objetivos de lamisma, es decir, es la gestión misma orientadaa minimizar riesgos.
El Órgano de Control Institucional –OCI- es launidad orgánica especializada responsable dellevar a cabo el control gubernamental en unainstitución o entidad pública, de conformidadcon lo señalado en los artículos 7 y 17 de la LeyOrgánica del Sistema Nacional de Control y dela Contraloría General de la República.
La finalidad de la OCI es promover la correcta ytransparente gestión de los recursos y bienes dela entidad, cautelando la legalidad y eficienciade sus actos y operaciones, así como el logro desus resultados, mediante la ejecución de laboresde control.
Fuente: http://www.contraloria.gob.pe/http://www.mef.gob.pe/contenidos/Portal_de_Transparencia/cci/Normas_de_Control_Interno.pdf
Normas de control relacionadas a los distintos tipos de control que ejerce tanto la Contraloría General de la República como los demás órganos del Sistema Nacional de Control:1. Normas Profesionales2. Control Previo3. Control Preventivo4. Control Posterior5. Actividades de Control6. Sistema Nacional de Control7. Potestad sancionadora8. Control Interno9. Organización de documentos
normativos10. Soporte y servicios
complementarios11. Aseguramiento de la Calidad
29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Ética? –claro que sí
Código de ética del auditor
gubernamental –Perú
Aptitud de servicio
Calidad de servicio
Compromiso con el país
Cordialidad
Cuidado y esmero profesional
Independencia, objetividad e
imparcialidad
Probidad administrativa
Reserva o confidencialidad
Tecnicismo
Vocación por la verdad y la
transparencia
Instituto de Auditores Internos
Principios
Integridad
Objetividad
Confidencialidad
Competencia
Normas de conducta
Integridad
Objetividad
Confidencialidad
Competencia
Revisar: http://gestion.pe/empresas/cual-importancia-actual-auditorias-internas-2108548
¿Quién puede ser un auditor?¿Qué se necesita para ser auditor?
“Tiene derecho a criticar, quien tiene un corazón dispuesto a ayudar”
Abraham Lincoln
30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Tipos de auditoría?
Gobierno Peruano (MAGU)
Financiera: “proporciona certidumbre sobre aseveraciones de la administración”
Gestión: “identifica situaciones que inciden en la gestión y promueve mejoras en efectividad, eficiencia y economía, y en los controles gerenciales”
Especial: “identifica deficiencias de carácter financiero-operativo e incumplimiento a la normativa legal”
Operacional
Eficacia de los sistemas de administración y de los instrumentos de control interno incorporados a ellos.
Eficiencia, eficacia, y economía de las operaciones.
NO CONFORMIDAD
Es aquella confrontación de lo escrito con
las pruebas de lo acontecido y las
respectivas referencias de los registros. El
auditor observa la exactitud, integridad y
autenticidad de tales demostraciones,
registros y documentos que fueron
elaborados por una empresa durante un
periodo determinado.
32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Tipos de auditoría?
Ambiental (un sistema)
La auditoría ambiental es una parte integrante de un sistema de gestión ambientalen el que la gerencia determina si los sistemas de control ambiental de laorganización son adecuados para asegurar el cumplimiento de requerimientosregulatorios y políticas internas.
Determinar si las operaciones cumplen con las regularizaciones.
Determinar si los pasivos en las transferencias de propiedad se minimizan.
Determinar si los operadores contratados para el tratamiento de desechos/poluciónson competentes.
Determinar si las decisiones sobre administración ambiental son tomadas sobre basesfácticas.
Determinar la identificación y seguimiento de requerimientos regulatorios, ydeterminar la distribución de la información.
Determinar el cumplimiento real (riesgo legal) de las leyes, regulaciones ambientales ylas políticas y procedimientos organizacionales.
Evaluar la efectividad de los sistemas de gestión ambiental.
Determinar los riesgos operativos de negocios y financieros de las prácticas ambientalesactuales.
Fuente: http://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2001/segundo/objetivos_procesos_auditor%C3%ADa.htmhttp://sisbib.unmsm.edu.pe/bibvirtual/publicaciones/quipukamayoc/2000/primer/audito_medio.htm
http://www.profepa.gob.mx/innovaportal/v/542/1/mx/auditoria_ambiental.htmlhttp://datateca.unad.edu.co/contenidos/358033/358033_CORE/leccin_1__auditora_ambiental_definicin_aspectos_generales_de_la_aud
itora_ambiental_historia_de_la_auditora_ambiental.html
Un sistema de gestión ambiental es una estructura organizacional de responsabilidades y políticas, prácticas, procedimientos, procesos y recursos para proteger el ambiente y administrar cuestiones ambientales.
33
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Tipos de auditoría?
Proyectos de Inversión Pública
Auditoría de fases o etapas concluidas. Consiste en evaluar el logro de losresultados y/o el cumplimiento de disposiciones legales aplicablesrelacionadas con el objeto de auditoría.
Si corresponde se evaluará, por ejemplo en función dela importancia delobjeto de la auditoría, la pertinencia de opinar sobre la eficiencia y/o laeconomía con que se lograron los resultados de la fase o etapa objeto delexamen.
Auditoría de fases o etapas sin concluir. Consiste en evaluar si lossistemas operativos diseñados y los efectivamente implementadosaseguran:
El logro de los objetivos; y/o
La utilización eficiente de los recursos en el funcionamiento del sistema; y/o
El uso económico de los recursos en el funcionamiento del sistema; y/o
El cumplimiento de la legislación y normativa aplicable.
Fuente: http://cybertesis.unmsm.edu.pe/bitstream/cybertesis/2851/1/noriega_mj.pdfhttp://doc.contraloria.gob.pe/libros/2/pdf/rc_177_2007_cg.pdf
34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Etapas de un proyecto de inversión
IDEAS
PERFIL
PRE FACTIBILIDAD
FACTIBILIDAD
ESTUDIOS DEFINITIVOS (DISEÑO
TÉCNICO)
EJECUCIÓN(INVERSIÓN)
OPERACIÓN (FUNCIONAMIENTO)
• Problemas a resolver• Oportunidades
• Análisis de la demanda (juicio o experiencia)
• Negociaciones sobre financiamiento• Construcción e instalación• Capacitación y organización• Pruebas y puesta en marcha
• Inversiones probables, los costos de operación y los ingresos que demandara y generara el proyecto
• Estudio de recursos• Tecnología• Tamaño• Localización • Planes de desarrollo y estrategia
Si el proyecto es viable en todos sus aspectos
Entonces el proyecto es factible
PRE INVERSIÓN
35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Tipos de auditoría?
Informática o de Tecnologías de la Información y la Comunicación –TIC (un sistema)
A la confidencialidad, integridad, disponibilidad y confiabilidad de la información.
Al uso eficaz de los recursos tecnológicos.
Al ciclo de vida de sistemas
A un sistema en operación
A controles generales del computador
A la administración de la función informática
Auditoría a las microcomputadoras aisladas
Auditoría de redes
….
A la efectividad del sistema de control interno asociado a las Tecnologías de la Información y la Comunicación.
Fuente: http://bibliotecavirtual.olacefs.com/gsdl/collect/guasyman/archives/HASH0155.dir/ManualAuditoriaGestionTICs.pdfhttp://sisbib.unmsm.edu.pe/bibvirtualdata/publicaciones/indata/Vol6_n1/pdf/auditoria.pdf
36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Tipos de auditoría?
Tributaria
La auditoría del área fiscal persigue un doble objetivo: en primer lugar comprobarque la compañía ha reflejado [cumplido] adecuadamente las obligacionestributarias, en función del devengo, habiendo provisionado correctamente losriesgos derivados de posibles contingencias fiscales, y, en segundo, si se haproducido su pago efectivo según los plazos y de acuerdo a los requisitos formalesestablecidos.
La auditoría fiscal es el proceso sistemático de obtener y evaluar objetivamente laevidencia acerca de las afirmaciones y hechos relacionados con actos yacontecimientos de carácter tributario, a fin de evaluar tales declaraciones a la luzde los criterios establecidos y comunicar el resultado a las partes interesadas.
Ello implica verificar la razonabilidad con que la entidad ha contabilizado lasoperaciones económicas resultantes de sus relaciones con la hacienda pública –sugrado de adecuación [cumplimiento] con Principios y Normas Contables Ge-neralmente Aceptados– debiendo para ello investigar si se han presentado lasdeclaraciones tributarias oportunas, y si se han realizado de una forma razonablecon arreglo a las normas fiscales de aplicación.
Fuente: ftp://ftp.usmp.edu.pe/separatas/FCCEF/SilabosPregrado/ESCUELA%20CONTABILIDAD%20Y%20FINANZAS/CICLO%20X/ESPECIALIDAD%20DE%20TRIBUTACI%D3N/AUDITORIA%20TRIBUTARIA/MANUAL%20AUDITOR%CDA%20TRIBUTARIA%20-%202013%20-%20I%20-%20II.docxhttp://www.ief.es/documentos/recursos/publicaciones/libros/Investigaciones/Inves2003_09.pdf
37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Tipos de auditoría?
Calidad
Métodos.
Mediciones.
Controles de los bienes y servicios.
Social
Revisa la contribución a la sociedad así como la participación enactividades socialmente orientadas
Muchos otros tipos
Legal
De procesos
Parcial
Global
Programada
Extraordinaria
…
38
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Algunas definiciones
Acción correctiva Acción tomada para eliminar una no conformidad detectada u otra situación indeseable.
Acción preventivaAcción tomada para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable.
Auditado Organización que es auditada.
Auditor Persona con la competencia para llevar a cabo una auditoría.
Conclusiones de la auditoría
Resultado de una auditoría que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.
Conformidad Cumplimiento de un requisito.
Criterios de auditoría Conjunto de políticas, procedimientos o requisitos.
Defecto Incumplimiento de un requisito asociado a un uso previsto o especificado.
Equipo auditorUno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos.
Evidencia de la auditoría
Registros, declaraciones de hechos o cualquier otra información que sea pertinente para los criterios de auditoría y que sea verificable.
Evidencia objetivaDatos que respaldan la existencia o veracidad de algo, obtenidos por medio de la observación, medición, prueba, etc.
Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor.
Hallazgos de la auditoría
Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.
¿tipos?
¿cliente?
Juicio experto
39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Algunas definiciones
NO CONFORMIDAD INCUMPLIMIENTO DE UN REQUISITO.
Plan de auditoría Descripción de las actividades y de los detalles acordados de una auditoría.
Procedimiento Forma especificada para llevar a cabo una actividad o un proceso.
ProcesoConjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en resultados.
Programa de auditoría
Conjunto de una o más auditorías planificadas para un período de tiempo determinado y dirigidas hacia un propósito específico.
RegistroDocumento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas.
Sistema de gestiónEs el conjunto de elementos mutuamente relacionados o que interactúan para establecer la política y los objetivos y para lograr dichos objetivos.
Verificación Confirmación mediante evidencia objetiva del cumplimiento de los requisitos.
Fuente: Norma Técnica Peruana NTP-ISO 19011:2012 Directrices para la auditoría de los sistemas de gestión
40
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Cliente
El cliente es la persona u organización que solicitauna auditoría.
Funciones:
Definir los objetivos de la auditoría.
Determinar las normas de referencia a emplear.
Seleccionar o contratar al personal auditor.
Determinar el período de duración de la auditoría.
Colaborar en todo momento con el auditor.
41
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Funciones del auditado
Nombrar a un interlocutor entre el auditor y el cliente.
Disponer de los medios suficientes para la ejecución de la auditoría yponerlos al alcance del auditor.
Proponer, implantar y dar fe de las acciones correctivas adecuadas alas no conformidades registradas en el informe final.
Fuente: http://portaljuridico.lexnova.es/articulo/JURIDICO/25766/auditorias-ambientales-i-definiciones-objetivos-caracteristicas-generales-y-participantes
La figura del cliente y del auditado coincide en la misma organización o persona, cuando ésta encarga a un tercero, una entidad de certificación, por ejemplo, la realización de una auditoría de su propio sistema de gestión ambiental, a fin de obtener un certificado.
42
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Categorías de auditor
Auditor
Persona con la competencia necesaria para realizar la auditoría bajo la dirección del líder del equipo.
Líder del equipo auditor; sus funciones son:
Dirigir, planificar y ejecutar la auditoría.
Informar al auditado acerca del plan de auditoría –interlocutor principal.
Elaborar el informe final de no conformidades.
Verificar la eficacia de las acciones correctivas adoptadas a raíz del informe.
Conservar los documentos y registros de la auditoría o entregarlos para su conservación en poder del auditado, respetando la confidencialidad.
Pueden sumarse a los auditores otros colaboradores, tales como auditores en prácticas, traductores e intérpretes o, incluso, observadores –todos los cuales deben permanecer neutrales en cuanto al desarrollo de la auditoría y no interferir en su ejecución.
43
Mg, Ing. Jack Daniel Cáceres Meza, PMPPara salvaguardar el principio de independencia, el auditor interno debe ocupar un nivel
jerárquico en la empresa suficiente para que se sienta respaldado en su actuación
Fuente: http://www.mcgraw-hill.es/bcv/guide/capitulo/8448178971.pdfhttp://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf
44
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Cómo hacemos una auditoría? –características generales (1)
Disponibilidad de personal competente.
Establecer, previamente, el objetivo, alcance y criterios empleadospara determinar la conformidad.
Realizar el acopio y revisión de la documentación pertinente –incluyendo los registros e informes de auditorías previas.
Establecer los oportunos contactos, mediante reuniones previas y deapertura, entre el cliente, el equipo auditor y el auditado. En estasreuniones se explicará el objetivo de la auditoría y las líneas generalesde actuación durante su desarrollo.
Revisión de la documentación, para comprobar que la organizaciónposee los Procedimientos e Instrucciones técnicas que le sonaplicables. Del mismo modo, se debe comprobar que la emisión ycontrol de los documentos se realiza de manera adecuada.
45
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Cómo hacemos una auditoría? –características generales (2)
Examen de los registros y evidencias documentales que demuestren elcumplimiento de las disposiciones del sistema de gestión ambiental.
Se evaluarán, solamente, las evidencias objetivas y contrastadas.
En caso de detectarse una posible deficiencia, se investigará, hasta confirmarla ono, averiguando si es fortuita o sistemática, y, si es posible, se identificarán suscausas y efectos.
Se realizará un seguimiento exhaustivo de las anomalías detectadas en anterioresauditorías.
Supervisión directa de los procesos, para comprobar que las actividades sedesarrollan conforme a lo previsto en la documentación del sistema degestión.
Realizar una reunión con el auditado, o persona delegada, al que expondrá lasdesviaciones encontradas, para obtener su acuerdo con éstas o para queformule sus observaciones y, conjuntamente, proponer las accionescorrectivas y preventivas pertinentes.
Redactar el Informe de Auditoría.
46
Mg, Ing. Jack Daniel Cáceres Meza, PMPAdaptado de: M.C.T.C. Adrián Zaragoza Tapia
Red de los Sistemas Bibliotecarios de las Universidades del Centro –RESBIUCReunión de Auditores Internos de Calidad para el análisis de hallazgos de auditoria, 2012
3.9.5 hallazgos de la auditoríaresultados de la evaluación de la evidencia de la auditoría (3.9.4) recopilada frente a los criteriosde auditoría (3.9.3)
NOTA Los hallazgos de la auditoría pueden indicar conformidad (3.6.1) o no conformidad (3.6.2) con los criterios de auditoría, u oportunidades de mejora.
auditoria
criterios
evidencia hallazgo
resultadosdiscretos o continuos
conformidad
no conformidad
ISO 9000:2005
ÁREA DE CONTRASTACIÓN
ÁREA DE INTERPRETACIÓN
0 ….. 1
ZONA DE SESGO DISCRECIONAL
ZONA DE SESGO OBSERVACIONAL
PERCEPCIÓN DEL AUDITADO
PERCEPCIÓN DEL AUDITOR
evaluación
evaluación
¿observación?
Aparición de una diferencia en los resultados o conclusiones experimentales debido a asuntos personales, culturales o antecedentes. Tipos: entrevistador, los recuerdos y la clasificación errónea.
Intencional, selectivo, representativo.
47
Mg, Ing. Jack Daniel Cáceres Meza, PMP
RESBIUCREUNIÓN DE AUDITORES INTERNOS DE CALIDAD PARA EL ANÁLISIS DE HALLAZGOS DE AUDITORIA
ISO 9001:2008
8.2.2 Auditoría interna
Se debe planificar un programa de auditorías tomando en consideración el estado y laimportancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas.Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y lametodología. La selección de los auditores y la realización de las auditorías deben asegurar laobjetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propiotrabajo.
criterios de auditoría
alcance
frecuencia
metodología
Programa de auditoría
Necesario para la
redacción de hallazgosde auditoría
Adaptado de: M.C.T.C. Adrián Zaragoza Tapia
Recordemos: una auditoría evalúa el grado en el que el sistema es eficaz
48
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Comunicación efectiva: la responsabilidad es tanto del emisor como del receptor
Características
El transmisor debe establecer credibilidad, debe conocer el tema, conocer aquien y cómo se debe emitir el mensaje para evitar malos entendidos.
El mensaje debe mostrar componentes intelectuales (lenguaje que nosayude entender y razonar) y componentes emocionales (las emociones ysentimientos explican nuestro sentir sobre el mensaje).
El receptor debe escuchar y entender el mensaje para responder efectivamente a la situación.
El mensaje debe ser claro, organizado, preciso (datos correctos, concretos y medibles), objetivo, veraz, correcto, completo, conciso, asertivo, convincente.
Fuente: http://comunicacion-efectiva.blogspot.com/2006/10/comunicacin-efectiva-definicin-y.htmlhttp://www.eoi.es/blogs/mintecon/2013/06/11/la-comunicacion-efectiva-en-las-empresas/
http://promocionyturismo.galeon.com/productos2058802.html
Barreras:• Creemos que lo que comunicamos es
tan claro para los demás como lo es para nosotros.
• Creemos que todos damos el mismo significado a las palabras.
• Creemos que la manera en que percibimos las situaciones es igual a como la perciben los demás.
• Creemos que estamos en lo correcto y los demás están equivocados.
• Creemos que sólo hay una manera correcta de hacer las cosas, por supuesto la nuestra.
Elementos de una
comunicación
Emisor o transmisor
Codificación
Mensaje
Medios
Decodificador
Receptor
Barreras
Respuesta
Retroalimentación
RuidoProblemas:• Inadecuado aprendizaje• Falta de hábito de lectura• Falta de atención y concentración• Personalidad• Escribir para sí mismo• Olvido de normas gramaticales y sintácticas• Hábitos y actitudes• Miedo a comprometerse con la información• Limitación de tiempo
Gestión de interesados en el PMBoK
49
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Papeles de trabajo (NIA 230)
Los papeles de trabajo son el conjunto de documentos preparados por el auditor,los cuales le permiten disponer de la información y de las pruebas efectuadasdurante su trabajo profesional en la empresa, así como también de las decisionestomadas para fundamentar su opinión, suministrar la evidencia del trabajollevado acabo para respaldar la opinión del auditor, y servir de evidencia legal.
Es el conjunto de formularios y/o documentos en los cuales el auditor revela toda laevidencia encontrada como consecuencia de la realización de un examen deauditoría.
Permite la revisión de la calidad del trabajo efectuado.
Los papeles de trabajo se elaboran en el momento en que se realiza el trabajo yson propiedad del auditor, quien debe adoptar las medidas oportunas paragarantizar su protección sin peligro y su confidencialidad ya que el auditor vaintegrando en los papeles de trabajo documentos reservados y de uso exclusivode la empresa.
Fuente: https://www.scribd.com/doc/126465012/Hallazgos-de-Auditoria-de-Sistemaswww.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdf
http://aobauditores.com/nias/nia230.pdf
Para ser considerados como tales deben contar con referencias y “marcas de auditoria”, leyenda, comentarios y conclusiones del auditor, además de ser codificados y visados por los auditores que
efectuaron el trabajo.
Garantiza en forma
adecuada, que una
auditoría se hizo de
acuerdo a las normas de auditoría
generalmente aceptadas.
50
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Papeles de trabajo
La extensión de los papeles de trabajo es un caso de juicio profesional.
Evitar el exceso en la documentación, es decir medir el trabajo por la calidad y nopor la cantidad.
Permiten el registro eficiente de la información que se recolecta en el procesode evaluación, planificación, ejecución, supervisión y revisión de la auditoria.
Se registran la naturaleza, oportunidad y el alcance de los procedimientos deauditoría desarrollados.
Es afectada por factores como:
La naturaleza del trabajo de auditoría
El tipo de dictamen o informe del auditor
La naturaleza y evaluación de los sistemas auditados y control interno de la entidad
Las necesidades en las circunstancias particulares, de dirección, supervisión, yrevisión de los trabajos realizados por los auxiliares
Metodología y tecnología de auditoría usadas en el curso del examen.
Fuente: http://artemisa.unicauca.edu.co/~gcuellar/normas.htmhttp://186.116.129.40/gat/pdf/fase_ejecucion.pdf
51
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Evidencia (3.3 NTC – ISO 19011)
Son registros, declaraciones de hechos o cualquier otra información que son pertinentespara los criterios de auditoría y que son verificables.
Clasificación:
Evidencia documental: puede ser de carácter física o electrónica. Pueden ser externas ointernas a la organización. Las evidencias externas abarcan, entre otras, cartas, facturas deproveedores, contratos, auditorías externas y otros informes o dictámenes y confirmaciones deterceros. Las evidencias internas tienen su origen en la organización, incluye, entre otros,registros contables, correspondencias enviadas, descripciones de puestos de trabajo, planes,presupuestos, informes internos, políticas y procedimientos internos.
Evidencia física: se obtiene mediante inspección y observación directa de las actividades,bienes o sucesos; esta evidencia puede presentarse en forma de documentos, fotografías,gráficos, cuadros, mapas o muestras materiales.
Evidencia testimonial: se obtiene de otras personas en forma de declaraciones hechas en elcurso de investigaciones o entrevistas.
Evidencia analítica: surge del análisis y verificación de los datos. El análisis puede realizarsesobre cálculos, indicadores de rendimiento y tendencias reportadas en los informes financieros
Evidencia informática: puede encontrarse en datos, sistemas de aplicaciones, instalaciones ysoportes, tecnologías y personal informático.
La evidenciade la auditoríapuede sercualitativa o cuantitativa
Fuente: https://isocalidad2000.wordpress.com/2013/08/02/como-obtener-evidencias-objetivas-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-ix/
http://aobauditores.com/nias/nia500.pdfhttp://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf
Sólo son admisibles las evidencias que no están sometidas a interpretación
52
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Factores para la evaluación
Experiencia obtenida en auditorías previas.
La evaluación de la naturaleza y nivel del riesgo inherente, del giro delnegocio, situación económica y financiera de la entidad.
Fuente y confiabilidad de información disponible.
Cuanto mayor sea el nivel de riesgo inherente mayor será la cantidadde evidencia necesaria.
Evaluación de riesgos de control, así como de los sistemas decontabilidad y de control interno.
Materialidad de la partida o transacción que se examina.
Fuente: http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140http://artemisa.unicauca.edu.co/~gcuellar/normas.htm
• La evidencia obtenida de fuentes externas es de mayor confiabilidad que la obtenida dentro la empresa. Porejemplo, las confirmaciones recibidas de una tercera persona es más confiable que la generada internamente.
• La evidencia generada internamente es más confiable cuando los sistemas de contabilidad y de control internorelacionados son efectivos.
• La evidencia obtenida directamente por el auditor es más confiable que la obtenida en la propia entidad.• La evidencia en la auditoría en forma de documentos y manifestaciones escritas es más confiable que las
manifestaciones orales.
53
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Características
Competencia
Es la "medida de la calidad de evidencia de la auditoría y su relevancia para una particular afirmación y su confiabilidad".
La evidencia será más confiable cuando se base en hechos más que en criterios.
Suficiencia
Es la "medida de la cantidad de evidencia de la auditoría".
El auditor, a su criterio profesional, obtiene evidencia suficiente al tener en cuenta los factores como: posibilidad de información errónea, importancia y costo de la evidencia.
Fuente: http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/viewFile/5944/5140http://www.atconsultores.com/coldataPersonal/upload/documentales/Obtencion_de_Evidencia_en_Auditoria.pdf
• Relevancia.- Cuando ayuda al auditor a llegar a una conclusión respecto a los objetivos específicos de auditoría.
• Autenticidad.- Cuando es verdadera en todas sus características.
• Verificabilidad.- Requisito que permite que dos o más auditores lleguen por separado a las mismas conclusiones, en iguales circunstancias.
• Neutralidad.- Requisito de que esté libre de prejuicios –o de intereses especiales.
Pruebas selectivas o de muestreo estadístico
Aplicación de pruebas y procedimientossustantivos y/o métodos (técnicas)
La calidad de la
evidencia está influida
por su fuente de
procedencia.
Las que son
independientes de la
empresa, en principio,
ofrecen mayores
garantías que las que
están bajo el control
de la misma.
La evidencia obtenida
directamente por el
auditor es más
persuasiva que la que
procede de un tercero
o de la propia
empresa.
Si la evidencia de una
prueba se corrobora
con la de otras, la confianza es superior.
54
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Pruebas y procedimientos sustantivos
Las pruebas de cumplimiento representan procedimientos de auditoriadiseñados para verificar si el sistema de control interno del cliente estásiendo aplicado de acuerdo con lo establecido.
Si, después de la comprobación, los controles del cliente parecen estaroperando efectivamente, el auditor justifica el poder tener confianza enel sistema y por consiguiente puede reducir sus pruebas sustantivas.
“Procedimientos [Pruebas] sustantivos” (NIA 330 Procedimientos delAuditor en Respuesta a los Riesgos Evaluados), significa pruebasrealizadas para obtener evidencia de auditoría para detectarrepresentaciones erróneas de importancia en los estados financieros.
Son de dos tipos:
Pruebas de detalles de transacciones y balances
Procedimientos analíticos sustantivos
Fuente: http://aobauditores.com/nias/normativa-internacional-auditoria-nias.pdfhttp://aobauditores.com/nias/nia330.pdf
http://disagahon.blogspot.com/2012/10/nia-330-respuestas-del-auditor-los.htmlhttp://artemisa.unicauca.edu.co/~gcuellar/normas.htm
55
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Métodos (técnicas)
Métodos prácticos de investigación y pruebas que el auditor utiliza para obtener la evidencia y la certeza necesaria para fundamentar su opinión, con relación al examen realizado.
Fuente: www.ccpl.org.pe/downloads/PruebasAuditoriaPapelesTrabajo.pdfhttp://tecnicasdeauditoriainvest.blogspot.com/
http://www.eumed.net/libros-gratis/2010e/804/Tecnicas%20de%20auditoria.htm
Las técnicas son el conjunto de recursos que se emplean en un arte o una ciencia.
56
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Hallazgos (3.4 NTC – ISO 19011)
Clasificación:
Conforme: cumplen con los requisitos
No conforme: incumplimiento con los requisitos especificados. Puede originarno conformidades de consecuencias limitadas o mayores
Observación: se entiende como observación a un aspecto de un requisito quepodría mejorarse y que no se requiere que se haga de manera inmediata
Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.htmlhttp://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf
Los hallazgos de auditoría pueden conducir a la identificación de oportunidades de mejora o registro de buenas prácticas.
• Hecho relevante que se constituye en un resultado determinante en la evaluación de un asunto en particular, al comparar la condición [situación detectada, la realidad o condición que el auditor está determinando en la instancia o unidad que está evaluando –LO QUE ES] con el criterio [la conformidad con las normas, leyes, reglamentos y sanas prácticas administrativas –LO QUE DEBE SER].
• Aquellas situaciones que revisten importancia relativa, para la actividad u operación objeto de examen del auditor, que requiere ser documentada y debidamente comprobada, que va a ser de utilidad para exponer o emitir criterio, en el respectivo documento o informe de auditoría.
¿Conveniencia?¿Acuerdo?
57
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Factores para la evaluación
Las condiciones y circunstancias existentes al momento en que ocurrióel hecho o se efectuó la transacción o hecho.
La índole, complejidad y magnitud de las operaciones que se estánevaluando La necesidad de someter el hallazgo potencial o un análisishonesto y crítico.
La labor debe ser lo suficientemente completa para presentar una basesólida para las conclusiones y recomendaciones
El ambiente de control en que se presenta, no verlos en forma aislada,sino integral de todo el proceso que se está auditando.
Diferencias de opinión con respecto a los auditados.
Análisis crítico de cada hallazgo importante.
Integridad del trabajo de auditoría.
Autoridad legal.
58
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Factores que generan una desviación
Fuente: http://es.slideshare.net/1116238557yina/capacitacin-redaccin-de-hallazgos-para-blog
59
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ayuda: 6W-2HWhat - Qué (objeto)
•¿Qué hacer?
•¿Qué se está haciendo?
•¿Qué debería hacerse?
•¿Qué otra cosa puede ser hecha?
•¿Qué otra cosa debería hacerse?
Why - Por qué (propósito)
• ¿Por qué él/ ella lo hace?
•¿Por qué lo hace?
•¿Por qué lo hace allí?
•¿Por qué de esta manera?
•¿Por qué en ese momento?
Where - Dónde (localización)
•¿Dónde hacerlo?
•¿Dónde está siendo hecho?
•¿Dónde debería ser hecho?
•¿Dónde más puede hacerse?
•¿Dónde más debería hacerse?
•¿Por qué tiene que hacerse allí?
When - Cuándo (tiempo, secuencia)
•¿Cuándo hacerlo?
•¿Cuándo está siendo hecho?
•¿Cuándo debería hacerse?
•¿Es necesario hacerlo en ese momento?
Who - Quién (persona)
•¿Quién hace la tarea?
•¿Quién la está haciendo?
•¿Quién debería estarla haciendo?
•¿Quién más puede hacerla?
•¿Quién más debería estar haciéndola?
•¿Por qué soy yo (él/ella) el que hace esto?
To Whom (a/para quién)
•¿A quién le sirve?
•¿Quién se beneficia a continuación?
•¿Quién emplea directamente mi entregable?
How - Cómo (método)
•¿Cómo hacerlo?
•¿Cómo es hecho?
•¿Cómo debería ser hecho?
•¿Existe otra forma de hacerlo?
•¿Es ésta la mejor forma de hacerlo?
How much - Cuánto (costo)
•¿Cuánto cuesta?
•¿Cuánto está costando?
•¿Cuánto debería costar?
•¿Cuánto deberíamos ahorrar?
How much - Cuánto (tiempo)
•¿Cuánto toma?
•¿Tiene un hito?
Fuente: https://isocalidad2000.wordpress.com/2013/07/19/las-preguntas-en-una-auditoria-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-vii/
60
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Características y requisitos
Característica / Requisito
Concepto
ObjetivoEl hallazgo se debe establecer con fundamento en la comparación entre el criterio y la condición.
Factual(de los hechos, o relativo a ellos)
Debe estar basado en hechos y evidencias precisas que figuren en los papeles de trabajo. Presentados como son, independientes de valor emocional o subjetivo.
RelevanteQue la materialidad y frecuencia merezca su comunicación e interprete la percepción colectiva del equipo auditor.
ClaroQue contenga afirmaciones inequívocas, libres de ambigüedades, que esté argumentado y que sea válido para los interesados.
VerificableQue se pueda confrontar con hechos, evidencias o pruebas –esdemostrable ante terceros, soporta un análisis honesto y crítico.
Útil
Que su establecimiento contribuya a la economía, eficiencia, eficacia, equidad y a la sostenibilidad ambiental en la utilización de los recursos públicos, a la racionalidad de la administración para la toma de decisiones y que en general sirva al mejoramiento continuo de la organización.
Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.html
61
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Atributos
Condición: “Lo que es” Aquello que el auditor encuentra o descubre. Lo que es, en términos delhecho irregular o deficiencia determinada por el auditor interno.
Criterio: “Lo que debe ser” Marco de referencia (medidas o normas aplicables) con el que secompara la condición para encontrar divergencias. Ley, reglamento, carta, circular, memorando,procedimiento, norma de control interno, norma de sana administración, principio de contabilidadgeneralmente aceptado, opinión de un experto o finalmente juicio del auditor. Para auditorías desistemas de información y TI: GAISP, COBIT, ISO 17799, SB 443/2003, NAG 270 y otros.
Causa: “Por qué” El origen de la condición observada. El porqué de la diferencia entre la condición yel criterio, deberán ser desarrolladas de acuerdo a la explicación que de el responsable. En este puntohay que tener capacidad de diferenciar, la causa del efecto. Para definir este aspecto se requiere de lahabilidad y juicio profesional del auditor.
Efecto: “Las consecuencias” Surge de las diferencias entre la condición y el criterio. El efecto tendráun resultado positivo o negativo. De ser posible en forma cuantitativa o cualitativa.
Recomendación: “Arregla la condición” La recomendación se deberá elaborar habiendo desarrolladolos anteriores atributos del hallazgo. La recomendación deberá emitirse con la idea de mejorar oanular la condición y llegar al criterio atacando la causa y arreglar el efecto para futuras situaciones.La recomendación deberá ser viable técnica y económicamente.
Fuente: http://186.116.129.40/gat/html/4_fase_ejecu/4_p6_FaseEjecucion.htmlhttp://www.iaicr.com/boletin/boletin07/hallazgos_auditoria_interna.pdf
Un buen informe no necesariamente debe contener solo hallazgos negativos pues podrían haber algunos
con enfoque positivo; ello evidenciaría un trabajo integral del auditor, en un proceso investigativo analítico, profesional y crítico, que será de utilidad para la toma de decisiones.
62
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Descripción de un hallazgo
• Registros, evidencias objetivas
¿CÓMO? ¿Cómo se identificó el hallazgo?
• Identificar dónde se evidenció la situación.
¿DÓNDE? ¿Dónde esta ocurriendo el efecto?
• ¿Qué es lo que está mal, qué es lo adverso?
¿QUÉ? ¿Cuál es el efecto?
• Estimar la frecuencia o el tiempo en el que ha aparecido el problema.
¿CUÁNTO? ¿Con qué frecuencia se viene presentando el efecto o en que tiempo?
• ¿Qué se está incumpliendo? Un requisito, un principio, una política, una directriz, un manual.
¿POR QUÉ? ¿Por qué es un problema?
Fuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ
63
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-
disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ
Redacción
64
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-
disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ
Redacción
65
Mg, Ing. Jack Daniel Cáceres Meza, PMPFuente: http://s3.amazonaws.com/ppt-download/capacitacinredaccindehallazgosparablog-140323214710-phpapp02.pdf?response-content-
disposition=attachment&Signature=5pIySy%2FbGkLoKPGs4JORnkv86Fw%3D&Expires=1429497294&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ
Redacción
66
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Presentación - Redacción
¿RIESGOS?
Fuente: http://auditordesistemas.blogspot.com/2012/02/guias-de-hallazgos.htmlhttp://www.sunai.gob.ve/images/stories/PDF/Ponencias/EF/_Jesus_Garcia.pdf
67
Mg, Ing. Jack Daniel Cáceres Meza, PMP
RESBIUCREUNIÓN DE AUDITORES INTERNOS DE CALIDAD PARA EL ANÁLISIS DE HALLAZGOS DE AUDITORIA
LISTA DE VERIFICACIÓN PARA LA EVALUACIÓN DE HALLAZGOS DE AUDITORÍA INTERNA
1. ¿Se ha considerado el efecto del sesgo observacional?
2. ¿Se ha considerado el efecto del sesgo discrecional?
3. ¿Representa un resultado discreto o continuo?
4. ¿Contribuye a mejorar la eficacia de las colecciones y servicios bibliotecarios?
5. ¿Representa una oportunidad de mejora de la biblioteca?
6. ¿Facilita la implantación de acciones correctivas o preventivas?
7. ¿Se han electo los criterios de auditoria requeridos por la biblioteca?
8. ¿Es congruente con el alcance de auditoria determinado por la biblioteca?
9. ¿Se redacta en función de la frecuencia de auditoria determinada?
10. ¿Considera la metodología determinada por la biblioteca?
Fuente: http://es.slideshare.net/zatapia/anlisis-de-hallazgos-de-auditoria?related=1
68
Mg, Ing. Jack Daniel Cáceres Meza, PMP
RESBIUCREUNIÓN DE AUDITORES INTERNOS DE CALIDAD PARA EL ANÁLISIS DE HALLAZGOS DE AUDITORIA
ELEMENTOS PARA LA REDACCIÓN DE UN HALLAZGO DE AUDITORÍA
No. ELEMENTO DESCRIPCIÓN
1 CONDICIONES DE OBSERVACIÓN Refleja de qué manera se observó la evidencia de hallazgo y las condiciones delcontexto de observación
2 CONDICIONES DE INTERPRETACIÓN Indica con precisión si se tomó en cuenta los criterios de auditoria u otroselementos percibidos
3 TIPO DE RESULTADO Se refiere a un cumplimiento discreto o considerado como una valor continuo
4 REFERENCIA A LA EFICACIA Explica de qué manera afecta al cumplimiento de los objetivos de las coleccionesy servicios bibliotecarios
5 REFERENCIA A LA MEJORA Aclara si se refiere a un incumplimiento o a una debilidad que puede mejorarseen función de los servicios bibliotecarios
6 REFERENCIA A LAS ACCIONES CORRECTIVAS - PREVENTIVAS
Permite identificar si se requiere una acción preventiva o correctiva
7 REFERENCIA A LOS CRITERIOS Hace explícitos los criterios determinados en el programa de auditoria y aclaraexcepcionalmente otros requeridos
8 REFERENCIA DE ALCANCE Se redacta dentro del alcance del programa de auditoria y aclaraexcepcionalmente otro requerido
9 REFERENCIA DE FRECUENCIA Se redacta en función de la frecuencia establecida y requerida
10 METODOLOGÍA Es congruente con la metodología aplicada
Fuente: http://es.slideshare.net/zatapia/anlisis-de-hallazgos-de-auditoria?related=1
69
Mg, Ing. Jack Daniel Cáceres Meza, PMP
RESBIUCREUNIÓN DE AUDITORES INTERNOS DE CALIDAD PARA EL ANÁLISIS DE HALLAZGOS DE AUDITORIA
EJEMPLO DE REDACCIÓN DE HALLAZGO
ÁREA DESCRIPCIÓN RESULTADO
6.2
8.4 (a)
(1) Dado que no se tuvo la oportunidad de observar al personal de labiblioteca clasificando y catalogando acervos, (2) pero sí se revisaron 10registros catalográficos completos, mismos que cumplen con las reglasde catalogación presentadas, (3) se considera que el personal deldepartamento de procesos técnicos es competente por lograr unproducto conforme, (4) por lo que se esperaría obtener buenosresultados en el proceso de organización documental de los acervos dela biblioteca. (5) sin embargo el proceso puede mejorarse, ya que no seconstató que se lleve a cabo un (6) análisis de los datos de lasatisfacción de los usuarios de la biblioteca con el catálogo. Peroconsiderando que, en la presente auditoria se programó solamente (7)la revisión del área 6.2 de la norma de referencia en (8) dichodepartamento, y que (9) no se planeó revisar la (10) medición de lasatisfacción del usuario en ésta auditoria, de deja como una oportunidadde mejora para la biblioteca.
C
OM
Fuente: http://es.slideshare.net/zatapia/anlisis-de-hallazgos-de-auditoria?related=1
70
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: www.perucontadores.com/audgub/NAGU.pdfhttp://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html
www.contraloria.gob.ec/documentos/normatividad/manaudfin.pdfwww.contraloria.gob.bo/portal/Uploads/PDFportal/20121217_333.pdf
http://www.forumcyt.cu/UserFiles/forum/Textos/0208765.pdf
Informe de auditoría
Sintetiza el resultado del cumplimiento de los objetivos definidos en el memorando de asignación de auditoría, en el plan de trabajo y el resultado de las pruebas adelantadas en la ejecución.
Los propósitos del informe definitivo son:
Registrar los resultados de la auditoría adelantada
Describir de manera precisa, clara y concisa los hallazgos determinados durante el proceso auditor
Apoyar el control político que ejercen las respectivas corporaciones públicas
Servir de insumo para que el ente auditado formule el plan de mejoramiento
Comunicar e informar públicamente los resultados de la auditoría
Requisitos:• Debe estar respaldado por la
evidencia obtenida.• Debe estar expresado con el
rigor científico necesario y suficiente.
• Debe ser expuesto con estilo objetivo, en forma clara, veraz, exacta, completa, concisa e imparcial, teniendo en cuenta el tacto y la critica constructiva.
• Debe usarse un lenguaje correcto, actual, comprensible, persuasivo, cuidando la gramática, signos de puntuación, estilo impersonal.
71
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Atributos
PrecisoDiga lo que tiene que decir. Es conveniente ser exacto (puntual) en cada frase y en el informe completo. Su redacción debe ser sencilla, clara, ordenada, coherente y en orden de importancia.
Conciso
La redacción debe ser breve pero sin omitir lo relevante, la breve dad permite mayor impacto. Se debe buscar la forma de redac tar los hallazgos en forma concreta, pero sin dejar de decir lo que se tiene que decir sobre la condición (situación detectada); asimismo, se debe incluir el criterio de auditoría, la causa y la consecuencia, aspectos que muestren claramente el impacto que tiene la situación detectada por la contraloría territorial.
ObjetivoTodos los hallazgos deben reflejar una situación real, manejada con criterios técnicos, analíticos e imparciales.
SoportadoLas afirmaciones, conceptos, opiniones y hallazgos, deben estar respaldadas con evidencia válida, suficiente, pertinente y competente.
OportunoDebe cumplir los términos de elaboración, consolidación, entrega, comunicación y publicidad.
Fuente: http://186.116.129.40/gat/html/5_fase_infor/5_p1_FaseInforme.html
72
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Un principio es definido como una verdad fundamental, una doctrina oley básica, no necesitan ser demostrados; son generalmente aceptadospor la profesión; son reconocidos por las disposiciones legales locales.
Los requisitos básicos de la evidencia están referidos a la suficiencia,competencia y relevancia.
Cuando los resultados no sean reproducibles a causa de la naturalezade las mediciones, la dinámica del estado ambiental u otras razonesválidas, debe asegurarse que el proceso de acumulación de evidenciacuente con supervisión específica.
Para asegurar el criterio de reproducción, se debe otorgar un énfasisespecial a la supervisión del diseño y/o elección y aplicación demetodologías, criterios y técnicas de evaluación.
Revisar: http://fccea.unicauca.edu.co/old/tgarf/tgarf.html#tgarfpa1.html
73
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Metodologías
Conjunto de procedimientos que, con el propósito de acumularevidencia, se diseña y/o elige (en función de la naturaleza de los objetivosy alcances específicos de la auditoría, de la complejidad de lasevaluaciones y de las tecnologías disponibles) durante la planificación y/oel trabajo de campo.
Para cada procedimiento asociado, y siempre que corresponda, se debeidentificar aspectos críticos; establecer riesgos de evaluación; riesgos deilegalidad; y definir ciertos parámetros tales como el número, tipo y/o lacalidad de las muestras requeridas.
Criterios
Estándares contra los cuales se compara la evidencia para obtenerresultados de auditoría.
Normas y sistema de gestión ante los que comparamos los hallazgos deauditoría.
Deben ser relevantes, confiables, completos, objetivos, comprensibles,comparables, aceptables y accesibles.
Técnicas
Procedimientos o métodos especializados de obtención y/ verificación deinformación, que incluyen prácticas analíticas de laboratorio u otras dediversa índole, diseñadas y/o elegidas con el propósito de comprobaraspectos específicos del objeto de auditoría.
74
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Algunas diferencias
Inspección Auditoría
Sin comunicación previa Con comunicación previa
No siempre es planeada y documentada Planeada y documentada
Procura verificar fallos Procura verificar hechos (negativos y positivos)
Centraliza las acciones Supervisa las acciones
Se centra en aspectos menos importantes Se centra en aspecto más importantes
Evalúa de cerca un producto o un servicio basado en los requisitos específicos, el diseño, otros
Identifica el cumplimiento y el incumplimiento de algunas especificaciones, normas, acuerdos contractuales u otros criterios
Evalúa la calidad de los bienes producidos Inspecciona el equipo y los procesos con base en los procedimientos escritos
Fuente: http://clubresponsablesdecalidad.com/diferencia-entre-auditoria-e-inspeccion/http://www.qmsas.com/b/diferencias-entre-qa-y-qc.html
http://c2.com/cgi/wiki?QualityAssuranceIsNotQualityControlhttp://www.asiaqualityfocus.com/blog/es/diferencia-entre-auditoria-e-inspeccion/
http://elsmar.com/
Según la norma ISO 900:2005 “Sistemas de gestión de la calidad. Fundamentos y vocabulario”:
• Control de calidad (QC): Parte de la gestión de calidad orientada al cumplimiento de los requisitos de calidad Orientado al producto
• Aseguramiento de la calidad (QA): Parte de la gestión de calidad orientada a proporcionar confianza en que se cumplirán los requisitos de la calidad Orientado al proceso
75
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Algunas herramientas para la auditoría
Matriz FODA
Técnica de TASCOI (transformación, actores, suministradores –oproveedores, clientes –o usuarios, owners –o propietarios,intervinientes)
El equipo auditor establece la identidad en uso de la organización, con elpropósito de determinar ¿Qué hace la entidad?, ¿Cómo lo hace?, ¿Paraqué lo hace?, ¿Quiénes son sus propietarios? y ¿Cuáles sus clientes?
PEST (políticos, económicos, sociales-culturales, tecnológicos)
Mide el potencial y la situación de un mercado, indicandoespecíficamente crecimiento o declive, y en consecuencia su atractivo,potencial de negocios y lo adecuado de su acceso.
Fuente: http://sistemau.blogspot.com/p/tecnica-de-tascoi-elequipo-auditor_07.htmlhttp://s3.amazonaws.com/ppt-download/conocimientodelaentidad-121023195026-phpapp01.ppt?response-content-
disposition=attachment&Signature=HRxdx3mAW5ZBuwT2WfGZvBRUOto%3D&Expires=1429851994&AWSAccessKeyId=AKIAIA7QTBOH2LDUZRTQ
76
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Contenido –informe de auditoría [informática]
Nombre de la empresa auditada
Nombre de [la aplicación] auditada
Nombre de la firma auditora
Identificación del informe
Fecha del informe
Antecedentes
Descripción de [la aplicación]
Objetivos de [la aplicación]
Alcance de la auditoría (incluyendo procesos, departamentos, delegaciones, etc.)
Metodología utilizada y técnicas de evaluación
---- sugerido… bueno, casi
Planeamiento
RiesgosObjetivosRecursosOperacionesMediosMejoras
Fuente: http://fabiogarciach.blogspot.com/2011/02/normal-0-21-false-false-false-es-x-none.html
77
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Contenido –informe de auditoría [informática]
Criterios de auditoría
Equipo auditor, con nombres, apellidos y figura que ocupa en el equipo.
Fechas y lugares en las que se realizó la auditoría
Pruebas realizadas
Reseña de aspectos positivos
Hallazgos y evidencias –específicos / relevantes
Conclusiones –específicos / relevantes (expuestos de manera consistente y en correlación directa con los objetivos y alcances de la auditoría)
Recomendaciones –específicos / relevantes (objetivas y realizables, con resultados verificables, que ataquen la causa, muestren una acción específica y dirigida a quien debe realizar la acción)
Declaración del grado de cumplimiento del sistema auditado sobre los criterios de auditoría
Firma del auditor responsable
---- sugerido… bueno, casi
Programas de auditoría
Calidad
Documentos, fotografías, gráficos, cuadros, mapas o muestras materiales, en forma física o electrónica
… podría ...… debería considerar …
Fuente: http://www.auditool.org/blog/auditoria-interna/3322-prohiba-el-deberia-en-los-informes-de-auditoriahttp://www.iaiperu.org/index.php?option=com_content&view=article&id=90:icomo-hace-auditoria-interna-para-priorizar-sus-
recursos&catid=49:preguntas-frecuentes&Itemid=40
78
Mg, Ing. Jack Daniel Cáceres Meza, PMP
1. Corrección
2. No conformidad
3. Requisito
4. Sistema de gestión de calidad
5. Procedimiento
6. Acción correctiva
7. Evidencia objetiva
8. Auditoria
9. Criterios de auditoria
10. Formato
11. Acción preventiva
12. Evidencia de la auditoria
13. Hallazgo de la auditoria
14. Proceso
15. Conclusiones de la auditoria
16. Auditado
17. Equipo auditor
18. Auditor
19. Manual de calidad
20. Eficacia
21. Eficiencia
A. Proceso sistemático independiente y documentado para obtener de la auditoria y
evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen
los criterios de auditoria.
B. Relación entre resultado alcanzado y los recursos utilizados.
C. Documento en el que se recolecta evidencia objetiva.
D. Persona con la competencia de llevar a cabo una auditoria.
E. Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los
criterios de auditoría.
F. Conjunto de actividades mutuamente relacionadas o que interactúan, las cuales
transforman elementos de entrada en resultados (salidas).
G. Incumplimiento de un requisito.
H. Necesidad o expectativa establecida generalmente implícita u obligatoria.
I. Extensión en la que se realizan las actividades planificadas y se alcanzan los resultados
planificados.
J. Conjunto de políticas , procedimientos y requisitos utilizados como referencia.
K. Sistema de gestión para dirigir y controlar una organización con respecto a la calidad.
L. Acción tomada para eliminar una no conformidad detectada.
M. Forma especifica para llevar a cabo una actividad o un proceso.
N. Acción tomada para eliminar la causa de una no conformidad potencial u otra situación
indeseable.
O. Registro, declaraciones de hechos o cualquier otra información que son pertinentes
para los criterios de auditoria y que son verificables.
P. Resultado de una auditoria que proporciona el equipo auditor tras considerar los
objetivos de la auditaría y todos los hallazgos de la auditoria..
Q. Datos que respaldan la existencia o veracidad de algo.
R. Uno o mas auditores que llevan a cabo una auditoria.
S. Documento que especifica el sistema de gestión de la calidad de una organización.
EjercicioCorrelacionar términos con descripción
79
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Para cada una de las siguientes situaciones indique si se trata de una no conformidad o no
1. No se ha establecido en el manual de calidad los objetivos decalidad.
2. No se encontró disponible el gráfico de control estadístico para eldiámetro de los alambres de la línea NOKIA 325, correspondiente alos días 1 y 8 de diciembre de 1998.
3. No se elaboró el gráfico de control estadístico como se establece enel procedimiento GPC-2 literal 5.2, para el diámetro del alambre dela maquina Laguetto A-450, correspondiente a los días 2, 3 y 4 demarzo de 1999.
4. Aunque el procedimiento PE-01 CURSOS DE ENTRENAMIENTO(aprobado en agosto 1/98). Se especifica que después de cada cursode entrenamiento se realizará un “Examen escrito deconocimientos”, para el curso de entrenamiento “Control Estadísticode Temperatura”, dictado a los operadores del cuarto de control enmarzo 2/99, no se realizó el examen correspondiente.
80
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Para cada una de las siguientes situaciones indique si se trata de una no conformidad o no
5. No se ha documentado el compromiso de la dirección para con lacalidad.
6. En el procedimiento QA-001 “control de la línea de embotellado”versión 2, se establece que la verificación del nivel llenado se haceen el lente No 1, en la práctica se evidenció que esta verificación seestá realizando en lente no se he establecido la disposición paraverificar el contenido de azúcar.
7. Según el registro de calibración F-MEC-02 de septiembre 3 de 1998el manómetro M-089-01 empleado en la inspección de productoterminado, no cumple con los requisitos de aceptación especificadosen el procedimiento “MEC-02 CALIBRACION DE MANOMETROS”(vigente a partir de septiembre 3 de 1998).
8. No se realizó seguimiento en las fechas previas a las noconformidades 1, 3 y 4 de las auditorías internas del periodo 98-99.Como se establece en el procedimiento AIC versión 2.
81
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Para cada una de las siguientes situaciones indique si se trata de una no conformidad o no
9. No se conservan los registros de evaluación periódica realizada a losproductos en proceso ubicados en la “zonas de transito” de la plantade pintura.
10. En el manual de compras del director administrativo se encontrarondos copias de procedimiento “DEA-90 SELECCIÓN Y EVALUACION DESUBCONTRATISTAS”, una de las copias es la versión anterior y ladisposición del procedimiento establece que los documentosobsoletos se deben destruir.
11. No se está cumpliendo el procedimiento CO-345 para el trámite yautorización de los gastos de viaje.
12. No se ha documentado la responsabilidad para la liberación de lostubos de aleación 23 durante la inspección de recepción.
82
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Para cada una de las siguientes situaciones indique si se trata de una no conformidad o no
13. No existe evidencia de la toma de pH de la corriente que entra alreactor 5545 para la esterificación del glicerol, como se establece enla instrucción del proceso SX-90.
14. El manual de calidad (versión 3 de enero de 1998) especifica larevisión del sistema de calidad cada 6 meses por parte del comité decalidad. Se constató que a la fecha sólo se ha realizado una revisióndel sistema de calidad.
15. No se ejecutó la auditoria en el área de ventas directas, programadapara el 98-08-01 establecida en el cronograma de auditoriasinternas.
16. No se han ejecutado las 4 auditorías internas programadas en eltercer trimestre de 1998 en las áreas de compra laboratoriometrología, ventas nacionales y oficina técnica.
83
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde…
Fuente: http://elsmar.com/Audit/sld100.htmhttp://elsmar.com/Imp/sld001.htm
http://fccea.unicauca.edu.co/old/tgarf/tgarf.html#tgarfpa1.html
84
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde
Fuente: http://elsmar.com/Audit/sld100.htmhttp://elsmar.com/Imp/sld001.htm
85
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde
Fuente: http://elsmar.com/Audit/sld100.htmhttp://elsmar.com/Imp/sld001.htm
86
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde …
Usted es el auditor
NO es supervisor
NO es QA/QC
NO ES OTRA COSA DIFERENTE
Comuníquese asertivamente
TOME NOTAS –no confíe en su memoria
NUNCA juzgue o comente o emita opiniones personales o suponga
Tenga una ACTITUD totalmente objetiva, imparcial y NEUTRA
Sólo debe observar e informar, nunca debe recriminar, dar órdenes o decir alas personas auditadas cómo se deben hacer las cosas
Busque ser efectivo y proactivo -concentrarse en lo importante: preparación,prevención, planificación, entre otras actividades
Concéntrese y no se aparte del plan
Fuente: http://nahunfrett.blogspot.com/2014/08/tips-para-reuniones-de-trabajo.htmlhttp://nahunfrett.blogspot.com/2014/08/11-preguntas-para-mejorar-una-reunion.htmlhttp://www.liderazgohoy.com/7-habitos-personas-altamente-efectivas-stephen-covey/http://nahunfrett.blogspot.com/2014/08/mandamientos-del-bueno-comunicador.html
http://www.iaiperu.org/index.php?option=com_content&view=article&id=85:icomo-mantiene-auditoria-interna-su-independencia-y-objetividad&catid=49:preguntas-frecuentes&Itemid=40
http://www.gerencie.com/el-auditor-solo-debe-observar-e-informar-no-dar-ordenes-a-sus-auditados.html
87
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde …
No atosigar al auditado con una batería de preguntas
Darle un cierto tiempo para responder, en muchos casos deberá procesar la pregunta
No anticipar la respuesta
Replantear las preguntas cuando el auditado no las entienda
Nunca entrar en discusiones interpretativas con el auditado
No transmitir sensación de enojo ante respuestas evasivas
Comunicar al entrevistado los fundamentos de los hallazgos de auditoría
No irradiar sensación de alegría ante la detección de hallazgos
Fuente: https://isocalidad2000.wordpress.com/2013/07/26/la-actitud-del-auditor-retroalimentacion-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-empezar-viii/
88
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde …
El auditor no es, ni debe esperarse que sea un perito en todas las materias –para eso está su equipo de especialistas.
Los auditores deben planear y llevar a cabo la auditoría con escepticismo profesional y ejercer su juicio profesional durante todo el proceso de la misma.
Los auditores deben comprender el ambiente de control y los controles internos relevantes y considerar si es posible asegurar el cumplimiento.
Los auditores deben realizar una evaluación de riesgos para identificar los riesgos de incumplimiento.
Los auditores deben de considerar el riesgo de fraude.
Los auditores deben desarrollar una estrategia y un plan de auditoría.
Los auditores deben preparar un informe basado en los principios de integridad, objetividad, oportunidad y celebración de un proceso contradictorio.
Fuente: http://es.issai.org/media/79470/issai-400-s-new.pdfhttp://www.auditool.org/blog/auditoria-externa/3318-eficacia-y-eficiencia-en-auditia-el-reto-de-actuar-con-equilibrio
http://nahunfrett.blogspot.com/2014/08/7-pecados-que-los-clientes-no-perdonara.htmlhttp://auditoresinternos.es/la-f%C3%A1brica-de-pensamiento/documentos
Podemos actuar eficientemente sin eficacia (capacidad de lograr el efecto que se desea) y actuar
eficazmente sin eficiencia
89
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recuerde …
Para establecer adecuadamente un hallazgo referente a una NO CONFORMIDAD:
Observe los hechos, ESCUCHE y RELACIÓNELOS con los requisitos.
CONCÉNTRESE en el qué pasó, cuándo, cuántos, dónde.
No olvide el por qué, ¿recuerda 6W-2H?.
REVISE las evidencias, VERIFIQUE la información solicitada
Y RE-VERIFIQUE TODO.
Revise los REQUISITOS que se incumplen y COMPÁRELOS con los hechos.
Sea PRECISO en fechas, términos, cantidades.
Una vez esté seguro, levante la no conformidad (hallazgo).
ÚNICAMENTE COMO RESULTADO AL INCUMPLIMIENTO DE UN REQUISITO.
Según la norma ISO 9000:2005 una NO CONFORMIDAD es un incumplimiento de un requisito del sistema, sea este especificado o no. Se conoce como requisito una necesidad o expectativa establecida, generalmente explícita u obligatoria.
Fuente: http://www.aec.es/web/guest/centro-conocimiento/no-conformidadhttp://www.metepec.gob.mx/sistemadegestion/MANUAL_DE_CALIDAD/11%20GUIAS%20DE%20APOYO/Documentando%20una%20no
%20conformidad.pdf
Hay tres partes en una
no conformidad bien
documentada: • la evidencia de
auditoría que soporta
los hallazgos del
auditor;
• un registro del
requerimiento contra
el cual la no
conformidad se
detecta;
• el enunciado de la
no conformidad.
El enunciado de la no conformidad lleva
a la organización al análisis de la causa,
la corrección y la acción correctiva
Co
ntr
asta
rC
om
par
arEv
alu
ar
90
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Riesgos
Riesgo que el sistema de control esté incapacitado para detectar o
evitar errores o irregularidadessignificativas en forma oportuna
Susceptibilidad a la existencia de errores o irregularidades
significativas, antes de considerar la efectividad de
los sistemas de control
Riesgo que los procedimientos de auditoría seleccionados, no
detecten errores o irregularidades existentes
Existe una relación inversa entre el nivel de Materialidad de las pruebas del auditor y el nivel de Riesgo de Auditoría, es decir a mayor nivel de Materialidad, menor Riesgo de Auditoría o viceversa
Incertidumbre relacionada con:• La calidad y competencia de las evidencias• La eficacia de las actividades de control• La presentación de los estados contables
Todo auditor “en Dios confía del resto, duda”
Riesgo de que el auditor dé una opinión de
auditoría inapropiada cuando los registros
están elaborados en forma errónea -de una manera importante.
Fuente: http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf
Riesgo de auditoría aceptable: Aceptación por el auditor de que existan errores importantes después de terminar la auditoría.
Riesgo de detección planeada: Alcance de las evidencias que el auditor planea reunir.
Empresa Auditor
91
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Factores de riesgo
Ramo del negocio del ente auditado.
Tipo de organización.
Integridad de la administración.
Motivación del cliente.
Resultados de auditorías anteriores.
Operaciones con partes relacionadas.
Operaciones no rutinarias.
Cambios en los negocios o en los sistemas.
Prácticas o criterios satisfactorios para un buen registro.
Competencia, economía del país, cambios en el consumo, etc.
El hecho de tratarse de una primera auditoría o de una auditoría repetitiva.
Competencias del equipo auditor.
Aspectos diversos.
A mayor riesgo, menos seguridad.La seguridad de auditoría implica la satisfacción del auditor sobre la confiabilidad de las afirmaciones hechas por el ente auditado y, en general, significa la probabilidad de la inexistencia de errores o la seguridad de que una vez producidos determinados errores, los mismos serán detectados y corregidos por los controles implementados por la empresa o detectados por el auditor.
Fuente: http://www.facpce.org.ar:8080/miniportal/archivos/informes_del_cecyt/area_auditoria_informe_16.pdf
92
Mg, Ing. Jack Daniel Cáceres Meza, PMP
93
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¡¡¡¡ Ahí viene el auditor !!!!
¡¡¡¡ CUIDADO!!!!
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, [email protected]