1
00:00:00,720 --> 00:00:09,320
Informe de auditoría Un informe de auditoría no es más que un documento formal que prepara el auditor

2
00:00:09,330 --> 00:00:14,010
con las conclusiones obtenidas luego de haber realizado un trabajo de auditoría.

3
00:00:16,360 --> 00:00:22,390
Con frecuencia, el auditor de sistemas tendrá que presentar los resultados de los trabajos de auditoría

4
00:00:22,390 --> 00:00:24,760
a los distintos niveles de la gerencia.

5
00:00:25,810 --> 00:00:32,230
Por eso es importante que el auditor de sistemas tenga conocimiento de las diferentes técnicas de presentación

6
00:00:32,650 --> 00:00:35,560
necesaria para comunicar estos resultados.

7
00:00:37,540 --> 00:00:45,370
Las principales técnicas de presentación que tenemos son resumen ejecutivo, los anexos detallados y

8
00:00:45,370 --> 00:00:46,660
la presentación visual.

9
00:00:47,380 --> 00:00:54,760
El resumen Ejecutivo es un informe conciso y fácil de leer que presenta los hallazgos a la gerencia

10
00:00:54,760 --> 00:00:56,530
en una forma comprensible.

11
00:00:58,720 --> 00:01:06,430
Los hallazgos y las recomendaciones se deben de comunicar desde una perspectiva de negocio, en un lenguaje

12
00:01:06,460 --> 00:01:11,650
que los miembros de la alta gerencia puedan entender y aplicar a su visión de negocio.

13
00:01:12,730 --> 00:01:20,470
Ejemplo En un resumen ejecutivo donde las observaciones o hallazgos van dirigidos a un personal de la

14
00:01:20,470 --> 00:01:23,380
alta gerencia, es incorrecto detallar el hallazgo.

15
00:01:23,380 --> 00:01:28,900
De esta forma identificábamos que no está definida la opción a cabo local Duration.

16
00:01:29,710 --> 00:01:33,820
Es incorrecto ya que el personal de la alta gerencia no va a entender de qué se trata.

17
00:01:33,820 --> 00:01:38,020
El hallazgo es diferente si lo mencionamos de esta forma.

18
00:01:39,310 --> 00:01:45,490
Identificamos que la opción que determina la cantidad de minutos que una cuenta bloqueada permanecerá

19
00:01:45,490 --> 00:01:48,580
bloqueada antes de que se bloquee automáticamente.

20
00:01:49,090 --> 00:01:51,040
No está configurado apropiadamente.

21
00:01:51,820 --> 00:01:57,340
En este caso, podemos observar que aún siendo el mismo hallazgo, la idea se entiende mucho mejor.

22
00:01:58,330 --> 00:02:04,240
En el primer caso que planteamos, si esa observación es dirigida a un personal técnico, es posible

23
00:02:04,240 --> 00:02:06,100
que lo puedan entender sin ningún problema.

24
00:02:06,460 --> 00:02:12,040
Pero si el personal no es técnico o del área de tecnología con ciertos conocimientos.

25
00:02:13,100 --> 00:02:15,290
Es muy probable que no lo puedan entender.

26
00:02:15,320 --> 00:02:16,520
Por eso es importante.

27
00:02:18,310 --> 00:02:25,720
Que los hallazgos estén redactados en un lenguaje claro, de manera que cualquiera lo pueda entender.

28
00:02:25,990 --> 00:02:32,860
Los anexos detallados son un tipo de informe de naturaleza más técnica, ya que la gerencia de operaciones

29
00:02:32,950 --> 00:02:37,690
requerirá los detalles para corregir las situaciones reportadas.

30
00:02:38,830 --> 00:02:45,130
En cuanto a la presentación visual, esto puede incluir diapositivas o gráficas de computadora donde

31
00:02:45,130 --> 00:02:47,950
presentemos los resultados del trabajo realizado.

32
00:02:48,460 --> 00:02:55,090
Esto usualmente lo utilizamos a lo interno del departamento de auditoría para presentar reporte o estatus

33
00:02:55,090 --> 00:03:02,110
de los trabajos, o también se puede presentar a otros departamentos para compartir ciertas informaciones.

34
00:03:03,340 --> 00:03:09,700
Es importante señalar que los auditores de sistemas debemos de sentirnos en la libertad de comunicar

35
00:03:09,700 --> 00:03:15,160
los asuntos o preocupaciones a la alta dirección y al Comité de Auditoría.

36
00:03:17,260 --> 00:03:24,940
Los Comités de Auditoría son grupos directivos de alto nivel que están típicamente compuestos por personas

37
00:03:24,940 --> 00:03:31,420
que no trabajan directamente para la empresa, con el fin de proveer a los auditores una vida independiente

38
00:03:31,420 --> 00:03:34,280
para reportar los hallazgos sensibles.

39
00:03:35,440 --> 00:03:42,970
Un intento de impedir acceso a la alta dirección por parte de niveles inferiores limitaría la independencia

40
00:03:42,970 --> 00:03:44,200
de la función de auditoría.

41
00:03:44,770 --> 00:03:46,480
Así que eso no es aceptable.

42
00:03:48,580 --> 00:03:55,630
Antes de comunicar los resultados a la alta dirección, el auditor de sistemas debe discutir los hallazgos

43
00:03:56,020 --> 00:04:02,170
con el personal a cargo del área auditada, y esto se puede hacer a través de una entrevista.

44
00:04:03,220 --> 00:04:09,550
El objetivo de dicha discusión es llegar a un acuerdo sobre dichos hallazgos y desarrollar un plan de

45
00:04:09,550 --> 00:04:11,830
acción correctivo para cada uno de ellos.

46
00:04:14,350 --> 00:04:21,310
Durante dicha entrevista, debemos de asegurarnos de que los hechos presentados en el informe estén

47
00:04:21,310 --> 00:04:28,930
correctos, que las recomendaciones sean realistas y eficientes en caso de que no lo sean.

48
00:04:28,940 --> 00:04:37,600
Buscar alternativas con el auditado y sugerir fechas de implementación para los planes de acción acordados.

49
00:04:39,790 --> 00:04:45,940
En caso de existir algún desacuerdo, el auditor, el sistema deberá profundizar sobre la importancia

50
00:04:45,940 --> 00:04:52,540
de los hallazgos identificados, cuáles son los riesgos y el efecto de no corregir dichas debilidades

51
00:04:52,540 --> 00:04:53,200
de control.

52
00:04:57,500 --> 00:05:04,760
En algunas ocasiones, la gerencia del auditado puede requerir apoyo del auditor de sistemas para implementar

53
00:05:04,760 --> 00:05:06,680
las mejoras y recomendaciones.

54
00:05:07,460 --> 00:05:16,010
En esos casos debemos nosotros de comunicarle al auditado la diferencia entre el rol del auditor y el

55
00:05:16,010 --> 00:05:24,740
rol del consultor y enfatizar en cómo brindar apoyo a un auditado pudiera afectar adversamente la independencia

56
00:05:24,740 --> 00:05:25,490
del auditor.

57
00:05:27,230 --> 00:05:34,310
La independencia es más bien la capacidad que tiene el auditor de emitir libremente una opinión sobre

58
00:05:34,310 --> 00:05:36,470
algo sin ser influenciado.

59
00:05:36,590 --> 00:05:40,430
En otras palabras, que esté libre de conflicto de intereses.

60
00:05:41,810 --> 00:05:48,830
Una vez que se ha llegado a un acuerdo con el auditado, el gerente o jefe del Departamento de auditoría

61
00:05:48,830 --> 00:05:53,120
debe de enviar un corto resumen a la alta dirección y al Comité de Auditoría.

62
00:05:55,070 --> 00:05:55,600
Muy bien.

63
00:05:56,240 --> 00:06:03,200
Entonces, retomando los informes de auditoría, son el producto final del trabajo de auditoría y son

64
00:06:03,200 --> 00:06:09,410
utilizados por el auditor para presentar a la gerencia la los hallazgos y las recomendaciones.

65
00:06:10,430 --> 00:06:14,940
Es bueno saber que no existe un formato específico para los informes de auditoría.

66
00:06:14,960 --> 00:06:22,100
Sin embargo, las políticas y procedimientos de las organizaciones van a definir a groso modo la estructura

67
00:06:22,100 --> 00:06:24,140
que debe de tener el documento.

68
00:06:24,680 --> 00:06:31,990
De todas formas, existen campos claves o informaciones esenciales que debe de tener todo informe de

69
00:06:32,010 --> 00:06:32,660
auditoría.

70
00:06:33,620 --> 00:06:36,500
Ahora vamos a ver cuáles son esos campos claves.

71
00:06:37,670 --> 00:06:47,360
Todo informe de auditoría debe contener por lo menos las siguientes informaciones Introducción Qué constituye

72
00:06:47,390 --> 00:06:50,300
el preámbulo de lo que viene contenido en el informe?

73
00:06:51,080 --> 00:06:54,610
Usualmente esto viene redactado en las primeras páginas del informe.

74
00:06:57,370 --> 00:07:04,990
Las limitaciones, en caso de que existan, que representan ciertas reservas del auditor en cuanto al

75
00:07:04,990 --> 00:07:08,950
trabajo que se realiza más adelante, vamos a ver algún ejemplo de esto.

76
00:07:11,330 --> 00:07:15,500
Losobjetivos que es el propósito del trabajo que se realizó.

77
00:07:18,800 --> 00:07:27,140
El alcance que especifica el proceso que fue auditado, el período cubierto que representa, el lapso

78
00:07:27,140 --> 00:07:29,690
de tiempo que se tomó en cuenta para la auditoría.

79
00:07:30,980 --> 00:07:34,860
Un ejemplo de esto puede ser un año, el período 2019.

80
00:07:36,560 --> 00:07:43,970
Los hallazgos que representan las debilidades o situaciones encontradas por el auditor, las conclusiones

81
00:07:44,420 --> 00:07:51,770
que incluye la opinión del auditor referente a los hallazgos identificados, los riesgos que son las

82
00:07:51,770 --> 00:07:57,440
implicaciones o posibles impactos de los hallazgos o debilidades identificadas.

83
00:08:00,580 --> 00:08:10,060
Las recomendaciones, que son las sugerencias del auditor referente a los hallazgos identificados y

84
00:08:10,060 --> 00:08:16,150
el detalle de los hallazgos, que es una descripción ampliada de las situaciones observadas.