TEMA 8 OTRAS AUDITORAS DE OPERACIONES DE PROCESOS

TEMA 8 OTRAS AUDITORÍAS: DE OPERACIONES, DE PROCESOS, INFORMÁTICA Y DE CALIDAD. EQUIPO 7: AGUILAR CEJUDO ANDREA MICHEL CHANTES BENJUME ULISES FERIA PÉREZ LAURA SARAÍ GUILLEN MUÑOZ LAURA ELENA OLOARTE LÓPEZ MAYRA RAMOS SOTELO OLGA JANETTE VENTURA RAMOS VERONICA ALEJANDRA

AUDITORIA OPERACIONAL

�Consiste en promover, evaluar la calidad y la eficiencia de la operación de una empresa. OBJETIVOS �Detectar problemas y proporcionar bases para llegar a la solución �Prever obstáculos a la eficiencia y �Presentar el trabajo. recomendaciones para simplificar

METODOLOGÍA � 1) Se simplifica en 3 pasos fundamentales: FAMILIARIZACIÓN: El auditor debe de familiarizarse con la operación u operaciones que revisara dentro del contexto de la empresa. Estudio ambiental Estudio de la gestión administrativa Visitas a las instalaciones

METODOLOGÍA 2) INVESTIGACIÓN Y ANÁLISIS: Analizar la información y examinar la documentación relativa para evaluar la eficiencia y efectividad de la operación en cuestión. 3) DIAGNOSTICO: El auditor debe alejarse del detalle y con base en los hallazgos específicos, ensayar el resumen de los de mayor relevancia

AUDITORÍA DE PROCESOS

¿Qué es proceso? Acción de ir hacia adelante Transcurso del tiempo Conjunto de las fases sucesivas de un fenómeno natural o de una operación artificial

SUPERVICI ÓN RUTINAS ORIENTA MEDICIÓN EXAMEN ORGANIZACIONE S AREAS EXAMEN MAPEO INSTALADOS RECORRIDO S PROCEDIMIENT OS OPERATIVOS ADMINISTRATIVOS SERVICIO

La auditoria de Procesos Es una rama de la Auditoria Interna

ACTIVIDAD INDEPENDIENT E CONSULTA MEJORA ORGANIZACIÓN

AYUDA CUMPLIR OBJETIVOS MEJORAR EFECTIVIDAD ENFOQUE SISTEMATTICO DICIPLINADO PROCESOS DE GESTIÓN DE RIESGOS EVALUAR CONTROL DIRECCIÓN

DEPENDE DE QUE EL CONTROL INTERNO ESTABLECIDO SE CUMPLA ESTO SE VERA REFLEJADO EN EL LOGRO DE LOS OBJETIVOS COMUNES. CONFIABLIDAD USO CUMPLIMIENT O LOGRO SALVAGUARD AR

PROCEDIMIENTO OBJETIV O CONTAR CON UN PROCEDIMIENTO ESTANDARIZADO PARA REALIZAR LA AUDITORIA PARA LA MEJORA CONTINUA. ALCANCE ACTORES DE LA AUDITORIA PLANEACIÓN DE LAS VISITAS, CIRTERIOS A REVISAR, ESTABLECER A LOS INVOLUCRADOS, DESIGNAR RESPONSABLES, RECURSOS. UN CONSULTOR DEL PROYECTO, UN FACILITADOR O LIDERES DEL PROYECTO. DEBEN SER INDEPENDIENTES DEL PROCESO A AUDITAR.

DESARROLLO PLANEACIÓ NY PROGRAMA 1 REVISIÓN ANALISIS REGISTR O INFORME S 2 3 4 SEGUIMIENTO DOCUMENTACIÓN, EXPEDIENTES 5 6

� Determina si se debe auditar información de seguimiento detallada de sucesos como la activación de programas, la salida de procesos, la duplicación de identificadores y el acceso indirecto a objetos, puede especificar si desea auditar los aciertos, los errores o no auditar el tipo de suceso. EJEMPLO: MICHAEL HAMMER La auditoría de proceso: Un nuevo marco, completo y fácil de aplicar, está ayudando a las empresas a planificar y ejecutar transformaciones basadas en procesos. � Pocos ejecutivos cuestionan la idea de que rediseñar los procesos de negocios puede producir drásticas mejoras de desempeño, permitiendo a las organizaciones brindar más valor a los clientes, y generando también mayores utilidades para los accionistas � Todos los sectores, empresas de todos los tamaños han logrado extraordinarias mejoras en costos, calidad, rapidez, rentabilidad, y otras áreas clave, al enfocarse en sus procesos internos y de interacción con el cliente, medirlos y rediseñarlos.

� Desde 2000, observó personalmente a cientos de empresas tratar de rejuvenecerse creando o rediseñando procesos de negocios. A pesar de sus intenciones e inversiones, son muchas las que han avanzado en forma lenta o insuficiente. Incluso las empresas que logran transformarse han descubierto que el esfuerzo es arduo y penoso. � Diseñar nuevos procesos de negocios implica más que reorganizar flujos de trabajo: quién hace determinadas tareas, en qué lugares y en qué secuencia. Redefinir los trabajos en forma más amplia Aumentar la capacitación para apoyar estos trabajos Permitir que el personal de la primera línea tome decisiones Redirigir los sistemas de recompensas y focalizarlos en los procesos y en los resultados Remodelar las culturas organizacionales para enfatizar el trabajo en equipo, la responsabilidad personal y la importancia de los clientes Desarrollen al personal en lugar de supervisarlo

� Inició un proyecto de investigación en conjunto con Phoenix Consortium para desarrollar una hoja de ruta para la implementación de procesos. El objetivo era crear un marco que ayudara a los ejecutivos a entender, planificar y evaluar iniciativas de transformación basada en procesos MODELO DE MADURÉZ DE PROCESO Y DE EMPRESA

MODELO DE MADURÉZ DE PROCESO Y DE EMPRESA � Este modelo se aplica a empresas de cualquier sector y no especifica cómo debe ser un proceso particular � Identifica las características que debe tener todo proceso y toda empresa para diseñar y desplegar procesos de alto desempeño. � Una empresa puede aplicar el MMPE a todos sus procesos, lo que permite el uso de un enfoque estándar en toda la organización, un intercambio fluido de experiencias y una rápida comparación de resultados � Es flexible y fácil de administrar � La simplicidad del modelo permite a las personas aplicarlo por sí mismas, en vez de depender de expertos o de consultores.

� La forma influye en la función, es decir, el diseño del proceso determina el desempeño � Estos facilitadores brindarán al proceso el potencial de entregar un alto desempeño, son mutuamente interdependientes: si falta alguno, los demás resultarán ineficaces. Por ejemplo, en un bien conocido gigante de productos electrónicos, un equipo diseñó un nuevo proceso de satisfacción de pedidos y realizó una exitosa prueba piloto. Sin embargo, el responsable del proceso no tenía la autoridad para obligar a los jefes de unidad a implementarlo, de modo que la iniciativa se estancó. En otro caso, un gran fabricante de bienes de consumo creó un nuevo proceso y capacitó a sus trabajadores para ejecutar nuevos trabajos. Sin embargo, no los instruyó respecto del proceso general. Como resultado, algunos empleados tomaron decisiones que inadvertidamente crearon problemas para los colegas, lo que perjudicó el desempeño y la moral, y obligó a la empresa a abandonar la iniciativa. En otro caso más, un fabricante de productos farmacéuticos transformó sus procesos de ventas y marketing pero no hizo el esfuerzo de alinear sus sistemas de medición y de recompensas. Eso transmitió señales incompatibles a través de la organización, generando conductas inconsistentes de los empleados, y finalmente arruinó el proyecto.

Niveles de fortaleza de facilitador (P-1, P-2, P -3 y P-4), tal como se muestra en la tabla "Evaluar la madurez de sus procesos".

� En el caso de los ejecutores por ejemplo, el nivel P-1 denota que los empleados simplemente están conscientes del proceso y sus indicadores. En la etapa P-2, los empleados deben ser capaces de describir el proceso y dónde encajan ellos. En el nivel P-3, los empleados pueden expresar cómo su trabajo afecta el desempeño de la empresa. Finalmente, en la etapa P-4, los ejecutores deben saber cómo su trabajo afecta a los clientes y proveedores. Mientras más fuertes sean los facilitadores, mejores serán los resultados que el proceso puede entregar en forma sostenida

AUDITORIA INFORMATICA

Consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Auditoria Informática Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

OBJETIVO Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que conforma, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. Los objetivos son: * El control de la función informática * El análisis de la eficiencia de los Sistemas Informáticos * La verificación del cumplimiento de la Normativa en este ámbito * La revisión de la eficaz gestión de los recursos informáticos.

CARACTERÍSTICAS La información de la empresa y para la empresa, se ha convertido en un Activo Real de la misma. Auditoria de Inversión Informática Los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su función. Auditoría de Organización Informática

SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA INFORMÁTICA: Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases: • Síntomas de descoordinación y desorganización: - No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

• Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. • Síntomas de debilidades económico-financiero: - Incremento desmesurado de costes. • Síntomas de Inseguridad: Evaluación de nivel de riesgos: - Seguridad Lógica - Seguridad Física - Confidencialidad

Tipos de Auditoría de Informática: Dentro de la auditoría informática destacan los siguientes tipos: Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Tipos de Auditoría de Informática: Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas y protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Areas Específicas Areas Generales Interna Dirección Usuario Seguridad Explotación Desarrollo Sistemas Comunicaciones Seguridad Cada Area Especifica puede ser auditada desde los siguientes criterios generales: • Desde su propio funcionamiento interno. • Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta. • Desde la perspectiva de los usuarios, destinatarios reales de la informática. • Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada. Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA: CUESTIONARIOS: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

ENTREVISTAS: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: • Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. • Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. • Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

CHECKLIST (LISTA DE VERIFICACIÓN): El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación: Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo) 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto.

AUDITORÍA DE CALIDAD

AUDITORIA DE CALIDAD Cualquier tipo de organización tiene la necesidad de demostrar su responsabilidad con el Sistema de Gestión de Calidad implantado (SGC) y la práctica asociada de Auditoria de Calidad se ha tornado como una forma de satisfacer esta necesidad. La intención de estos sistemas es la de ayudar a una organización a establecer y mejorar sus políticas, objetivos, estándares y otros requerimientos de calidad.

Un conjunto de estándares de calidad han sido elaborados para guiar a las organizaciones, auditores y sus clientes, en los principios comunes para la ejecución de auditorías de calidad. Hasta el momento la serie de estándares en este campo de la auditoria de calidad incluye: • La norma 9000: 2000 • La 9001: 2000 • ISO 9001: 1994. etc. UNE –EN 30011– 1: 1993 Auditorias • UNE-ENE 30011– 2. 1993 Auditores • UNE-ENE 30011– 3: 1993 Gestión de Auditorias

NORMA ISO 9000: 2000 La familia de Normas ISO 9000, que ha recibido un amplio reconocimiento y aceptación en el ámbito internacional, lo forman un conjunto de 3 Normas, una de las cuales fija los requisitos para el Sistemas de Calidad (ISO 9001) y las restantes sirven como ayuda a la interpretación e implantación de la Calidad. Las Normas ISO 9000 no son una especificación de producto. Son Normas de Gestión. Las Normas ISO 9000 del año 2000, no se incorpora al término de Aseguramiento de Calidad, sino el de Gestión de Calidad.

La revisión se ha basado en 8 principios de gestión de la calidad: - Organización enfocada al Cliente - Liderazgo-Participación del personal - Enfoque de procesos - Enfoque del sistema hacia la gestión (resultados) - Mejora continua - Enfoque objetivo hacia la toma de decisiones - Relación beneficiosa Cliente-Proveedor.

AUDITORIA DE CALIDAD: Proceso sistemático, documentado y de verificación objetiva para obtener y evaluar la evidencia de la auditoria y determinar cuales actividades especificas, eventos, condiciones, sistemas gerenciales, de calidad o información referente a estos aspectos, cumplen con los criterios de auditoria, y la comunicación de los resultados de este proceso al cliente. OBJETIVOS La auditoria debe estar basada en objetivos definidos por el cliente. El alcance es determinado por el auditor líder en acuerdo con el cliente para alcanzar los objetivos. El alcance describe la extensión y límites de la auditoría. Los objetivos y el alcance deben ser comunicados al auditado antes de la auditoria.

Para asegurar la objetividad del proceso de auditoría, sus resultados y cualquier conclusión, los miembros del equipo auditor deben ser independientes de las actividades que auditan, deben ser objetivos, y libres de tendencia o conflicto de intereses durante el proceso. El uso de miembros externos o internos del equipo auditor está sujeto a discreción del cliente. Un miembro del equipo auditor escogido dentro de la organización no debe ser responsable directamente del tema que se está auditando. Los miembros del equipo auditor deben poseer una combinación apropiada de conocimientos, habilidades y experiencias para cumplir con las responsabilidades de la auditoría.

AUDITOR LÍDER El auditor líder es el responsable de asegurar una conducta eficiente y efectiva de la auditoría dentro de los alcances de la misma. Adicionalmente, el auditor líder tiene las siguientes responsabilidades y actividades que cumplir: a) Consultar con el cliente el alcance de la auditoría. b) Formar y dirigir las actividades del equipo auditor. c) Coordinar la preparación de los documentos y procedimientos detallados de trabajo. d) Representar al equipo auditor en discusiones con el auditado e) Realizar los informes de la auditoría para el cliente. AUDITOR a) Planear y desarrollar las tareas asignadas, objetiva, efectiva y eficientemente, b) Recopilar y analizar las evidencias de auditoría relevantes y suficientes para determinar los resultados de la auditoría. c) Preparar los documentos de trabajo. d) Documentar los resultados individuales de la auditoría. e) La redacción del informe de auditoria.

ALCANCES DE LA AUDITORIA El alcance describe todo el sistema de gestión de calidad, procedimientos, y de todos los apartados de la norma de calidad aplicada para la implantación del sistema así como la información relativa a documentación legal y administrativa de la empresa por el equipo auditor, en factores tales como la ubicación física, actividades organizacionales, y la forma de realizar los informes. El alcance de la auditoría debe ser determinado entre el cliente y el auditor líder. Cualquier cambio posterior al alcance de la auditoria debe realizarse de común acuerdo entre el cliente y el auditor líder. Los recursos encargados al auditor deben ser suficientes en cantidad y calidad para cumplir con el alcance requerido.

PLAN DE AUDITORIA Un plan de auditoria debe ser establecido y comunicado al cliente. El cliente debe revisar y aprobar dicho plan. El plan debe incluir: a) Los objetivos y alcance de la auditoria, b) El criterio a ser usado para la realización de la auditoría c) La identificación de las unidades organizacionales y funcionales a ser auditadas, d) La identificación de las funciones y/o individuos dentro de la organización del auditado que tengan responsabilidades relativas a aspectos de la calidad. e) El tiempo y duración esperados para las entrevistas e inspecciones. f) Las fechas y lugares donde se va a realizar la auditoria. g) El Cronograma de reuniones que se van a tener con la gerencia del auditado. h) Requerimientos confidenciales. i) El contenido, formato y estructura del informe.

ACTIVIDADES A SER REALIZADAS EN EL LUGAR DE LA AUDITORÍA REUNIÓN INICIAL Debe darse una reunión de apertura. El propósito de una reunión de apertura es el de: a) Presentar a los miembros del equipo auditor a la gerencia del auditado. b) Revisar el alcance, los objetivos y el plan de auditoria y llegar a un acuerdo con respecto a la tabla de tiempos de la auditoria. c) Proveer un resumen corto de la metodología y de los procedimientos a ser utilizados durante la auditoría. d) Confirmar que los recursos y facilidades necesitadas por el equipo auditor estén disponibles. e) Promover la participación activa del auditado f) Revisar los procedimientos de seguridad y emergencia relevantes del local para el equipo auditor.

DETECCIÓN DE EVIDENCIA La información apropiada debe ser recopilada, analizada, interpretada y documentada para ser utilizada como evidencia de la auditoria en un proceso de verificación y evaluación para determinar si los criterios de la auditoría se están cumpliendo. La evidencia de la auditoria debe ser de tal calidad y cantidad que auditores de calidad competentes, trabajando independientemente cada uno, lleguen a resultados de auditoría similares a la evaluación de la misma evidencia contra los mismos criterios de auditoría. La evidencia de la auditoría debe ser recolectada por medio de entrevistas, revisión de documentos y la observación de actividades y condiciones.

RESULTADOS DE LA AUDITORIA El equipo auditor debe revisar toda la evidencia de la auditoria para determinar donde no se cumple con los criterios de auditoria del SGC El auditor de calidad debe considerar las limitaciones de la auditoria y el reconocimiento de la fiabilidad en los resultados y cualquier conclusión de la auditoria, se deben tomar estos factores en cuenta al planear y ejecutar la auditoria. El auditor de calidad debe obtener suficientes evidencias para que los resultados individuales de la auditoria, agregados a los resultados de menor significado, puedan afectar cualquier conclusión alcanzada.

REUNIÓN FINAL. Luego de completar la fase de recopilación de evidencia y antes de preparar un informe de la auditoria, los auditores deberán tener una reunión con la gerencia del auditado y aquellos responsables de las funciones auditadas. El propósito principal de esta reunión es el de presentar los resultados de la auditoria al auditado, de tal manera que se tenga una comprensión y reconocimiento claro de la base de dichos resultados. Los desacuerdos deben ser resueltos, si es posible antes de que el auditor líder presente el informe, las discusiones finales en el significado y descripción de los resultados de la auditoria ultima recaen en el auditor líder, sin embargo el cliente puede todavía estar en desacuerdo con los resultados.

INFORME Los resultados de la auditoría o un resumen de estos deben ser comunicados al cliente en un informe escrito. El informe escrito se prepara bajo la dirección del auditor líder, quien es el responsable de su exactitud y perfección. Las informaciones que se tomen en el informe de la auditoria deben ser los predeterminados en el plan de la auditoría. La información relativa a la auditoria que se debe incluir en el informe debe incluir, pero no está limitada a: a) La identificación de la organización auditada y del cliente. b) Los objetivos y alcance acordados de la auditoría. c) El período cubierto por la auditoria, d) La(s) fecha(s) en que la auditoria fue realizada, e) La identificación del equipo auditor, f) La identificación de los representantes del auditado que participaron en la auditoría. g) Un resumen del proceso de auditoria, incluyendo cualquier obstáculo enfrentado. h) Las conclusiones de la auditoría. i) Las declaraciones de confidencialidad de los contenidos. j) La lista de distribución del informe de la auditoría.