Formato Del Informe de Auditoria de Sistemas
Short Description
Download Formato Del Informe de Auditoria de Sistemas...
Description
El informe de auditoría 1. Caratula, conteniendo la identificación del informe, periodo, y empresa evaluada motivo de la evaluación. 2. Cabecera con el logo de la empresa auditora (parte superior izquierda), pie de página con la fecha de presentación del informe (parte inferior derecha) 3. Identificación del informe: un nombre que lo identifique de otros informes. 4. Identificación del cliente: destinatarios y personas que solicitan la auditoría. 5. Identificación de la entidad auditada: organización/entidad/área objeto de la auditoria de sistemas. 6. Objetivos de la auditoria de sistemas: identificar el propósito de la auditoria. Para el caso, se deberá indicar todos los objetivos de acuerdo a la metodología desarrollada en clase, teniendo en cuenta que no todos los objetivos se han desarrollado. 7. Normativa aplicada: identificar las normas legales y profesionales. Ejemplo: Normas profesionales – Normas legales – COBIT 4.1, etc. 8. Alcance de la auditoria: Naturaleza y extensión del trabajo, a saber: a. Área de la organización: Ejemplo: Departamento de TI - UNT b. Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08 c. Sistemas/áreas a auditar: Ejemplo: Auditoria integral d. Herramientas utilizadas: Describir las herramientas utilizadas en el proceso de auditoria e. Limitaciones al alcance: Ejemplo: No se audita el contenido de las tablas, sino su diseño y estructura en cuanto a la normalización de datos según el modelo de Boyce Codd. f. Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo el sistema en su versión de fuentes, ejecutables, ayudas y accesorios.9. Informe corto – Resultados – Dictamen – Opiniones – Párrafos de salvedades y énfasis de ser necesarios. Se deben colocar todas las observaciones agrupadas por objetivos principales y sus respectivas recomendaciones resumidos, además por cada objetivo se debe emitir una opinión. Teniendo en cuenta los resultados producto del desarrollo de los objetivos, los auditores deberán emitir una: a. Opinión favorable: opinión calificada sin salvedades, limpia, clara y precisa. No tiene limitaciones de alcance y sin incertidumbre. Están acordes con la normativa legal y profesional.- Deben ser expresadas en lenguaje coloquial, sin ambigüedades y medible en todos sus términos. Ejemplos: Las tablas del SGBD están normalizadas y respetan el modelo de Boyce Codd. // El código fuente del sistema de cuentas corrientes de clientes, respeta los principios de automatismo y determinismo. b. Opinión con salvedades: opiniones favorables, pero que se afectan por las siguientes circunstancias: i. Limitaciones al alcance del trabajo realizado, restricciones por parte del área auditada, por ejemplo. ii. Incertidumbre que no permite una previsión razonable. iii. Irregularidades significativas iv. Incumplimiento de la normativa legal y profesional. Ejemplos: Las tablas del SGBD están normalizadas y respetan el modelo de 3era FN. No obstante, en el manual de diseño de bases de datos del sistema, se exige el modelado de los datos según el modelo de 5ta forma normal de Boyce Codd. // El código fuente del sistema de cuentas corrientes de clientes respeta el principio de automatismo, mas no asi el de determinismo. En un 20% el sistema no se comporto determinísticamente ante un mismo lote de prueba.-
Consideraciones: Este tipo de opinión puede generar para cada caso una o más recomendaciones del auditor informático.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? c. Opinión desfavorable: Esta opinión se aplica en casos de: i. Identificación de irregularidades ii. Incumplimiento de la normativa legal que afectan significativamente los objetivos de la auditoria informática. Deben tener una reseña detallada en el informe largo. iii. Incumplimiento de la normativa profesional: que afectan significativamente los objetivos de la auditoria informática. Deben tener una reseña detallada en el informe largo. Ejemplo: El motor de bases de datos identificado como Informix V2.0 no posee licencias habilitantes. // Los profesionales de sistemas de la organización no poseen títulos habilitantes ni matricula profesional.Consideraciones: Este tipo de opinión puede generar para cada caso una o más recomendaciones del auditor de sistemas.- Como serian las recomendaciones de las opiniones con salvedades arriba informadas? d. Opinión denegada: Tienen su origen por: i. Limitaciones al alcance ii. Incertidumbres significativas que no permiten al auditor formar una opinión iii. Irregularidades iv. Incumplimiento de normativa legal y profesional Ejemplo: No se audito la normalización de tablas según el modelo de Boyce Codd, debido a que fue denegado el acceso al diccionario de datos del sistema. // No se audito el perfil profesional de los especialistas de sistemas por negativa de entrevistas y pruebas de aptitud profesional y desempeño.Consideraciones: Este tipo de opinión puede generar para cada caso una o más recomendaciones del auditor informático.- Como serian las recomendaciones de las opiniones con salvedades arriba informadas? 10. Resultados: Informe largo e informes anexos: Es una ampliación de todas y cada una de las opiniones del punto anterior.- Los usuarios, no hay duda, desean saber mas y quieren transparencia como valor añadido. El limite lo determinan los papeles de trabajo o documentación del a auditoria de sistemas, pero deben considerarse los siguientes aspectos: a. Secreto de la organización: verticalistas (iglesia, FFAA, etc) b. Secreto profesional c. …entre otros…. Algunas organizaciones públicas-gubernamentales y privadas solicitan informes adicionales. Ej. Bancos, Bolsa de comercio, etc. 11. Informes previos: Considerando que el informe de auditoria informática es parte de un informe de conjunto o bien ya existen otros informes de auditoria que resultan significativos al informe actual.-
La detección de irregularidades significativas (fraudes por ejemplo) requiere de una actuación inmediata según las normas legales y profesionales. Recordar la responsabilidad civil del auditor informático.12. Fecha del informe: muy importante, ya que permite la cuantificación de los honorarios, cumplimiento de los tiempos con el cliente y la magnitud del trabajo y sus aplicaciones. Debe considerarse: a. Fecha de inicio b. Fecha de finalización c. Fecha de cierre del ejercicio económico ( en caso de organizaciones que lo requieren como obligatorio) Nota: estas fechas deben ser concordantes con el plan de trabajo propuesto antes de realizar la auditoria.13. Identificación y firma del auditor: Aspecto formal y esencial del informe. Tanto de ser individual como grupal (socios legalmente comprometidos) 14. Distribución del informe: Hace referencia a quien o quienes podrán hacer uso del informe, los usos concretos que tendrá, ya que los honorarios deben tener relación con la responsabilidad civil. 15. Anexos: Documentación y otros papeles de trabajo a. Contrato cliente/auditor b. Propuesta del auditor c. Identificación del auditor. Presentación y CV de ser requerido d. Declaraciones de la dirección e. Otros contratos que afecten al sistema de información f. Asesoría jurídica del cliente g. Informes sobre terceros vinculados h. Conocimiento de la actividad del cliente i. Evidencia i. Relevante ii. Fiable iii. Suficiente iv. Adecuada Ejemplo: Código fuente, modelo de datos, diccionario de datos, pantallas del sistema, entre otros.. 16. Anexos adicionales que no forman parte del informe final, pero que si forman parte del trabajo para el curso de auditoría: a. Plan de auditoría completo b. Programa de auditoría completo c. Papeles de trabajo desarrollados de acuerdo a los objetivos propuestos d. Evidencias adicionales utilizadas para desarrollar el trabajo asignado e. CD/DVD conteniendo toda los documentos en formato digital y sin claves
View more...
Comments