Informe de Auditoria de Sistemas

 

INFORME DE AUDITORIA DE SISTEMAS

LUIS MIGUEL SAENZ MORENO VICTOR ARMANDO CALDERON MELO

 AUDITORIA DE SISTEMAS GRUPO 30103 DOCENTE: NESTOR PINZON

CORPORACION UNIFICADA DE EDUCACION SUPERIOR CUN 2015

 

INFORME DE AUDITORIA DE SISTEMAS   1. DEFINICION: La elaboración del informe de auditoría sistemas es el punto final del proceso de captación captac ión y tratami tratamiento ento de la inform información ación obte obtenida nida del sist sistema ema audit auditado. ado. Esta in info form rmaci ación ón ha de se serr su sufifici cien ente te pa para ra qu que e el audi audito torr, con su exper experie ienc ncia ia y con co noc ociimiento, sea capaz de realizar un diagnóst stiico y re rea alizar un una as recomendaciones.   2. CARACTERISTICAS DEL INFORME DE AUDITORIA DE SISTEMAS En la relación del informe ,el auditor señala los resultados de su investigación ,sus evaluaciones evalua ciones,, hallazgos, apor aportacion taciones es y conclusiones conclusiones sobre el traba trabajo jo realizad realizado; o; también ,también señala las técnicas ,herramientas ,métodos y procedimientos que utilizo utilizo en la obten obtención ción de datos ,las obse observacio rvaciones nes e interpretac interpretaciones iones de los fenómenos y hecho evaluados que le sirvieron de sustento en la elaboración de documentos de situaciones encontradas o relevantes que informa, así como todas las las de demá máss ap apor orttac acio ione ness con las las cu cual ales es da su se selllo pers person onal al al info inform rme e presentado . Evidentem Eviden tement ente e ,e ,ell inform informe e de una aud audito itoria ria de sistema sistemass com comput putacio acional nales es es producto de la experiencia y conocim conocimientos ientos del auditor que lo presenta ;p ;por or esta razón raz ón,, ad adem emás ás de se serv rvir ir para para se seña ñala larr la lass ob obser serva vaci cion ones es,, de desv svia iaci cion ones es y resultados encontrados ,este documento también sirve para que el auditor exhiba los conocimientos ,técnicas y procedimientos que utilizo para evaluar el área de sist si stem emas as ,a ,asi simi mism smo, o, en su red redac acci ción ón mu muest estra ra su fo form rma a de se serr y de actu actuar  ar  profesionalmente ,así como su cultura . De hecho, esto también se juzga en la presentación del informe de auditoría; no solo el resultado, sino quien y como lo presenta .por eso es muy importante conocer las características fundamentales de la elaboración del informe de la auditoria. Para contribuir a incrementar la calidad en la presentación del informe de auditoría ,mis ,m isma ma que que se pue puede de ha hace cerr exte extens nsiv iva a a cual cualqu quie ierr otro otro titipo poss de tra traba bajo jo profesi prof esiona onales les ,e inc inclus luso o pers persona onales les o esco escolar lares es ,a con contin tinuac uación ión presen presentam tamos os algunas de la principales características de la redacción del informe de auditoría ,lass cuales ayudara ,la ayudaran n al aud audito itorr de siste sistemas mas comp computa utacio cional nales es a mej mejorar orar su elaboración .

 

2.1 2.1

CA CARA RACT CTER ERIS ISTI TICA CAS S FUND FUNDAM AMEN ENT TALES ALES::

Inicia Inicialme lmente nte,, se pue pueden den identi identific ficar ar dos cara caracte cterís rístic ticas as fun fundam dament entale aless en los informes de auditoría de sistemas, las cuales siempre se refieren al contenido del informe y a la forma de presentarlo; dichas características son las siguientes Estas características se refieren al cuidado que debe tener el auditor de sistemas al revisar que el contenido total del informe de auditoría sea acorde con lo que re realm almen ente te titien ene e qu que e se seña ñala larr ace acerc rca a de la revis revisió ión n efec efectu tuad ada, a, ref refir irié iénd ndos ose e exclusivamente al contenido del informe; para ello debe tomar en cuenta los siguientes aspectos: o

o

o

o

o

o

o

 

Que la información que contiene el documento sea veraz, confiable y oportuna y sin distorsiones ni tendencias que demeriten el trabajo realizado. Que el uso de la terminología sea exacto y objetivo, para que se entiendan e interpreten las desviaciones reportadas tal y como se quisieron plasmar. Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o modificar lo encontrado en la evaluación. Que permita mostrar la situación real del área auditada, a fin de identificar y solucionar lo encontrado en la evaluación. Que permita mostrar, con su simple lectura, la situación real del área auditada, a fin de solucionar la problemática señalada. Que su conten contenido ido abarque todo lo que se debe informar del área auditada, sin abundar en explicaciones inútiles, pero sin ser parco en lo que se presenta. Que el lector capte inmediatamente la problemática que reporta el auditor, así como la opinión que plasma respecto al funcionamiento del área de sistemas o de sistemas auditados.

 

Se refiere refiere a la manera en que el auditor auditor debe presen presentar tar el info informe, rme, en cuant cuanto o al estilo estil o de redacción, contenid contenido o en partes, apartados, apéndices, apéndices, tipo y tama tamaño ño de las hojas y el tipo de letra, ortografía, sintaxis, gramática y demás componentes del lenguaje, y en sí de todo lo relacionado con la presentación del documento. Al redactar dicho informe, el auditor debe considerar los siguientes aspectos: o

o

o

o

o

Que esté redactado en forma concisa, clara, sencilla y amena, sin exceso de tecnicismo, pero sin omitirlos cuando sean necesarios, a fin de que su lectura sea comprensible. Que al red edac acta tarl rlo o se ev eviiten ten la re red dun unda danc ncia ia,, re repe peti tici cion ones es y reiteraciones inútiles que solo abultan y entorpecen la lectura. Que la forma de presentar el informe sea profesional, mecanografiado en forma impecable y con el contenido exacto que debe este tipo de documentos. Que su redacción sea impecable en cuanto ortografía y puntuación Que el contenido sea acorde a las necesidades y exigencias de la empresa auditora

  3. PROCEDIMIENTOS PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS En el informe informe de audito auditoría ría se report reportan an las situac situacion iones es encontrad encontradas as durante durante la evaluación pero también se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Sin embargo la elaboración elaboración del informe, informe, el cual es el punto más importan importante te de la auditoria audito ria de sistem sistemas, as, es u uno no de lo loss aspect aspectos os más d difíci ifíciles les para los aud auditores itores debido a que requiere procedimientos procedimientos complicados, complicados, prop propios ios de las auditorias los cuales se tienen que llevar a cabo mediante una secuencia como lo que se propone en la figura. En ella se describe un ordenamiento general de realización del informe el cual va desde la aplicación de los instrumentos de recopilación hasta la presentación del informe a los directivos de la empresa.

 

Está claro que el producto final final y el más important importante e de una auditoria de sistemas es la elaboración correcta del informe, ya que en este se presentan los resultados obtenidos durante la evolución de la gestión administrativa del centro de cómputo o de cualquier otro aspecto relacionado con los sistemas. 3.1 3. 1

PAS ASOS OS PAR PARA AE ELA LABO BORA RAR R DI DICHO CHO IN INFO FORM RME E SE C COM OMPO PONE NE DE: DE: o

 Aplicar instrumentos de recopilación

  De acuerdo con el programa para la auditoria de sistemas, el auditor aplica los instrumentos instru mentos,, técni técnicas, cas, procedimientos procedimientos y herrami herramientas entas que diseño en la etapa de planeación con el propósito de realizar la evaluación a los sistemas, a las áreas de centros de cómputo o a cualquier otro aspecto.   Con la apl aplicac icación ión de est estos os ins instru trumen mentos tos,, el aud audito itorr det detect ecta a las posi posible bless desv de svia iaci cion ones es a la acti activi vida dad d qu que e se está está eval evalua uand ndo o y de acue acuerd rdo o con con sus sus conoc co nocim imie ient ntos os y exper experie ienc ncia iass la lass an anal aliz iza a y la lass regis registr tra a en el fo form rmat ato o de situaciones encontradas que analizaremos continuación.  

INSTRUMENTOS DE RECOPILACION:

  Este tiene como objet objetivo ivo ident identifica ificarr los princi principales pales instr instrumento umentoss técni técnicas, cas, herramientas y métodos utilizados en la recopilación de información:   Las cuales se detallan a continuación:   a) Entrevista   b) Cuestionarios   c) Encuestas   d) Observación      

e) Inventarios f) Muestreo g) Experimentación

  Al util utilizar izar estas herrami herramientas entas,, métod métodos os y procedimient procedimientos os en auditoria auditoria de sist sistem emas as lo que ha hace ce es util utiliz izar ar lo me mejo jorr de ella ellass pa para ra ad adec ecua uarl rlas as a las las necesidades específicas de la evaluación requerida.   IMPORT IMPORTANCIA ANCIA DEL USO DE HERRAMIENT HERRAMIENTAS AS COMPUTADORIZADAS COMPUTADORIZADAS EN LA AUDITORÍA  clasificar Las herrami entas as comput com putado adoriza rizadas das detécnicas apoy apoyo o yaherramientas la aud audito itoría ría se sue suelen len en herr dosamient categorías genéricas, a saber:

 

 

Podemos decir de estos que las:

  Técni Técnicas: cas: extracc extracción ión y análi análisis sis de datos, detecc detección ión de fraude fraude,, monit monitoreo oreo continuo, valoración de la seguridad de la red, control de comercio electrónico, evaluación del control interno y papeles de trabajo automatizados.   Her Herram ramien ientas tas:: pro proces cesador adores es de tex texto, to, hoj hojas as ele electr ctróni ónicas cas,, sof softwa tware re especializado de auditoría, correo electrónico, diagramas de flujo, bases de datos, admi ad min nistr istrac aciión de datos atos y gr gro oup upw war are, e, ad admi mini nist stra raci ción ón de la au audi dito torí ría a y administración de riesgo o

Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión

  Con la aplicación de los instrumentos diseñados en la etapa de planeación, el auditor audi tor ident identifi ifica ca aquell aquellas as posi posible bless desv desviac iacion iones es que encue encuentr ntra a dur durant ante e su evalua eva luació ción n y hace un análi análisis sis comp comparat arativo ivo de la ope operaci ración ón norma normall con contra tra la espe espera rada da.. Un Una a vez vez he hech cho o este este an anál ális isis is,, en ento tonc nces es pu pued ede e de defifini nirr aq aque uellllas as situaciones encontradas e en n ssu u evaluación.   Las desviaciones que reporta el auditor tienen características especiales, las cuales debes p plasmar lasmar por esc escrito rito en un documento documento de carác carácter ter fo formal, rmal, al que llamaremos llamar emos format formato o de situaciones encontradas. encontradas. Además como requer requerimient imiento o ineludible, dicho reporte debe estar perfectamente elaborado, en cuanto a su redacción, redacci ón, clari claridad, dad, oportu oportunidad nidad y otras caract característ erísticas icas propia propiass del informe de auditoría que analizaremos en el apartado correspondiente.   Es Está tá cl clar aro o qu que e la pr prin inci cipa pall fu funci nción ón de dell audi audito torr es re repo port rtar ar to toda dass la lass desviaciones que observo durante la auditoria de sistemas, para la cual puede utiliz utilizar ar el fo format rmato o que más más le pla plazca zca y de la man manera era en qu que e se acos acostum tumbre bre reportar dichas observaciones en la empresa e en n donde se realiza la auditoria; sin embargo emb argo a ccont ontinua inuació ción n sug sugerim erimos os la ado adopci pción ón de un fo forma rmato to muy fáci fácill de elaborar por la simplicidad y la sencillez para plasmar esas desviaciones. Este es el formato de situaciones situaciones enco encontradas ntradas el cual contie contiene ne las siguient siguientes es columnas las situaciones, situaciones, las causas, las sol soluciones uciones,, los responsabl responsables es de la soluci solución ón y las fechas de la solución o

Comentar las situaciones encontradas con los auditados

 

  Una vez ident identificad ificadas as las situa situaciones ciones encont encontradas, radas, es respons responsabili abilidad dad del encargado de la auditoria que el auditor o supervisor (que puedes ser el propio responsable de la auditoria) comenten cada una de esas desviaciones con el personal responsable de la operación, sistema o función auditada.  

Es indispensable que cada una de estas desviaciones sean discutidas con las

emplea emp leados dos funcio funcionar narios ios o usua usuario rioss que fue fueron ron aud audita itados, dos, ya que de alg alguna una manera esto manera estoss son resp respons onsabl ables es de que se presen presenten ten dic dichas has sit situaci uacione oness ( o cuando al menos están están involucr involucrados ados en ellos) el propósito propósito de informarles informarles es que ratifiquen o rectifiquen el origen de tales desviaciones; además también le sirve al auditor para complementar la redacción de las situaciones que reporta con ello se busca que est estas as sean llas as más cclaras laras po posibles sibles y más ent entendida endidass a fin de que se reporten exactamente como quieren señalar cada desviación.   La aud audito itoría ría no es una cace cacería ría d brujas brujas par para a cortar cortar las cab cabezas ezas de los auditados; es una revisión para encontrar posibles desviaciones en su actividad cotidiana cotidi ana y es deber del audit auditor or comenta comentarlas rlas con ellos ellos para resolv resolver er de común acuerdo. o

Encont Enco ntrar rar,, con conju junt ntam amen ente te co con n lo loss aud audititado ados, s, la lass ca causa usass de la lass desviaciones y sus posibles soluciones

  Como Como lo seña señalam lamos os en el punt punto o ant anteri erior or la nec necesid esidad ad de com coment entar ar las desviaciones con los responsables de la operación, también remarcaremos que de estos comentarios se puede obtener de manera más fidedigna y confiable las causas que generan cada una de las desviaciones a fin de reportarlas en el informe de auditoría lo más apegado posible a la realidad.   Está claro que al conocer las desviaciones desviaciones que se le imput imputan, an, el audita auditado do tratara de defenderse, señalando las causas que originaron cada una de las desviaciones encontradas con ello el auditor puede corroborar o rectificar las causas que había planteado además le permite obtener, de manera directa y en voz de los invo involuc lucrad rados os las posibles posibles soluc solucion iones es a est estas as desviacio desviaciones nes inclu incluso so hasta el responsable de llevarlas a cabo.   Est Este e es el verd verdader adero o trab trabajo ajo del aud audito itorr, rep report ortar ar las desv desviaci iaciones ones que encontró durante su evaluación, encontrar las causas que las originan y acordar  las posibles colusiones conjuntamente con el auditado. Así al es como se entiende y debe entenderse la función de la auditoria de sistemas

 

  Cua Cuando ndo se da est esta a ret retroal roalime imenta ntació ción n con el pers personal onal aud audita itado, do, de ellos ellos mismos se puede relacionar a la posible responsabilidad de la solución y la fecha compromiso que se puede llegar a solucionar cada una de las desviaciones presentadas. o

 Analizar, depurar y corregir las desviaciones encontradas

  Un Una a ve vezz qu que e se co come ment ntaro aron n la lass de desv svia iaci cion ones es co con n lo loss au audi dita tado doss y se obtuvieron obtuvi eron sus causa causass y posibles solucion soluciones es el responsable responsable de la audi auditoria toria de sistemas será el encargado de analizar las desviaciones vigilando que cada una de est este e per perfec fectam tament ente e pla plasma smado do y correct correctamen amente te reda redacta ctado do en el format formato o de situaci situacione oness encont encontrad radas. as. La red redacci acción ón y present presentaci ación ón de est estas as desv desviac iacion iones es debe hacerse hacerse los m más ás correct correctament amente e posibl posible e sin admi admitir tir ni el más más mínim mínimo o error  de or orto togr graf afía ía,, redac redacci ción ón titipog pogra rafí fía. a. Es Esta ta es la pr prin inci cipal pal res respo pons nsabi abililida dad d de dell encar en carga gado do de la au audi dito toria ria de si sist stem emas as vi vigi gila larr el corr correc ecto to re repor porte te de las las situaciones encontradas.   Cada auditor elabora un borrador o mecanografiadas, las observaciones que observo durante su evaluación y al mismo tiempo e ess responsable de comentarlas con el personal auditado para obtener de ellos sus causas y soluciones. Una vez que fue fueron ron com coment entadas adas y en su cas caso o corrobor corroborada adass o rect rectifi ificad cados, os, entonce entoncess entrega ent rega un infor informe me al resp respons onsabl able e de la aud audito itoria ria qui quien en será el enc encarga argado do de analizar cada una de estas desviaciones, a fin de redactar mejor concretadas y a darle da rless un una a estr estruc uctu tura ra je jerár rárqu quic ica a de pr pres esent entac ació ión n en un in info forme rme global global de situaciones relevantes encontradas durante la evaluación de os sistemas. o

Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes.

  Una vez que el responsable de la auditoria de los sistemas haya supervisado que el informe de desviaciones encontradas este correctamente el elaborado, aborado, debe analizar toda las desviaciones reportadas, a fin de escoger las que considere las más imp import ortant antes es para reporta reportarla rlass en el form formato ato de situaci situacione oness rele relevan vantes tes el propósito es enfatizar lo que considera como lo más importantes de la evaluación practicada a fin que los directivos directivos conozcan los aspectos más relevantes.   Las situaciones situaciones que se reporta reportan n como las más relevan relevantes tes se deben redact redactar  ar  tal como fueron fueron reporta reportadas das en el formato de sit situacion uaciones es relevant relevantes es (se sugiere que siempre sea así). Sin modificarse (es propiamente una copia fiel de estos). Esta Es ta la más más co conv nven enie ient nte e pa para ra ev evititar ar co conf nfus usio ione ness de in inte terpr rpret etac ació ión n de er error  ror  mecanográficos o a cualquier otra alteración que desea reportar como relevante.

 

 Además así corrobora que las desviaciones fueron comentadas con el personal auditado. Con esto no habrá lugar para ninguna mala interpretación ni evasión de responsabilidades cuando el informe de situaciones relevantes sea comentado con los directivos del área de sistemas, además será más fácil mecanografiar  dicho informe. o

Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones.

  Así como las situa situaciones ciones encont encontradas radas se coment comentaron aron con los audita auditados, dos, también tambi én las situa situaciones ciones relevantes relevantes se deben coment comentar ar con los direct directivos ivos del área de sistemas a fin estos las conozcan, el personal auditado puede, a juicio de los directivos, estar presente para cualquier posible aclaración sobre lo informado. Esto es lo más recomendable.   El responsable de la auditoria debe encabezar la presentación de este informe al di dire rect ctiv ivo o de may mayor or je jerar rarqu quía ía de dell ár área ea de sist sistem emas as.. Por Por lo gen genera erall esta estass reuniones consideradas como relevantes; aunque también se pueden presentar  las llameas situaciones encontradas. Además, si el encargado de la auditoria lo considera pertinente, cada auditor puede presentar el informe de la parte que le toco evaluar, o puede hacerlo una sola persona en representación del responsable de la evaluación. Todo se hace d acuerdo con el estilo y costumbre de realizar  estas presentaciones.   También es decisión del encargado que cada auditor aclare las dudas de los participantes en esta reunión.  

En esta reunión reunión se present presentan an los result resultados ados obteni obtenidos dos en la audit auditoria oria de

sistemas y el informe a los directivos del área auditada se debe hacer en forma abie ab iert rta a y pr pref efere erent ntem emen ente te en pr prese esenci ncia a de to todo do el perso persona nall aud audititad ado; o; esto esto obedece a que aun con sus causas y soluciones. Aunque esto no es muy usual, ya que se debe tomar en cuenta que los problemáticas, situaciones, incidencia, desviaciones u observaciones encontradas durante la auditoria y reportadas en el formato de situaciones relevantes, ya fueron comentadas con cada uno de los auditados.   No obsta obstante, nte, como es natural, natural, en estas reunion reuniones es muchos de los audit auditados ados trataran tratar an de evadir o justi justificar ficar su respons responsabilid abilidad ad en las desviacion desviaciones es e inclus incluso o en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situación que se les imputa.

 

  Recordemos Recordemos que esté persona personall esta ante su jefe y difí difícilmen cilmente te aceptara aceptara sus errores públicamente.   Como result resultado ado de esta reunió reunión, n, se pueden elabora elaborarr las modif modificaci icaciones ones que cada caso requieran, de ser necesario, se puede convocar a una nueva reunión para pa ra pres present entar ar la lass si situ tuac acio ione ness rel relev evant antes, es, per pero o no para para co come ment ntar ar con con lo loss auditados las situaciones encontradas. o

Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen del auditor 

  El siguie siguiente nte paso es que el audit auditor or respons responsable able de la audito auditoria ria depure cada una de las situaciones relevantes reportadas, con el fin de concentrarlas en el llamado informe final de auditoría. Debido a que le informe es para el área directiva de la empresa, no debe exceder de dos o tres hojas. En este informe el auditor solo debe señalar lo más relevante de la evaluación, incluyendo su opinión.   La ela elabor boraci ación ón del inform informe e es el verd verdade adero ro trabaj trabajo o del res respons ponsabl able e de auditoria, debido a que en este documento es donde realmente se muestra la importancia de su actividad, al señalar en que situación estaba el área de sistemas ante la evaluación practicada por los auditores a su cargo; además debe emitir  una un a op opin inió ión n au auto tori riza zada da so sobre bre el fu func ncio iona nami mient ento o de dell ce cent ntro ro de có cómp mput uto, o, su suss sistemas de información, el cumplimiento del personal y usuarios o sobre cualquier  otro aspecto relacionado con los sistemas de la empresa auditada.   Debemos aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del lenguaje que se maneja en los sistemas de la institución; por lo tanto, el informe final debe ser lo más sencillo, claro, comprensible para ellos, procurando evitar, al máximo máxim o posible, el uso de térm términos inos demas demasiados iados técnic técnicos os y desconocid desconocidos os para personas ajenas a la informática. Solo se deben destacar los aspectos más importantes del área, desde el punto de vista de los directivos y no del personal que maneja los sistemas. o

Pr Pres esen enta tarr el info inform rme e y dict dictam amen en fina finall a los los dire direct ctiv ivos os de la empresa

  El últi último mo paso del inform informe e de auditoría auditoría de sistemas sistemas es la present presentación ación ofici oficial al del informe (informe final de auditoría), lo cual se puede hacer de dos maneras, ya sea en forma directa, mediante una reunión ejecutiva con los directivos de la empresa,, o por envió formal del informe final de la audit empresa auditoria oria al directivo mayor de

 

la firma. Este y es el informe final de la auditoría practicada y, por lo tanto, no se debe admitir ningún comentario adicional que pudiera modificar lo ahí presentado; ya que es el producto final de la auditoria, y por lo tanto como crear expectativas de duda sobre la veracidad y confiabilidad de su contenido.  

Por lo general, a esta presentación solamente asisten el cuerpo directivo de la

empresa auditada y el cuerpo ejecutivo de la empresa encargada de realizar la auditoria; aunque nada simple que estén presentes tanto el personal del área d sistemas auditada, como los auditores participantes. En el caso de una auditoría interna, solo asisten el auditor y su cuerpo ejecutivo.   4. ESTRUCTURA DEL INFORME DE AUDITORIA DE SISTEMAS  Aunque hay muchas formas de presentar el siguiente informe de auditoría de sistemas, de acuerdo con las preferencias de la empresa o del auditor que realiza la auditoria. Este es el documento final, de carácter formal, en el que se presentan por escrito todos los aspectos importantes que fueron catalogados como deficiencias de las opera op eraci cion ones es au audi dita tada das, s, así co como mo el cu cump mplilimi mient ento o de la lass fu func ncio ione ness y de los resultados obtenidos con las actividades evaluadas durante la auditoria. El auditor  plasma su dictamen y opinión personal en este documento y lo sustenta con documentos de apoyo y los papeles de trabajo en los que va haciendo las anotaciones de las técnicas, métodos y procedimientos que utilizo durante el desarrollo del trabajo. En el informe de auditoría, el cual es un documento en el que se hace la prese pr esent ntac ació ión n fo form rmal al de lo loss res resul ulta tados dos obt obten enid idos os du duran rante te la au audi dito tori ria, a, deb debe e contener como mínimo lo siguiente: o o o o o o o

Oficio de Presentación Introducción Dictamen de la auditoria Situaciones relevantes Situaciones detectadas  Anexos Confirmaciones en papeles de trabajo

4.1 DE 4.1 DESA SARR RROL OLLO LO DE LA ES ESTR TRUC UCTU TURA RA DEL DEL IN INFO FORM RME E DE A AUD UDIT ITOR ORIA IA DE SISTEMAS.

 

4.1.1 4.1 .1 OFI OFICIO CIO DE PRESEN PRESENT TACION ACION Es la primera parte del informe de auditoría y es un documento de carácter oficial que sirve de presentación del informe, mediante este documento se pone a consi co nside derac ració ión n de lo loss di direc rectitivo voss de la em empre presa sa el re resu sultltado ado de la audi audito torí ría a practicada al área de sistemas. El contenido y presentación de dicho documento varían de una institución a otra, pero en esencia este documento debe ser elaborado en la papelería oficial de la empresa y debe contener como mínimo los siguientes aspectos: o o o o o o o o

Logotipo y nombre de la empresa Fecha de informe Funcionario que recibe el informe Empresa o área auditada Periodo de evaluación Contenido o cuerpo del oficio Responsable de emitir el informe Firma autógrafa del responsable

4.1. 4.1.2 2 INTR INTROD ODUC UCCI CION ON Es la parte del informe donde el responsable responsable de la auditoría hace la present presentación ación formal de su trabajo; en este apartado se manifiesta el objetivo de la auditoría, las razones que motivaron a llevarla a cabo y, si es el caso, los fundamentos que apoy ap oyen en su re real aliz izac ació ión, n, en algu algunas nas oc ocas asion iones es ta tamb mbié ién n se puede pueden n in indi dicar car la metodo met odolog logía ía y las herr herrami amient entas as utiliz utilizadas adas en la eva evalua luació ción n de los sis sistem temas, as, aunque esto último no es forzoso. Debem Debe mos seña señala larr que que no exis existe ten n re regl glas as espe especí cífifica cass pa para ra elab elabor orar ar esta esta introducción; sin embargo, se puede establecer como única regla que su redacción debe ser impecable y debe tener una excelente presentación, ya que es la primera parte que se lee del informe de auditoría. La introducción es frecuentemente la invitación a seguir leyendo el resto del informe; sin embargo, cuando esta parte está mal redactada, crea rechazo casi inmediato para seguir adelante con la lectura. Debido a lo anterior, a continuación presentamos una serie de sugerencias que ayudarán al auditor y al responsable del informe a mejorar la elaboración de dicha

 

introducción. Debemos aclarar que los puntos que analizaremos a continuación no son apartados de la introducción, y sólo se presentan para que el lector los identifique, pero no se deben anotar en el informe:

o o o o

 Aspectos generales Prólogo Objetivo Justificación

4.1.3 INFOR INFORME ME COR CORTO TO DE LA AUDI AUDITORI TORIA A (D (DICT ICTAMEN) AMEN) Tal vez vez ésta ésta sea sea la pa part rte e má máss im impo port rtan ante te de un una a au audi dito torí ría a de sist sistem emas as computacionales y, en muchas ocasiones, lo que más esperan los directivos de la empresa o del área auditada, debido a que es una opinión profesional respecto al comportamiento de los sistemas. Evidentemente, el dictamen está apoyado en la experiencia y conocimientos del auditor en las áreas de auditoría y sistemas, así como en la confianza del uso de las herramientas e instrumentos apropiados. Cada empresa de auditoría o auditor que elabora un dictamen debe emitir su opinión de acuerdo con su costumbre, experiencia o según los requisitos de la empresa auditada; sin embargo, por la importancia que tiene este informe en el área de sistemas, o en cualquier otra área, a continuación presentaremos un formato de dictamen y algunas recomendaciones para emitirlo de una mejor  manera. Es el docu docume ment nto o de cará caráct cter er form formal al dond donde e el audi audito torr

plas plasma ma su op opin inió ión n

profes prof esio iona nall res respec pecto to al co comp mport ortam amie ient nto o de lo loss sist sistem emas as y debe debe cum cumpl plir ir lo loss siguientes requisitos: o o o o o o

o o

Logotipo de identificación Nombre de la empresa Fecha de emisión del dictamen Ejecutivo receptor del dictamen Breve introducción al dictamen Cont Co nten enid ido o de dell info inform rme e de au audi dito torí ría, a, jera jerarq rqui uiza zand ndo o situ situac acio ione ness po por  r  importancia de mayor a menor o de menor a mayor  Cronología de ocurrencia de las situaciones que se reportan  Áreas de trabajo o Áreas Administrativas

 

o o o o

Procedimiento de operación o actividad Simple listado sin ningún orden específico Dictamen y recomendación del auditor  Responsable de emitir el dictamen

4.1.4 4.1 .4 SIT SITUAC UACION IONES ES REL RELEV EVANT ANTES ES Son formatos de presentación de los aspectos más relevantes y de mayor peso encontrados durante la evaluación. Parte fun Parte fundam dament ental al del inform informe e de aud audito itoría ría son los for format matos os de situac situacion iones es releva rel evante ntes;" s;" ést éstos os son los doc docume umento ntoss oficia oficiales les don donde de el resp respons onsabl able e de la auditoría reporta las desviaciones que, según su criterio, son las más importantes encontradas durante el desarrollo de la auditoría. Estoss form Esto format atos os se anex anexan an pa para ra po posi sibl bles es acla aclara raci cion ones es y cons consul ulta tass de las las desviaciones que se reportan en el dictamen; aunque, cabe recordar, el auditor  debió comentar este documento con los directivos del área de sistemas, como indicamos al principio. Formato de situaciones relevantes Este documento es una réplica simplificada del formato anterior, sólo que en éste únicamente se anotan las situaciones consideradas como relevantes, resultado del análisis anális is al docume documento nto anterior anterior,, es decir, decir, sólo se incluy incluyen en aquel aquellas las observa observaciones ciones que qu e a juic juicio io de dell au audi dito torr o de dell re resp spon onsa sabl ble e de la au audi dito torí ría a son son re real alme ment nte e importantes para el desarrollo de las actividades del área de sistemas evaluada. Debemos insistir que en este documento sólo se presentan las situaciones más significativas detectadas durante la evaluación. Es recomendable que las situaciones relevantes incluidas en este documento sean la mismas que las establecidas en el formato de las situaciones detectadas, incluso con las mismas palabra; pero aquí no deben aparecer a mano sino impecablemente mecanografiadas. También se sugiere seguir el mismo orden planteado en el documento anterior. A continuación presentamos una propuesta del formato de situaciones relevantes, el cual servirá de base para las siguientes aplicaciones de auditoría de sistemas que haremos.

 

Este formato, que también se elabora en forma individual, tiene tres columnas básicas en las cuales se anotan, exclusivamente en computadora o a máquina, los siguientes aspectos: o

o

o

Las situ Las situac acio ione ness re rele leva vant ntes es,, qu que e son son lo qu que e má máss se de dest stac acó ó en el docu do cume ment nto o an ante teri rior or y qu que e se det determ ermin inó ó com como o lo más más im impo port rtan ante te de destacar, según las pruebas, procedimientos y técnicas utilizados para hacer la evaluación. Las causas, que son los motivos de las desviaciones. Las po Las posi sibl bles es solu soluci cion ones es,, qu que e son son las las po posi sibl bles es solu soluci cion ones es pa para ra las las desviaciones.

4.1.5 4.1 .5 SIT SITUAC UACION IONES ES DET DETECT ECTADA ADAS S Presentación de todas las desvia Presentación desviaciones ciones encontra encontradas das durante la auditoria, auditoria, con las causas reales que las provocaron y sus posibles soluciones. Como parte complementaria del formato anterior, también se puede integrar en el inform informe e de aud audito itoría ría de sis sistem temas as comput computaci aciona onales les el for format mato o de situaci situacione oness encontradas, encont radas, que es donde se concen concentran tran todas las desviaci desviaciones ones encont encontradas radas durante la evaluación. Su inclusión en el dictamen es a criterio del responsable de la auditoría, debido a que sería muy improbable que los receptores del informe final,, general final generalment mente e altos funcion funcionarios arios de la empresa, tomen en cuenta el anális análisis is de este documento. Además, este formato dio origen al de situaciones relevantes y este último dio pie a la elaboración del dictamen de auditoría. Por ello se consultaría muy esporádicamente. Formato de situaciones encontradas Este do Este docu cume ment nto, o, qu que e es un uno o de lo loss do docu cume ment ntos os ní nías as im impo port rtan ante tess par para a oí desarrollo de cualquier auditoría de sistemas, es un formato especial para la recopilación recopi lación de situac situaciones iones o desvia desviaciones ciones encontra encontradas, das, el cual está formad formado o por  una serie de hojas (formatos individuales) en las cuales el auditor anota en manu ma nuscr scritito o o titipo pogra grafí fía a to todas das la lass des desvi viaci acion ones es qu que e en encu cuent entra ra dura durant nte e su evaluación.

 

Este formato, en forma individual, tiene seis columnas básicas en las que se anotan los siguientes asuntos: o

o

o

o

La re refe feren renci cia: a: es un nú núme mero ro co cons nsec ecut utiv ivo, o, comb combin inado ado o ma marc rca a especial, mediante el cual se identifica la situación a tratar. Las situaciones detectadas: específicamente, es la descripción de lo que se encontró en un determinado punto de la evaluación, según las pruebas, procedimientos o técnicas de evaluaciones utilizadas para hacer la revisión; cada una de estas desviaciones es parte importante del documento. Las causas: es la presentación de los motivos e imputaciones que originaron la desviación y puede ser una sola causa o varias las que ocasionaron esta desviación, todas se anotan, a criterio del auditor. Las posibles soluciones: son sugerencias del auditado o del auditor  para solu para soluci cion onar ar las las de desv svia iaci cion ones es re repo port rtad adas as.. Ca Casi si siem siempr pre e corresponde una solución para cada una de las causas reportadas.

o

o

Fecha Fech a de co comp mpro romi miso: so: es el per perío íodo do o la fe fecha cha te tent ntat ativ iva a pa para ra im impl plan anta tarr la so solu luci ción ón aco acord rdada ada.. Se an anot ota a un una a fe fech cha a pa para ra cada cada solución propuesta. Responsables de las soluciones: son los funcionari Responsables funcionarios, os, empleados o cualquier persona responsable de implantar las soluciones. También se acostumbra anotar un responsable por cada solución, aunque a veces parezca repetirse el mismo responsable.

4. 4.1 1.6 ANEXO XOS S Cuadros, estadísticas, acta o cualquier otro documento que sirva de soporte para reafirmar las desviaciones presentadas. El auditor puede obtener otro tipo de información que puede llegar a ser útil para realizar la evaluación: o

Resultados del procesamiento de datos.

o

Descripción de puestos, funciones y actividades.

o

Resultados de pruebas y cálcul Resultados cálculos os de procesa procesamient mientos os que se efectúan en el sistema.

 

o

Copias de formatos y licencias de programas y paqueterías.

o

Copias de resguardos de equipos y mobiliario

o

o

o

o

o

o

o

o

Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información. Mapas de rutas de evacuación y seguridad del área de sistemas. Bitácoras de reportes y reportes de servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resulta Resul tados dos de diseñ diseños os,, an anál ális isis is,, co codi difificac cació ión, n, pr prueb uebas as y liliber beraci ación ón de sistemas. Copi Co pias as de pr prog ogra rama mass fuen fuente te,, ob obje jeto to,, y codi codififica caci ción ón de los los sist sistem emas as desarrollados en la empresa. Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas. Diagramas de sistemas de programación y desarrollo de sistemas.

4.1.7 CONFI CONFIRMACI RMACIONES ONES EN PAPELES PAPELES DE TRABA TRABAJO JO Son pruebas documentadas que sirve de soporte para sustentar las desviaciones, causas u otros aspectos relevantes encontrados. La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor, de ahí la importancia que reviste la suficiencia, relevancia y competencia de la evidencia así como la calidad y claridad de los Papeles de Trabajo, atendiendo a que la información de aquí se recoge está escrita siempre a terceros que son los clientes de nuestro servicio. 4.2 FOR FORMA MATO TOS SP PARA ARA EL INFORM INFORME E DE AUD AUDIT ITORI ORIA A DE S SIST ISTEMA EMAS S Existen muchas formas de desviaciones que se detectan en una auditoria de sistem sis temas, as, que se pres present entan an de acu acuerdo erdo a las exp experi erienci encias, as, conoci conocimie miento ntoss y necesidades del responsable en hacer la auditoria.

 

 Además existen empresas que realizan un trabajo de auditoria, ellos tienen establecidas sus propias formas de reportar las observaciones, estandarizando así la forma de elaborar su informe de auditoría. Podemos tomar de ejemplo dos formatos de auditoria que son más funcionales, por la forma que ayudan al auditor a reportar las situaciones encontradas en la auditoria, auditor ia, con la final finalida idad d de que la perso persona na lec lector tora a entienda entienda lo que se está informando en estos documentos. Estos facilitaran: o o

la forma de reportar las desviaciones observadas en la evaluación. para ens enseña eñarr a llos os audi auditor tores es pri princi ncipia piante ntess com como o el elabor aborar ar inform informes es de de auditoría, pues son fáciles de llenar y comprender.

Los siguientes formatos son: Formatos de situaciones encontradas o o

Formatos de situaciones relevantes

4.2.1 FORMA FORMATOS TOS DE SITUACION SITUACIONES ES ENCON ENCONTRADAS TRADAS:: Este documento que es uno de los más importantes para el desarrollo de cualquier  auditoria de sistemas, es un formato especial para la recopilación de situaciones o desviac desv iacion iones es encon encontra tradas, das, est está á formad formada a por una sseri erie e de ho hojas jas ((for format matos os individuales) en las cuales el auditor anota en manuscrito, todas las desviaciones que encuentre d durante urante su evaluación: Este Est e formato, formato, en for forma ma individ individual ual tie tiene ne seis columnas columnas bási básicas cas en las que se anotan los siguientes asuntos: a) REFE REFERE RENC NCIA IA:: Es un nú núme mero ro co cons nsecu ecutitivo vo,, com combi bina nado do o ma marc rca a espec especia iall mediante el cual se identifica la situación a tratar. b) LAS SITUACIONES DETECTADAS: es la descripción de lo que se encontró en un determinado determinado punt punto o de la evaluació evaluación. n. Según las pru pruebas, ebas, proc procedimi edimientos entos o té técn cnic icas as de ev eval aluac uació ión, n, util utiliz izad ados os pa para ra ha hacer cer la rev revis isió ión, n, esto estoss so son n pa part rte e importante del documento. c) LAS CAUSAS: es la presentación de los motivos que originan la desviación y puede ser una sola causa o varias las que ocasionaron estas desviaciones, todos se anotan a criterio del auditor 

 

d) LAS POSIBLES SOLUCIONES: Son las sugerencias del auditor para solucionar  las desviaciones   Report Reportada adass ccasi asi siem siempre pre corresp corresponde onde una sol soluci ución ón para cada una de las causas reportadas. e) FECHA DE COMPROMISO: Es el periodo para implantar la solución acordada. Se anota una fecha para cada solución propuesta. f) RE RESP SPON ONSA SABL BLE E DE LA LAS S SO SOLU LUCI CION ONES ES:: son lo loss fu func ncio ionar nario ios, s, o pe perso rsona na responsable de implanta las soluciones. Se acostumbra a notar a un responsable por cad cada a soluci solución, ón, aun aunque que a veces parez parezca ca repetirs repetirse e el nom nombre bre de la mis misma ma persona responsable.

IDENTIFICACION (EN LA PARTE SUPERIOR IZQUIERDA DEL FORMATO) Es el nombre donde se anota la empresa auditora, ya sea el de la empresa que hace la auditoria. Si es necesario que lleve el logotipo de auditoría, cargado en la parte superior izquierda.  ÁREA AUDIT AUDITADA ADA (EN LA P PARTE ARTE CENTRAL DEL FORMATO) FORMATO) Es el área donde se anota el área de informática, sección o unidad administrativa del sistema evaluada. Lo que se pretende con esta identificación es que se tenga bien claro cuál es el ambiente de trabajo donde se presentaron las desviaciones. FECHA DE EVELUACION (EN LA PARTE SUPERIOR DERECHA) En este recuadro se anota la fecha en que se presentan la evaluación, con el formato dia, mes y año. EN LA PARTE INFERIOR DEL FORMATO: o

Quien elaboro (Nombre y firma)

o

Quien aprobó (Nombre y firma)

4.2.2 FORMA FORMATOS TOS DE SITUAC SITUACIONE IONES S RELEV RELEVANTES ANTES  Es la parte fundamental del informe de auditoría, estos documentos oficiales donde el respons responsable able de la auditoria reporta desviaci desviaciones ones que según criterio criterio,, son los más importantes encontradas durante el desarrollo de la auditoria.

 

SÓLO PRESENTAN LAS SITUACIONES MÁS SIGNIFICATIVAS DETECTADAS DURANTE LA EVALUACIÓN Continuación dicho formato contiene:   IDENTIFICACION o o o o o o

 AREA AUDIT AUDITADA ADA FECHA DE EVALUACION NUMERO DE REFERENCIA SITUACIONES RELEVANTES RELEVANTES CAUSAS DE LA DESVIACION SOLUCIONES PROPUEST PROPUESTAS. AS.

En este link encontraremos un ejemplo de informe de auditoría de sistemas realizado por estudiantes de la universidad distrital Francisco José de Caldas http://www.udistrital.edu.co:8080/c/document_library/get_file?uuid=2dc998176520-4d03-b62a-b5bc7d8e3917&groupId=27581

Cibergrafia https://isocalidad2000.wordpress.com/2013/08/30/que-deberia-aparecer-en-elinforme-de-auditoria-interna-tengo-que-hacer-una-auditoria-interna-y-no-se-pordonde-empezar-xii/ http://es.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica