Auditora de sistemas

Informe de auditora

INFORME FINAL
La funcin auditora se materializa exclusivamente por escrito. El

auditor avala personalmente su juicio de forma documental. Por tanto, la elaboracin del Informe Final es la nica referencia constatable de toda auditora, y el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales y previos al citado informe final, ya que es el mtodo ms adecuado para equilibrar las tcnicas analticas utilizadas durante la auditora, con las sintticas que la confeccin del informe necesita. Los borradores e informes parciales son los elementos de contraste de opiniones entre auditor y auditado y pueden descubrir fallos de apreciacin en el auditor. Nuevamente ha de resaltarse que la auditora difiere sustancialmente de cualquier actuacin cohercitiva. El auditado no es un acusado sino un profesional informtico. En todo caso, la tica auditora ha de facilitar la informacin aproximada, pero clara, de los resultados provisionales de aqul.

Estructura del informe completo

Exposicin

Seccin preliminar
Cuerpo
Deficiencias

de las reas funcionales Deficiencias de la administracin Apreciacin de la organizacin social

Conclusiones

Anexos

Estructura del informe completo

Presentacin del asunto Exposicin Posicin del problema (prefacio) Sumario

Propsitos Perodo Seccin preliminar Alcance Mtodos utilizados Copia de cuestionarios usados Relacin de personas entrevistadas

Estructura del informe completo

Deficiencias de las reas Funcionales

A Demostracin B Examen C Conclusin parcial D Demostracin E Examen F Conclusin parcial G Demostracin H Examen I Conclusin parcial

Cuerpo

Deficiencias de la administarcin Apreciacin De la Organizacin Socia;

Recapitulacin de CFI Conclusiones Recomendaciones

Anexos

Material complementario

Modelo conceptual de exposicin del informe final

El Informe debe incluir solamente hechos importantes.- La inclusin de hechos poco relevantes o accesorios desva la atencin del que lo lee y desvirta el informe en su conjunto. El Informe debe consolidar los hechos que se describen en el mismo.- En auditora, el trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados.

La consolidacin de los hechos debe satisfacer, al menos, los siguientes criterios bsicos:
1. El hecho que se incluya debe poder ser

sometido a cambio. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin. 3. No deben existir alternativas viables que superen, por ms beneficiosos y por mejor razn prestacin/costo, al cambio propuesto. 4. La recomendacin del auditor sobre el hecho en cuestin ha de mantener o mejorar las Normas
y estndares existentes en la instalacin.

 Cumplidos los dos principios y los criterios de

consolidacin expuestos, el hecho pasa al Informe. La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida. Veamos el modelo de flujo del hecho o debilidad, y el orden, desde su aparicin hasta la recomendacin del auditor para eliminarla

1. Hecho encontrado
Ha de ser relevante para el auditor y para el

cliente. Ha de ser exacto, y adems convincente. No deben existir hechos repetidos. Deben procurarse evitar incluso las referencias y alusiones a otros hechos. En lo posible contar con las evidencias necesarias

2. Consecuencias del hecho

Las consecuencias deben redactarse de

modo que sean directamente deducibles del hecho.

3. Repercusin del hecho

Se redactar, si existe, las influencias

directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa auditada.

4. Conclusin del hecho

No deben redactarse conclusiones ms que

en los casos en que la exposicin haya sido muy extensa y compleja.

5. Recomendacin del auditor de sistemas

Siempre se explicitar la palabra

"Recomendacin", y ninguna otra. Deber entenderse por s sola, por su simple lectura. Deber estar suficientemente soportada en el propio texto.

5. Recomendacin del auditor de sistemas

Deber ser concreta y exacta en el tiempo,

para que pueda ser seguida y verificada su implementacin. La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

5. Recomendacin del auditor de sistemas

Debern evitarse las recomendaciones

demasiado generales. No debern redactarse expresiones como "... se den las rdenes oportunas para que... ". Se deber decir: "... se elabore un programa para que en 60 das...".

Profesin, actividades y conocimientos deseables en un auditor de sistemas

Sin nimo exhaustivo, y de modo

sinptico en el siguiente cuadro, se han relacionado los perfiles profesionales de lo que podra ser un equipo auditor informtico para abordar una revisin general de la Informtica en una organizacin.

PROFESION Informtico en general

ACTIVIDADES Y CONOCIMIENTOS DESEABLES Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotacin y en Desarrollo de Proyectos. Conocedor de Sistemas. Amplia experiencia como responsable de Proyectos. Experto analista. Conocedor de las metodologas de Desarrollo ms importantes. Experto en Sistemas Operativos y Software Bsico. Conocedor de los Productos equivalentes en el mercado. Amplios conocimientos de Explotacin. Con experiencia en mantenimiento de BD. Conocimiento de Productos compatibles y equivalentes. Buenos conocimientos de Explotacin. Alta especializacin dentro de la Tcnica de Sistemas. Conocimientos profundos de Redes. Muy experto en Subsistemas de Teleproceso. Responsable de algn Centro de Cmputo. Amplia experiencia en Automatizacin de Trabajos. Experto en relaciones humanas. Buenos conocimientos de los Sistemas. Experto organizador y coordinador. Especialista en el anlisis de flujos de informacin. Economista con conocimientos de informtica. Gestin de Costos.

Experto en Desarrollo de Proyectos

Tcnico de Sistemas

Experto en Base de datos y administracin de las mismas Experto en Software de Comunicaciones Experto en Explotacin y Gestin de Centro de Proceso de Datos Tcnico de Organizacin

Tcnico de evaluacin de Costos

ndice recomendable

Tema Introduccin Objetivos particulares de la auditora Seguridad fsica Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin Seguridad del personal Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin

pg 1 3 4 4 4 4 5 5 6 6 7 7 7 8 8 9 9 9 10

ndice recomendable (continua)

Seguridad del software Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin Seguridad de los datos Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin

10 10 11 11 12 12 12 13 13 13 14 14 15 15 15 16

ndice recomendable (continua)

Seguridad en las redes y telecomunicaciones Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin Seguridad en el rea de operaciones Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin

16 16 17 17 17 18 18 19 19 19 20 20 20 21 21 22

ndice recomendable (continua)

Seguridad en mini y micro computadoras Objetivo general Objetivo especfico Alcance Definicin Situacin actual Tendencias Puntos dbiles y amenazas Recomendaciones y plan de accin Conclusiones Anexos

22 22 23 23 23 24 24 25 26 28