Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe de Auditoria
Informe de Auditoria
Introduccin
"Es un medio formal para comunicar los objetivos de la Auditora, el cuerpo de las
normas de Auditora, el alcance de la Auditora, y los hallazgos y conclusiones"
"Es el documento que refleja los objetivos, alcances, observaciones, recomendaciones
y conclusiones del proceso de evaluacin relacionados con las reas de informtica"
La elaboracin del informe representa el momento adecuado de separar lo significativo
de lo no significativo, debidamente evaluados por su importancia y vinculacin con el
factor de riesgo, tarea eminentemente de carcter profesional y tico, segn el leal
saber y entender del Auditor Informtico.
No existe un formato especfico.
Existen esquemas recomendados con los requisitos mnimos aconsejables respecto a
estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la
creatividad y estilo de los AI
El Informe de Auditora deber ser:
- claro
- adecuado
- suficiente
- comprensible
El formato del Informe debe reflejar una presentacin lgica y organizada.
El informe debe incluir suficiente informacin para que sea comprendido por los
destinatarios esperados y facilitar las acciones correctivas.
Requisitos del Informe
Los requisitos de un Informe de Auditora son:
1- Ser veraz
2- Estar documentado formalmente
3- Mostrar las observaciones (debilidades) encontradas
4- Tener recomendaciones y soluciones para cada observacin
5- Reflejar las reas de oportunidad y cursos de accin
Desarrollo del Informe
Los puntos esenciales de un Informe de Auditora son:
1- Identificacin del Informe
El ttulo del Informe deber identificarse como objeto de disitnguirlo de otros informes
2- Identificacin del Cliente
Debe identificarse a los destinatarios y a las personas que efecten el encargo
3- Identificacin de la Entidad auditada
Identificacin de la entidad objeto de la Auditora Informtica
Comentario
Comentario de la
Gcia
CONCLUSIONES
...........
Ejemplo de un Informe de Auditora
Situacin planteada
En una Compaa de Seguros se llev a cabo la Auditora de una Base de Datos.
Esta BD operativa es utilizada por todos los sistemas existentes en la empresa.
Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40
terminales. Existen desarrolladores y usuarios finales que acceden a la misma por
medio de la autorizacin otorgada por el DBA (Administrador de la BD).
Se observa que:
- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence
- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final
del da.
- hasta el momento, la BD cuenta con ms de 2 millones de registros.
INFORME DE AUDITORIA
Fecha del Informe:
12 / 06 / 2000
Nombre de la Entidad:
Seguros S.A
Procedimientos a aplicar:
Objetos
- Las tablas definidas en el diseo coinciden con las fueron creadas
en la BD teniendo en cuenta nombres de las tablas, columnas y tipos
de datos de las columnas?
- Estn definidas las claves primarias (PK) y claves externas (FK) de
c/ tabla existente?
- Existen las secuencias (sequences) correspondientes a la clave
primaria (PK) de c/ tabla definida?
- La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, el DBA defini que sean
necesarios segn los casos?
- Existe documentacin actualizada respecto del diseo e
implementacin de la BD?
Datos
- Con qu frecuencia se realiza una copia de resguardo (backup)
respecto de la BD?
- Cada cunto tiempo se realiza una actualizacin de los datos
existentes?
Usuarios
- Cuntos usuarios tienen acceso a la BD?
- Cuntos usuarios actan como desarrolladores respecto de la BD?
- Cuntos usuarios son usuarios finales de la BD?
- Cules son los roles y privilegios establecidos por el DBA?
- Todos los usuarios tienen definido un rol determinado?
Informe de las debilidades detectadas
Situacin Actual
Recomendacin
Comentario de la
Gcia de Sistemas
CONCLUSIONES
De acuerdo
(Sr. Gte de
Sistemas)
Caso 3
En una Empresa petrolera se llev a cabo la Auditora de una Etapa de Diseo, la
cual es utilizada por el Lder del proyecto para evaluar el desarrollo del mismo.
Un equipo de 12 analistas funcionales se ocupa de llevar a cabo el Diseo tcnico y
las Especificaciones tcnicas de los sistemas. La empresa cuenta con un formato
determinado respecto de las especificaciones, es decir cmo se deben documentar.
Se observa que:
- no todas las especificaciones tcnicas del sistema tienen un formato determinado
- existen especificaciones tcnicas que no fueron actualizadas y otras estn
incompletas
- no existe una vinculacin entre lo llevado a cabo en la etapa de anlisis y lo realizado
en la etapa de diseo
- no todo el equipo de desarrollo est actualizado de los cambios efectuados
Caso 4
En una Empresa de Telefona se llev a cabo la Auditora de una Etapa de
Construccin, la cual es utilizada por el Director del proyecto para evaluar el
desarrollo del mismo.
Un equipo de 30 programadores se ocupa de llevar a cabo la codificacin de los
sistemas en desarrollo. Cada programador tiene asignado un tiempo de desarrollo y un
mdulo de un determinado componente, el cual ser visto y probado por el Analista
funcional que corresponda.
Se observa que:
- no se desarrollaron todos los componentes de la aplicacin
- que no se probaron todos los componentes y que no existen los informes de prueba
correspondientes
- los usuarios no participaron en la prueba de los componentes
- no existen los objetos necesarios en la BD para la ejecucin de los componentes
Caso 5
En una Empresa de Telefona Celular se llev a cabo la Auditora de una Etapa de
Implantacin, la cual es utilizada por el Director del proyecto para evaluar el
desarrollo del mismo.
Un equipo de 20 programadores se ocupa de llevar a cabo la prueba de los sistemas en
desarrollo. Cada programador se ocupa, entre otras cosas, de probar aplicaciones y de
emitir un informe en base a los resultados obtenidos de la prueba. En caso de
encontrar fallas, el programador informar en qu sistema existen los inconvenientes.
El Analista funcional decidir quin resuelve las fallas encontradas. La aprobacin final
de una aplicacin se registra en un documento.
Se observa que:
- no todas las componentes cumplen las especificaciones funcionales llevadas a cabo
- los resultados de las pruebas no son los correctos
Se observa que:
- La empresa cuenta con pocos matafuegos y el personal, en general, no realiza copias
de resguardo de los sistemas existentes.
- Algunos objetos de esta Editorial no estn asegurados.
Caso 9
En una Empresa de Capacitacin Ejecutiva se llev a cabo la Auditora de la
Seguridad Fsica del Hardware, la cual es utilizada por el equipo del proyecto para
evaluar las diversas amenazas que se pueden producir y sus respectivas consecuencias
a nivel hardware.
Un equipo de profesionales de sistemas evaluar los siguientes aspectos:
1- amenazas que pueden provocar un dao o prdida en el hardware existente
(incendio, inundacin, derrumbamiento, accidentes de distinto tipo, explosiones,
averas, etc)
2- ubicacin del centro de procesos, de los servidores locales y de las terminales
Se observa que:
- La empresa cuenta con matafuegos y salidas de emergencia.
- Algunos productos de hardware de esta Empresa de Capacitacin Ejecutiva no
estn asegurados.
Caso 10
En un Shopping se llev a cabo la Auditora de la Seguridad Lgica, la cual es
utilizada por el equipo del proyecto para evaluar el acceso de los usuarios al Sistema
de Facturacin.
Un equipo de profesionales de sistemas evaluar el acceso a los recursos por medio de
una matriz de accesos tridimensional que abarca los siguientes aspectos:
1- grupos de usuarios que acceden al Sistema de Facturacin
2- las tablas que se utilizan en dicho sistema
3- las operaciones que se realizan en dichas tablas (lectura, modificacin, borrado,
ejecucin, etc)
Se observa que:
- La empresa, peridicamente, lleva a cabo un proceso de autenticacin, en el cual se
revisa cmo se identifican y autentican los usuarios, cmo han sido autorizados y por
quin, y qu ocurre cuando se producen intentos o transgresiones: quin se entera y
cundo y qu se hace.
- El sistema de vigencia de usuarios esta al da
Caso 11
En una Empresa Textil se llev a cabo la Auditora de un Plan de Contingencia, la
cual es utilizada por el equipo del proyecto para que exista una continuidad en las
operaciones que se realizan por medio del Sistema de Produccin.
Se observa que:
- El equipo de sistemas cuenta con algunas copias actualizadas de las aplicaciones y de
Se observa lo siguiente:
- en las distintas etapas de desarrollo, la documentacin est incompleta
- ciertos datos de los documentos no se corresponden con la realidad, es decir que la
documentacin no fue actualizada
- no se especifica quin llev a cabo la documentacin
- no existe un lugar o acceso directo en el que cualquier persona autorizada pueda
acceder a la documentacin de un sistema determinado
- no hay un formato determinado de documentacin para cada etapa de desarrollo
Caso 16
En una Empresa de Publicidad se llev a cabo la Auditora de los Tiempos y Costos,
la cual es utilizada por el rea de Sistemas para controlar el cumplimiento de los
tiempos y costos estimados para el desarrollo de los sistemas.
Se observa lo siguiente:
- no existe informacin detallada por etapa respecto a los costos y tiempos
respectivos
- no se detalla quin es el responsable de ciertos gastos extras llevados a cabo en
algunas etapas
- el tiempo planificado de cada etapa no coincide con los hechos sucedidos
- el tiempo asignado a c/ miembro del equipo de desarrollo no se corresponde a la tarea llevada a cabo
Caso 17
En una Empresa Automotriz se llev a cabo la Auditora de una BPR, la cual es
utilizada por el rea de Sistemas y por la Alta Direccin para controlar el cumplimiento
de este tipo de proyecto. La empresa cuenta con equipos mainframes, los cuales sern
reemplazados por Servers que estarn distribuidos segn las distintas reas de la
empresa. Se realizar un nuevo planteo de todas las aplicaciones existentes.
Se observa lo siguiente:
- determinados procesos de negocio de la empresa no fueron cambiados en un
100%
- el personal, en su totalidad, no estaba capacitado para llevar a cabo este cambio
tecnolgico
- sera necesario re-definir los roles y responsabilidades de todas las personas que
intervienen en el proyecto
Caso 18
En una Consultora de Sistemas se llev a cabo la Auditora de una Gestin, la cual
es utilizada por las Gerencias Intermedias y por la Alta Direccin para la toma de
decisiones.
Se observa lo siguiente:
- no se especifican los objetivos particulares que se alcanzaron
- casi no existe documentacin de las distintas cosas que se realizaron
- no est bien especificado quin es responsable de c/ objetivo particular que se
cumpli
Caso 19
En una Empresa textil se llev a cabo la Auditora de un Relevamiento,
perteneciente al Sistema de Proveedores, la cual es utilizada por la Gerencia de
Sistemas para el control del proceso de desarrollo de software.
Se observa lo siguiente:
- No son claras las preguntas que se formulan
- No se establece ninguna vinculacin entre el Sistema de Proveedores y el resto de los
sistemas existentes
- No est especificado quin y cundo se llev a cabo la entrevista
- No existen informes respecto de las entrevistas realizadas
Caso 20
En una AFJP se llev a cabo la Auditora de un CASE, el cual es utilizado por el
equipo de desarrollo solamente en las etapas de anlisis y diseo de sistemas.
Se tiene una Base de Datos SyBase que no guarda ninguna relacin con la
herramienta, ya que no se posee un repositorio que almacene los objetos que se
generan en las etapas mencionadas anteriormente. Esta herramienta permite definir,
lgicamente, todo lo que se necesita en el anlisis y diseo de un sistema; y generar la
documentacin correspondiente.
Se observa que:
- el personal no fue capacitado en el uso de la herramienta
- esta herramienta no es utilizada por todos los equipos de desarrollo de la empresa
-la herramienta no es utilizada en un 100% para as obtener mejores resultados
- en algunos casos, la herramienta no se ajusta a las necesidades de la empresa