Informe de auditora.

Los informes de auditora son el producto final del trabajo del auditor de sistema s, este informes utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoria, no existe un formato especfico para exponer un informe de auditora de sistemas de informacin, pero gener almente tiene la siguiente estructura o contenido: * Introduccin al informe, donde se expresara los objetivos de la auditoria, el perodo o alcance cubierto por la misma, y una expresin general sobre la naturalez a o extensin de los procedimientos de auditora realizados. * Observaciones detalladas y recomendaciones de auditora. * Respuestas de la gerencia a las observaciones con respecto a las acciones c orrectivas. * Conclusin global del auditor expresando una opinin sobre los controles y proc edimientos revisados. 1.- La preparacin del informe de la auditora, tiene que ver con el registro comple to, preciso, conciso y claro de la auditora; y, con la inclusin de los componentes del informe previstos en la norma internacional, como son los siguientes: (a) Los objetivos de la auditora; (b) El alcance de la auditora, particularmente la identificacin de las unidades de la organizacin y de las unidades funcionales o los procesos auditados y el inter valo de tiempo cubierto; (c) La identificacin del cliente de la auditora; (d) La identificacin del lder del equipo auditor y de los miembros del equipo audi tor; (e) Las fechas y los lugares donde se realizaron las actividades de auditora in s itu; (f) Los criterios de auditora; (g) Los hallazgos de la auditora; y (h) Las conclusiones de la auditora. Adicionalmente el informe de la auditora puede incluir o hacer referencia a lo si guiente, segn sea apropiado: (i) El plan de auditora; (j) Una lista de representantes del auditado; (k) Un resumen del proceso de auditora, incluyendo la incertidumbre y/o cualquier obstculo encontrado que pudiera disminuir la confianza en las conclusiones de la auditora; (l) La confirmacin de que se han cumplido los objetivos de la auditora dentro del alcance de la auditora, de acuerdo con el plan de auditora; (m) Las reas no cubiertas, aunque se encuentren dentro del alcance de la auditora; (n) Las opiniones divergentes sin resolver entre el equipo auditor y el auditado ; (o) Las recomendaciones para la mejora, si se especific en los objetivos de la au ditora; (p) Los planes de accin del seguimiento acordados, si los hubiera;

(q) Una declaracin sobre la naturaleza confidencial de los contenidos; y (r) La lista de distribucin del informe de la auditora. . 2.- Aprobacin del informe de la auditora, consiste en el registro del fechado, rev isado y aprobado de acuerdo con los procedimientos del programa de auditora. El i nforme de la auditora debera emitirse en el perodo de tiempo acordado, en caso de n o ser posible, se debera comunicar al cliente de la auditora las razones del retra so y acordar una nueva fecha de emisin. 3.- La distribucin del informe de la auditora, consiste en enviar el informe de la auditora aprobado a los receptores designados por el cliente de la auditora. El i nforme de auditora, de propiedad del cliente de la auditora, no puede ser revelado su contenido por los miembros del equipo auditor y todos los receptores del inf orme debido a la confidencialidad sobre el informe. 1.6.6.- Finalizacin de la auditora La finalizacin de la auditora, consiste en desarrollar acciones orientadas bsicamen te al trmite definitivo de los documentos pertenecientes a la auditora, previa ver ificacin de la realizacin de todas las actividades descritas en el plan de auditora y distribucin del informe de la auditora aprobado, de comn acuerdo entre las parte s participantes y de acuerdo con los procedimientos del programa de auditora y lo s requisitos legales, reglamentarios y contractuales aplicables. El contenido de los documentos, de cualquier otra informacin obtenida durante la auditora y del informe de auditora, no debera ser revelado sin la aprobacin explcita principalmente del cliente de la auditora, salvo si es requerido por ley, de hace rlo sin la aprobacin se debera informar tan pronto como sea posible al cliente de la auditora y al auditado.

Seguimiento de las observaciones de auditora. El trabajo de auditora es un proceso continuo, se debe entender que no servira de nada el trabajo de auditora si no se comprueba que las acciones correctivas tomad as por la gerencia, se estn realizando, para esto se debe tener un programa de se guimiento, la oportunidad de seguimiento depender del carcter crtico de las observa ciones de auditora. El nivel de revisin de seguimiento del auditor de sistemas dep ender de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin actual, en otros casos tendr que hacer una rev isin ms tcnica del sistema. 1.6.7.- Realizacin de las actividades de seguimiento de una auditora Consiste generalmente en verificar si se ha implementado por parte del auditado la accin correctiva formulada en informes de auditora de aos anteriores y su eficac ia, como parte del programa de auditora, sin descartar la posibilidad de verifica r in situ el cumplimiento de alguna accin correctiva de ser requerido. La implementacin del programa de auditora debera seguirse y revisarse a intervalos apropiados para evaluar si se han cumplido sus objetivos y para identificar las oportunidades de mejora. Los resultados deberan comunicarse a la alta direccin. Deberan utilizarse indicadores de desempeo para el seguimiento de caractersticas ta les como: La aptitud de los equipos auditores para implementar el plan de auditora, La conformidad con los programas y calendarios de auditora, y La retroalimentacin de los clientes de la auditora, de los auditados y de los auditores.

La revisin del programa de auditora debera considerar, por ejemplo: a) los resultados y las tendencias del seguimiento, b) la conformidad con los procedimientos, c) las necesidades y expectativas cambiantes de las partes interesadas, d) los registros del programa de auditora, e) las prcticas de auditora alternativas o nuevas, y f) la coherencia en el desempeo entre los equipos auditores en situaciones simila res. Los resultados de las revisiones del programa de auditora pueden llevar a accione s correctivas y preventivas y a la mejora del programa de auditora. Metodologa de una auditora de Sistemas Existen algunas metodologas de Auditorias de Sistemas y todas depende de lo que s e pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsi cas de un proceso de revisin: * Estudio preliminar * Revisin y evaluacin de controles y seguridades * Examen detallado de reas criticas * Comunicacin de resultados Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora , efectuar visitas a la unidad informtica para conocer detalles de la misma, elab orar un cuestionario para la obtencin de informacin para evaluar preliminarmente e l control interno solicitud de plan de actividades, manuales de polticas, reglame ntos, entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diag rama de flujo de proceso, realizacin de pruebas de cumplimiento de las seguridade s, revisin de aplicaciones de las reas crticas, Revisin de procesos histricos (backup s), Revisin de documentacin y archivos entre otras actividades. Examen detallado de reas crticas.-Con las fases anteriores el auditor descubre las reas crticas y sobre ellas hace un estudio y anlisis profundo en los que definir co ncretamente su grupo de trabajo y la distribucin de carga del mismo, establecer lo s motivos, objetivos, alcance recurso que usara, definir la metodologa de trabajo, la duracin de la auditoria, Presentar el plan de trabajo y analizara detalladamen te cada problema encontrado con todo lo anteriormente analizado en este folleto. Comunicacin de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual pre sentara esquemticamente en forma de matriz, cuadros o redaccin simple y concisa qu e destaque los problemas encontrados, los efectos y las recomendaciones de la Au ditoria. El informe debe contener lo siguiente: * Motivos de la Auditoria * Objetivos * Alcance * Estructura Orgnico-Funcional del rea Informtica * Configuracin del Hardware y Software instalado * Control Interno * Resultados de la Auditoria * Caso Prctico Controles Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos. Clasificacin general de los controles * Controles Preventivo: Son aquellos que reducen la frecuencia con que ocurre n las causas del riesgo, permitiendo cierto margen de violaciones. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones Sistemas de cla ves de acceso * Controles defectivos: Son aquellos que no evitan que ocurran las causas del

riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el a uditor. En cierta forma sirven para evaluar la eficiencia de los controles preve ntivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditora Procedimientos de validacin * Controles Correctivos: Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesar ia la implantacin de controles defectivos sobre los controles correctivos, debid o a que la correccin de errores es en s una actividad altamente propensa a errores . Principales Controles fsicos y lgico. Controles particulares tanto en la parte fsica como en la lgica se detallan a cont inuacin: Autenticidad Permiten verificar la identidad 1. Passwords 2. Firmas digitales Exactitud Aseguran la coherencia de los datos 1. Validacin de campos 2. Validacin de excesos Totalidad Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo 1.Conteo de registros 2. Cifras de control Redundancia Evitan la duplicidad de datos 1. Cancelacin de lotes 2. Verificacin de secuencias Privacidad Aseguran la proteccin de los datos 1. Compactacin 2. Encriptacin Existencia Aseguran la disponibilidad de los datos 1 Bitcora de estados 2. Mantenimiento de activos Proteccin de Activos Destruccin o corrupcin de informacin o del hardware 1. Extintores 2. Passwords Efectividad Aseguran el logro de los objetivos 1. Encuestas de satisfaccin 2. Medicin de niveles de servicio Eficiencia Aseguran el uso ptimo de los recursos: 1. Programas monitores 2. Anlisis costo-beneficio