Está en la página 1de 58

UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE CIENCIAS ECONMICAS ESCUELA DE AUDITORIA JORNADA FIN DE SEMANA AUDITORIA V LIC.

DELFIDO MORALES

INFORME DE AUDITORA INFORMTICA

SALN 109 EDIFICIO S-3 GRUPO No.4

GUATEMALA, 24 DE FEBRERO DE 2013.

NDICE

Introduccin_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ i Informe de auditora_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 4 Informe de auditora Informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 5 Objetivos del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 8 Caractersticas del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ 9 Importancia del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ 13 Proceso para la realizacin del informe de auditora informtica_ _ _ _ _ 15 Normas aplicables y regulatorias informe de auditora informtica_ _ _ _ 20 Tipos de informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 22 Estructura del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 24 Enfoques del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 27 Casos aplicables a los informes de auditora informtica_ _ _ _ _ _ _ _ __ 29 Sustento del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 39 Responsabilidad del informe de auditora informtica_ _ _ _ _ _ _ _ _ _ _ 53 Conclusiones_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 55 Recomendaciones_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ Bibliografa_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ 56 57

INTRODUCCIN

La importancia del Informe del Auditor como el documento preparado por un contador pblico en donde se expresa la opinin de un profesional independiente sobre el contenido razonable y confiable de los estados financieros de una entidad en el que realiza las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia y su aplicabilidad a la Auditoria de Sistemas son las bases bajo las cuales se desarrolla el presente trabajo de investigacin de la manera siguiente: De forma introductoria se manejan conceptos y definiciones bsicas tales como la consistencia del informe de Auditora con un enfoque a sistemas informticos, los objetivos que se persiguen, sus caractersticas e importancia. Como segunda parte se hace una resea general del proceso para la elaboracin del informe de Auditora desde de su planificacin hasta entrega final de resultados, los tipos de informe, su estructura bsica segn el enfoque tecnolgico e informtico. Para finalizar el contenido de investigacin se considera todos los soportes necesarios para dar validez al informe de Auditora enfatizando la responsabilidad de la administracin y la del Auditor externo en la realizacin de un informe de Auditora con enfoque informtico.

INFORME DE AUDITORA INFORMTICA

INFORME DE AUDITORA DE INFORMTICA

EL INFORME DE AUDITORA

Definicin de Informe de auditora: Es el documento que contiene el dictamen del auditor, conjuntamente con los estados financieros de la empresa.

Es el producto terminado de una auditora de estados financieros o reas especficas, cuando el contador pblico y auditor es llamado a examinar los estados financieros preparados por una empresa, el objetivo final en su actuacin profesional ser el de dar un dictamen en el que se hagan constar que dichos estados presentan razonablemente, la situacin financiera y los resultados de la operacin y el flujo de efectivo de conformidad con Normas Internacionales de Contabilidad y Normas Internacionales de Informacin Financiera. Para estar en condiciones de dar ese dictamen de una manera objetiva y con caractersticas profesionales, el contador pblico y auditor necesita obtener una serie de conocimientos e informaciones sobre los propios estados financieros y sobre la empresa a que se refiere; dicho dictamen no puede emitirse sin que el contador pblico haya obtenido con certeza razonable, la conviccin de:

a) La autenticidad de los hechos y fenmenos que los estados financieros reflejan.

b) Los criterios y mtodos usados para reflejar en la contabilidad y en los estados financieros dichos hechos y fenmenos.

c) Que los mtodos usados son conforme al marco de informacin financiera, que la profesin acepta y que stos han sido aplicados consistentemente. El trabajo de auditora tiene por consiguiente, como finalidad inmediata, el proporcionar al propio auditor los elementos de juicio y de conviccin necesaria para poder dar su dictamen de una manera objetiva y profesional.

INFORME DE AUDITORA INFORMTICA

El dictamen formar parte del informe que el contador pblico y auditor presentar a su cliente despus del examen a los Estados Financieros.

Objetivos de los Informes de Auditora Presentar a la direccin de la empresa, un resumen de todos los aspectos relacionados con las actividades administrativas, financieras y de operacin.

Transmitir al lector de los Estados Financieros, las conclusiones a las que se arrib, como resultado del examen practicado a los mismos, junto con una serie de divulgaciones, comnmente denominadas notas, que se consideran

indispensables para que los estados financieros puedan interpretarse de manera sencilla.

Importancia del Informe Auditora En la prctica profesional el informe es fundamental, ya que frecuentemente es lo nico que el pblico puede ver del trabajo del contador pblico y auditor, y en segundo lugar, sirve para la toma de decisiones financieras y operativas del negocio1.

Esa importancia que el informe tiene para el propio auditor, para su cliente y para los interesados que van a descansar en l, hace necesario que tambin se establezcan normas que regulen la calidad y requisitos mnimos del informe. A esas normas se les conoce como normas del dictamen e informacin

El objetivo primordial es evitar una interpretacin equivocada del grado de responsabilidad del auditor cuando su nombre est asociado con los estados financieros. La referencia a los estados financieros tomados en conjunto, aplica tanto para un grupo completo de estados financieros como para un estado

Consejo de Normas Internacionales de Contabilidad (IASB). (International Accounting Standards board)- Normas Internacionales deInformacin Financiera (NIIFs) Mxico 2,004.

-4-

INFORME DE AUDITORA INFORMTICA

financiero individual (por ejemplo, para un balance general), para uno o ms perodos presentados.

Un informe de auditora debe ser claro, conciso y fcil de seguir. No debe contener prrafos largos y complicados as como frases elegantes. Algunos trminos tcnicos necesariamente deben ser empleados, pero debe hacerse un esfuerzo para utilizar un lenguaje comercial en lugar de trminos estrictamente tcnicocontables. Los errores gramaticales, las faltas de ortografa y las expresiones populares son inexcusables en documentos de este tipo.

Clases de Informes

Informe Corto El informe es corto contiene el dictamen del auditor y los estados Financieros bsicos, o sea el balance general, estado de resultados, Estado de cambios en el patrimonio, flujo de efectivo, y sus notas.

Informe Largo El informe es largo contiene el dictamen del auditor, los estados Financieros bsicos, notas a los estados financieros e informacin Complementaria que de acuerdo a Normas Internacionales de Auditora.

INFORME DE AUDITORA INFORMTICA

En funcin del Informe que realiza un auditor nombrado para realizar una auditora a los sistemas informticos de una entidad, con el conocimiento suficiente o con el apoyo de un experto, conviene explicar el contexto en el que se desenvuelve hoy su prctica y en que debe ponerse atencin y prevenir situaciones tales como:

-5-

INFORME DE AUDITORA INFORMTICA

Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informticos: Acceso ilcito a sistemas informticos. Interceptacin ilcita de datos informticos. Interferencia en el funcionamiento de un sistema informtico. Abuso de dispositivos que faciliten la comisin de delitos. Algunos ejemplos de este grupo de delitos son: el robo de identidades, la conexin a redes no autorizadas y la utilizacin de spyware. Delitos informticos: Falsificacin informtica mediante la introduccin, borrado o supresin de datos informticos. Fraude informtico mediante la introduccin, alteracin o borrado de datos informticos, o la interferencia en sistemas informticos. El borrado fraudulento de datos o la corrupcin de ficheros algunos ejemplos de delitos de este tipo. Delitos relacionados con el contenido: Produccin, oferta, difusin, adquisicin de contenidos de pornografa infantil, por medio de un sistema informtico o posesin de dichos contenidos en un sistema informtico o medio de almacenamiento de datos. Delitos relacionados con infracciones de la propiedad intelectual y derechos afines: Un ejemplo de este grupo de delitos es la copia y distribucin de programas informticos, o piratera informtica.

La complejidad de los sistemas de informacin crece con sus prestaciones y caractersticas (conectividad, portabilidad, niveles de acceso por usuario, etc.); la necesidad de utilizarlos que tienen las organizaciones -pblicas y privadas- en

-6-

INFORME DE AUDITORA INFORMTICA

todos sus mbitos, alcanza hoy un valor estratgico de competitividad y supervivencia. Se puede afirmar que nunca antes se ha sido tan dependientes de los sistemas de informacin y nunca antes se ha necesitado tanto a expertos eficientes (no infalibles) en Auditora Informtica. La Informtica es muy joven; por tanto, la Auditora Informtica lo es ms. Existen aspectos fundamentales, como son las normas, el concepto de evidencia en auditora, las irregularidades, los papeles de trabajo o documentacin y finalmente, encarar el informe, sus componentes, caractersticas y tendencias detectadas, as como ofrecer algunas conclusiones de inters, sin perder de vista en todo caso que en el mundo del auditor de hoy y todo el ejercicio sobre la prctica de una auditoria informtica. El informe Se ha realizado una visin rpida de los aspectos previos para tenerlos muy presentes al redactar el Informe de Auditora Informtica, esto es, la comunicacin del Auditor Informtico al cliente, formal y, quiz, solemne, tanto del alcance de la auditora; (objetivos, perodo de cobertura, naturaleza y extensin del trabajo realizado) como de los resultados y conclusiones. Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo, tarea eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. Aunque no existe un formato vinculante, s existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido.

En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable.

-7-

INFORME DE AUDITORA INFORMTICA

Los puntos esenciales, genricos y mnimos del Informe de Auditora Informtica, son los siguientes: 1. Identificacin del Informe: El ttulo del Informe deber identificarse con objeto de distinguirlo de otros informes. 2. Identificacin del Cliente: Deber identificarse a los destinatarios y a las personas que efecten el encargo. 3. Identificacin de la entidad auditada: Identificacin de la entidad objeto de la Auditora Informtica. 4. Objetivos de la Auditora Informtica: Declaracin de los objetivos de la auditora para identificar su propsito, sealando los objetivos incumplidos. 5. Normativa aplicada y excepciones: Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la auditora. 6. Alcance de la Auditora: Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de informacin sealando limitaciones al alcance y restricciones del auditado.

OBJETIVO DEL INFORME DE AUDITORA INFORMTICA

El objetivo fundamental del informe de auditora informtica es comunicar a la Administracin de la empresa el cumplimiento efectivo de sus responsabilidades, facilitndoles el anlisis, apreciaciones, comentarios y recomendaciones

relacionados con las actividades del procesamiento de la informacin en el computador.

Objetivos bsicos del informe de auditora informtica: informar con veracidad los hechos evaluados.

-8-

INFORME DE AUDITORA INFORMTICA

convencer al auditado del hecho presentado. hacer recomendaciones apropiadas. presentar alternativas.

Cabe recordar que el informe de auditora y los resultados contenidos en l sern de utilidad para los directivos para tomar decisiones. La iniciativa de realizar una auditora no proviene en muchas ocasiones de la alta gerencia, sino de unan determinada rea de la empresa que ha detectado deficiencias y cree necesario apoyo administrativo, interno o externo para profundizar el hecho.

CARACTERSTICAS DEL INFORME DE AUDITORA INFORMTICA En la relacin del informe ,el auditor seala los resultados de su investigacin ,sus evaluaciones, hallazgos, aportaciones y conclusiones sobre el trabajo realizado; tambin, seala las tcnicas ,herramientas ,mtodos y procedimientos que utiliz en la obtencin de datos, las observaciones e interpretaciones de los fenmenos y hechos evaluados que le dan sustento en la elaboracin de documentos de situaciones encontradas o relevantes que informa, as como todas las dems aportaciones con las cuales da su sello personal al informe presentado. Tomando en cuenta que el informe es la base suficiente para dar a conocer los resultados del examen realizado, este debe contar con caractersticas esenciales indistintamente que no existe un formato definido. Dentro de estas caractersticas bsicas se pueden mencionar: 1. Preciso: Sin desviaciones significativas en razn de la naturaleza de la organizacin y a los objetivos de la Auditora. 2. Conciso: De manera sucinta, donde lo comunicado sea realmente importante y material. 3. Objetivo: Producto de hechos reales y no estar sujeto a varias interpretaciones.

-9-

INFORME DE AUDITORA INFORMTICA

4. Soportado: Teniendo como referente las pruebas, documentacin e informacin que valide lo afirmado. 5. Claro: Sin utilizar terminologa sofisticada que limite la comprensin. Caractersticas del informe de Auditora Informtica Evidentemente, el informe de una auditoria informtica es producto de la experiencia y conocimientos del auditor que lo presenta; por esta razn, adems de servir para sealar las observaciones, desviaciones y resultados encontrados este documento tambin sirve para que el auditor exhiba los conocimientos, tcnicas y procedimientos que utiliz para evaluar el rea de sistemas, asimismo, en su redaccin muestra su forma de ser y de actuar profesionalmente, as como su cultura. De hecho, esto tambin se juzga en la presentacin del informe de auditora; no solo el resultado, sino quien y como lo presenta .por eso es muy importante conocer las caractersticas fundamentales de la elaboracin del informe de la auditoria. Para contribuir a incrementar la calidad en la presentacin del informe de auditora, misma que se puede hacer extensiva a cualquier otro tipo de trabajos profesionales, e incluso personales o escolares, a continuacin se presentan

algunas de la principales caractersticas de la redaccin del informe de auditora, las cuales ayudaran al auditor de TI a mejorar su elaboracin. Caractersticas fundamentales: Inicialmente, se pueden identificar dos caractersticas fundamentales en los informes de auditora de sistemas, las cuales siempre se refieren al contenido del informe y a la forma de presentarlo; dichas caractersticas son las siguientes

A. Caracterstica de fondo.

-10-

INFORME DE AUDITORA INFORMTICA

Estas caractersticas se refieren al cuidado que debe tener el auditor de sistemas al revisar que el contenido total del informe de auditora sea acorde con lo que realmente tiene que sealar acerca de la revisin efectuada, refirindose exclusivamente al contenido del informe; para ello debe tomar en cuenta los siguientes aspectos: Que la informacin que contiene el documento sea veraz, confiable y oportuna y sin distorsiones ni tendencias que demeriten el trabajo realizado.

Que el uso de la terminologa sea exacto y objetivo, para que se entiendan e interpreten las desviaciones reportadas tal y como se quisieron plasmar.

Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o modificar lo encontrado en la evaluacin.

Que permita mostrar la situacin real del rea auditada, a fin de identificar y solucionar lo encontrado en la evaluacin.

Que permita mostrar, con su simple lectura, la situacin real del rea auditada, a fin de solucionar la problemtica sealada.

Que su contenido abarque todo lo que se debe informar del rea auditada, sin abundar en explicaciones intiles, pero sin ser parco en lo que se presenta.

Que el lector capte inmediatamente la problemtica que reporta el auditor, as como la opinin que plasma respecto al funcionamiento del rea de sistemas o de sistemas auditados.

B. Caracterstica de forma.

-11-

INFORME DE AUDITORA INFORMTICA

Se refiere a la manera en que el auditor debe presentar el informe, en cuanto al estilo de redaccin, contenido en partes, apartados, apndices, tipo y tamao de las hojas y el tipo de letra, ortografa, sintaxis, gramtica y dems componentes del lenguaje, y en s de todo lo relacionado con la presentacin del documento. Al redactar dicho informe, el auditor debe considerar los siguientes aspectos:

Que est redactado en forma concisa, clara, sencilla y amena, sin exceso de tecnicismo, pero sin omitirlos cuando sean necesarios, a fin de que su lectura sea comprensible.

Que al redactarlo se eviten la redundancia, repeticiones y reiteraciones intiles que solo abultan y entorpecen la lectura.

Que la forma de presentar el informe sea profesional, mecanografiado en forma impecable y con el contenido exacto que debe este tipo de documentos.

Que su redaccin sea impecable en cuanto ortografa y puntuacin.

Que el contenido sea acorde a las necesidades y exigencias de la empresa auditora

Caractersticas de la presentacin del informe: Claridad. Confiabilidad. Propiedad. Concisin. Sencillez. Asertividad.

-12-

INFORME DE AUDITORA INFORMTICA

Tono y fuerza Oportunidad. Exactitud. Imparcialidad. Objetividad. Congruencia. Familiaridad. Veracidad. Efectividad. Positividad.

Caractersticas importantes para el lector del informe de auditora: Que el informe tenga familiaridad. Que el contenido del informe sea coloquial. Que el contenido del informe sea variado. Que se entregue y comente oportunamente. Que su lectura sea sencilla. Que su contenido est fundamentado. Que su redaccin sea clara. Que la informacin contenida sea contundente. Que est redactado en un estilo impersonal. Que su contenido est sintetizado. Que su contenido sea ameno y entendible. Que sea enftico en las situaciones reportadas.

IMPORTANCIA DEL INFORME DE AUDITORA INFORMTICA Las organizaciones han tratado por optimizar todos los recursos con que cuenta la entidad, sin embargo por lo que respecta a la tecnologa de informtica, es decir, software, hardware, sistemas de informacin, investigacin tecnolgica,

-13-

INFORME DE AUDITORA INFORMTICA

redes locales, bases de datos, ingeniera de software, telecomunicaciones, etc. esta representa una herramienta estratgica que representa rentabilidad y ventaja competitiva frente a sus similares en el mercado, en el mbito de los sistemas de informacin y tecnologa un alto porcentaje de las empresas tiene problemas en el manejo y control, tanto de los datos como de los elementos que almacena, procesa y distribuye. El propsito de la revisin de la auditora en informtica, es el verificar que los recursos, es decir, informacin, energa, dinero, equipo, personal, programas de cmputo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen. Durante aos se ha detectado el despilfarro2 de los recursos o uso inadecuado de los mismos, especialmente en informtica, se ha mostrado inters por llegar por llegar a la meta sin importar el costo y los problemas de productividad. El informe es de gran relevancia porque se expresa una opinin tcnica sobre el uso de los recursos informticos, sobre si estas muestran una imagen fiel del patrimonio informtico y su aplicacin correcta dentro de la institucin que se audite. As tambin que la metodologa sea la adecuada al entorno tecnolgico de la entidad, sea estndar, completa, al da, aprobada, y comunicada a todo el personal. Relevancia del Informe El producto que vende la Auditora son sus informes. Se remiten a las ms altas autoridades de la organizacin. Es el medio de que se vale Auditora para dar a conocer su opinin. Es su vehculo de comunicacin. Ponen de manifiesto si los auditores tienen una visin gerencial de las reas auditadas o carecen de ella. Si estn realmente capacitados. Cada informe es una
2

Despilfarro: gasto excesivo e innecesario de bienes materiales o inmateriales.

-14-

INFORME DE AUDITORA INFORMTICA

carta de presentacin de la Auditora, los errores de concepto, la falta de oportunidad de las recomendaciones y la deficiente redaccin pueden producirse en cualquier auditora y es algo que debe evitarse. PROCESO GENERAL PARA LA REALIZACIN DE UN INFORME DE AUDITORA INFORMTICA Planeacin: Planeacin de la auditora en informtica3 Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Visita preliminar

http://www.monografias.com/trabajos/maudisist/maudisist.shtml#ixzz2LbMQ5WS5

-15-

INFORME DE AUDITORA INFORMTICA

Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: Personal participante Una de las partes ms importantes dentro de la planeacin de la auditora en informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Para completar el grupo, como colaboradores directos en la realizacin de la auditora se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importantes. En caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, etc. Puntos a evaluar Evaluacin de sistemas La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si

-16-

INFORME DE AUDITORA INFORMTICA

existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos. El plan estratgico deber establecer los servicios que se presentarn en un futuro contestando preguntas como las siguientes: Cules servicios se implementarn? Cundo se pondrn a disposicin de los usuarios? Qu caractersticas tendrn? Cuntos recursos se requerirn? Evaluacin de la configuracin del sistema de cmputo Esta seccin est orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y largo plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso. c) Evaluar la utilizacin de los diferentes dispositivos perifricos. Seguridad fsica El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea restaurado el servicio completo. Entre las precauciones que se deben revisar estn:

-17-

INFORME DE AUDITORA INFORMTICA

Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del polvo y se habr de contar con detectores de humo que indiquen la posible presencia de fuego. En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en la red y los equipos de teleproceso. En cuanto a los extintores, se debe revisar en nmero de estos, su capacidad, fcil acceso, peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder que no se encuentren recargados o bien que sean de difcil acceso de un peso tal que sea difcil utilizarlos. Esto es comn en lugares donde se encuentran trabajando hombres y mujeres y los extintores estn a tal altura o con un peso tan grande que una mujer no puede utilizarlos. Otro de los problemas es la utilizacin de extintores inadecuados que pueden provocar mayor perjuicio a las mquinas (extintores lquidos) o que producen gases txicos. Tambin se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prcticas en cuanto a su uso. Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente controladas para evitar robos por medio de estas salidas. Los materiales ms peligrosos son las cintas magnticas que al quemarse, producen gases txicos y el papel carbn que es altamente inflamable. Seguridad en la utilizacin del equipo En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas. Seguridad al restaurar el equipo

-18-

INFORME DE AUDITORA INFORMTICA

En un mundo que depende cada da ms de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falta o siniestro. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao causado, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa. Procedimientos de respaldo en caso de desastre Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo. Ejecucin y comunicacin de resultados Cuando hablamos de la ejecucin de una Auditora en Sistemas nos referimos al cumplimiento de los procedimientos citados en los programas de Auditoria previamente establecidos que lleven al cumplimiento de los objetivos. Comunicacin de Resultados; para poder comunicar los resultados de una Auditoria en sistemas es necesario pronunciar toda desviacin relacionada a la implementacin, custodia, aplicacin, procesamiento de informacin, etc. todas en bosquejos o borradores de un informe de Auditora previamente discutido logrando con ello la elaboracin del Informe Final de la Auditoria. A continuacin se hace un cuadro esquemtico del proceso para la elaboracin del informe final de Auditoria.

-19-

INFORME DE AUDITORA INFORMTICA

VISITA PRELIMINAR ESTABLECER OBJETIVOS DETERMINAR PUNTOS A EVALUAR ELABORAR PLANES, PRESUPUESTOS Y PROGRAMAS IDENTIFICAR Y SELECCIONAR HERRAMIENTAS, METODOS Y TECNICAS A UTILIZAR ASIGNAR RECURSOS DE AUDITORIA Y SISTEMAS COMUNICACION EJECUCION APLICACIN DE AUDITORIA

PLANEACION

IDENTIFICAR DESVIACIONES Y ELEBORAR BORRADOR DEL INFORME PRESENTAR DESVIACIONES A DISCUSION ELABORAR BORRADOR FINAL DE DESVIACIONES PRESENTAR EL INFORME DE AUDITORIA

NORMAS APLICABLES Y REGULATORIAS DEL INFORME DE AUDITORA INFORMTICA Las normas aplicables al informe de auditora informtica en sus aspectos ms importantes se apegan a las Nas 600 Uso del trabajo de otros auditores 700 Informe del Auditor 800 Consideraciones especiales- Auditorias de estados financieros con un marco de informacin con fines especficos4. Oportunidad en la comunicacin de los Resultados

Federacin Internacional de Contadores (International Federation of Accountats) IFAC- Normas Internacionales de Auditora (Nas) Instituto Mexicano de Contadores Pblicos IMCPA, Mxico 2,006.

-20-

INFORME DE AUDITORA INFORMTICA

Durante la ejecucin del trabajo, los auditores deben discutir con los funcionarios de la entidad auditada, los informes que contengan los hallazgos que se vayan obteniendo a fin de que adopten las medidas correctivas pertinentes. Los resultados finales debern trasmitirse en el menor tiempo posible a travs de un informe escrito aprobado por el auditor jefe y el cual tambin deber ser discutido con los funcionarios de la entidad auditada. Tipos y Contenido de la Auditora Al finalizar el examen el auditor debe presentar por escrito un informe que describa el alcance y los objetivos de la auditora, adems, comentarios conclusiones y recomendaciones sobre los hallazgos relacionados con los objetivos de la auditora. El informe puede ser: a) Sobre los resultados de una auditora financiera b) Sobre los resultados de una auditora operacional c) Sobre los resultados de una auditora especial d) Sobre los resultados de una auditora ambiental Si el examen es sobre estados financieros, la opinin que se expresa en el informe puede ser: a) Opinin limpia b) Opinin con salvedades c) Opinin adversa d) Abstencin de opinin

-21-

INFORME DE AUDITORA INFORMTICA

En el contenido se reflejan los "hallazgos" y estos se refieren a cualquier situacin deficiente y relevante que se determine por medio de la aplicacin de procedimientos de auditora. En la determinacin de los hallazgos, juega un papel determinante la "materialidad" o "Importancia Relativa" y que es el mximo error posible que el auditor puede permitir para definir si la diferencia encontrada es o no, significativa y por lo tanto es considerada como hallazgo. Objetividad del Informe Los comentarios y conclusiones debern presentarse de manera objetiva e imparcial. Presentando la realidad encontrada, sin tratar de salvar la

responsabilidad de algn funcionario o empleado de la entidad auditada. Precisin y Razonabilidad del Informe Los informes deben prepararse en lenguaje sencillo y fcilmente entendible, tratando los asuntos en forma breve y deben coincidir con los hechos observados. Estas caractersticas permitirn hacer un seguimiento correcto a las recomendaciones planteadas y efectuar las evaluaciones pertinentes a las acciones correctivas que se adopten en cada caso.

TIPOS DE INFORME DE AUDITORA INFORMTICA El informe de auditora informtica no tiene el mismo enfoque que el informe de auditora de Estados Financieros, para el caso de un informe de auditora de Estados Financieros existen los cuatro tipos de informe (Sin salvedad o limpio, Con salvedad, negativo y abstencin de opinin) en el cual se dar la opinin del auditor en relacin con las Estados financieros presentados. En el caso del informe de auditora informtica no existen tipos de informe como el caso del informe de Estados Financieros, ac el auditor en sistemas no dar

-22-

INFORME DE AUDITORA INFORMTICA

ningn tipo de opinin, solamente comunicara a la administracin o al gobierno corporativo las debilidad y deficiencias de control interno del ares de TI encontradas al momento de realizar el anlisis del rea mencionada. El informe de auditora informtica podr tomar alguno de los siguientes enfoques listados a continuacin: Informes Cientficos: Van destinados a hombres de ciencia, consecuentemente competentes en el tema que trata la investigacin. En este caso, el lenguaje es riguroso y no hay limitaciones en el uso de tecnicismos. Estos informes pertenecen a la categora de memorias cientficas (para proyectos especiales). Informes Tcnicos: Destinados a las organizaciones pblicas o privadas que han encargado el estudio o investigacin. En este caso, se mantiene el mximo rigor y se procurar que el informe sea accesible a los destinatarios, que no siempre dominan toda la jerga propia de la sociologa, antropologa, psicologa social, etc. 5 Informes Expositivos: en estos informes su autor no introduce ninguna interpretacin ni anlisis sobre el hecho a analizar, se limita simplemente a narrarlo o exponerlo. Adems, tampoco suelen incluir recomendaciones ni conclusiones. En sus primeros prrafos se presenta la situacin previa para que los receptores comprendan mejor la informacin posterior. Informes Interpretativos: estos informes buscan dejar en claro el alcance y sentido que tendr un determinado concepto o hecho. Estos informes por lo tanto s incluyen conclusiones y recomendaciones sobre los hechos analizados. Son por esto una herramienta muy importante para la entidad a la hora de tomar ciertas decisiones.

http://www.slideshare.net/milanyis/1-tipos-de-informes

-23-

INFORME DE AUDITORA INFORMTICA

Informes Demostrativos: en este tipo de informes debe dejar muy en claro qu corresponde a la opinin de su autor y qu no. Adems, se deben sealas con total precisin las distintas etapas que llevaron al emisor a dictaminar determinadas proposiciones. Persuasivos: por medio de los argumentos y demostraciones, el emisor busca convencer a quienes reciban el informe de que tome ciertas decisiones. Para que esto se cumpla, debe incluirse un plan de accin que convenza al receptor de que la va propuesta ser la ms adecuada.6 ESTRUCTURA DEL INFORME DE AUDITORA INFORMTICA Con la informacin suficiente, experiencia y conocimiento, el auditor procede a

la elaboracin del informe de auditora en sistemas, el cual es el punto final del proceso de evaluacin de la informacin obtenida.

La elaboracin del informe de auditora en sistemas, es uno de los aspectos ms difciles para los auditores debido a que requiere procedimientos

complicados, propios de las auditorias.

El auditor plasma su dictamen y opinin personal en este documento y lo sustenta con documentos de apoyo y los papeles de trabajo en los que va haciendo las anotaciones de las tcnicas, mtodos y procedimientos que utilizo durante el desarrollo del trabajo.

El informe de auditora, debe contener los siguientes aspectos:

Oficio de presentacin Es un documento de carcter oficial que sirve de presentacin del informe, mediante este documento se pone a consideracin de los directivos de la empresa el resultado de la auditora practicada al rea de sistemas.
6

http://www.tiposde.org/documentos/181-tipos-de-informes/

-24-

INFORME DE AUDITORA INFORMTICA

El contenido y presentacin de dicho documento varan de una institucin a otra, pero en esencia este documento debe ser elaborado en la papelera oficial de la empresa.

Identificacin (en la parte superior izquierda del formato) Es el nombre donde se anota la empresa auditora, ya sea el de la empresa que hace la auditoria. Si es necesario que lleve el logotipo de auditora, cargado en la parte superior izquierda.

rea auditada (en la parte central del formato) Es el rea donde se anota el rea de informtica, seccin o unidad administrativa del sistema evaluada. Lo que se pretende con esta identificacin es que se tenga bien claro cul es el ambiente de trabajo donde se presentaron las desviaciones.

Periodo de cobertura Este periodo deber contener la fecha de inicio y ltimo da de trabajo en las oficinas de la entidad.

Introduccin Es la parte del informe donde el responsable de la auditora hace la presentacin formal de su trabajo; en este apartado se manifiesta el objetivo de la auditora, las razones que motivaron a llevarla a cabo y, si es el caso, los fundamentos que apoyen su realizacin, su redaccin debe ser impecable y debe tener una excelente presentacin, ya que es la primera parte que se lee del informe de auditora.

Naturaleza y objetivos del examen

-25-

INFORME DE AUDITORA INFORMTICA

Se seala la naturaleza o tipo de la accin de control, as como los objetivos previstos; exponindose ellos segn su grado de significancia o importancia para la entidad.

Alcance del examen Se indicar claramente la cobertura y profundidad del trabajo realizado para el logro de los objetivos de la accin de control, precisando el periodo y reas de la entidad examinadas, mbito geogrfico donde se realizar el examen.

Informe de la auditoria Es la parte ms importante de una auditora de sistemas computacionales y en muchas ocasiones es lo que ms esperan los directivos de la empresa o del rea auditada, debido a que es una opinin profesional respecto al comportamiento de los sistemas. Evidentemente, el dictamen est apoyado en la experiencia y conocimientos del auditor en las reas de auditora y sistemas, as como en la confianza del uso de las herramientas e instrumentos apropiados.

Situaciones relevantes Son los aspectos ms relevantes y de mayor peso encontrados durante la evaluacin, son los formatos de situaciones relevantes", stos son los documentos oficiales donde el responsable de la auditora reporta las desviaciones que segn su criterio, son las ms importantes encontradas durante el desarrollo de la auditora. Se anexan para posibles aclaraciones y consultas de las desviaciones que se reportan en el dictamen.

Situaciones detectadas Son todas las desviaciones encontradas durante la auditoria, con las causas reales que las provocaron y sus posibles soluciones.

-26-

INFORME DE AUDITORA INFORMTICA

Es donde se concentran todas las desviaciones encontradas durante la evaluacin. Su inclusin en el dictamen es a criterio del responsable de la auditora.

Es un formato especial para la recopilacin de situaciones o desviaciones encontradas, el cual est formado por una serie de hojas en las cuales el auditor anota en manuscrito o tipografa todas las desviaciones que encuentra durante su evaluacin.

Confirmaciones en papeles de trabajo Son pruebas documentadas que sirven de soporte para sustentar las desviaciones, causas u otros aspectos relevantes encontrados. La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor.

En la parte inferior del formato: Quien elabor (Nombre y firma) Quien aprob (Nombre y firma)

Observaciones Son las respuestas brindadas a la comunicacin de los hallazgos respectivos, por el personal comprendido en la observacin, las cuales deben ser expuestas brevemente, indicndose si se acompa documentacin sustentada. De no haber respuesta a la comunicacin de hallazgos o de ser extempornea, se referenciar dicha circunstancia.

ENFOQUES DEL INFORME DE AUDITORA INFORMTICA El concepto de auditora informtica ha estado siempre ligado al de auditora en general y al de auditora interna en particular, y ste ha estado unido desde

-27-

INFORME DE AUDITORA INFORMTICA

tiempos histricos al de contabilidad y de control de los registros y de las operaciones. Entendiendo el concepto anterior se podra decir que el enfoque del informe de auditora informtica est estrechamente ligada a:

Financiero. De control interno. De cumplimiento. Contractual. Fraudes. Proyectos. Operativa.

Enfoque Financiero7 Se encuentra dirigida a examinar los Estados Financieros o una porcin de ellos, su propsito es emitir una opinin sobre la posicin financiera y el resultado de las operaciones de un agente econmico, la aplicacin de los PCGA y no est destinada a detectar fraudes o errores en la organizacin, pero puede originar trabajos especiales con esa finalidad. Enfoque de control interno Su propsito es la proteccin de los activos y recursos financieros, minimizar la exposicin a fraudes, errores o malas prcticas de empleados o terceros. Enfoque de Cumplimiento Se refiere a la aplicacin de las disposiciones gubernamentales o reguladoras en sus aspectos formales y sustanciales como la liquidacin de impuestos,

Universidad De El Salvador Ciencias Econmicas, CPA.

-28-

INFORME DE AUDITORA INFORMTICA

presentacin de declaraciones juradas, cumplimiento de obligaciones, tributarias, laborales, etc. Enfoque Contractual Dirigida a verificar el cumplimiento de obligaciones y condiciones contractuales derivadas de contratos firmados. Usualmente es desarrollada por auditores internos e incluye la evaluacin de la calidad de trabajo. Enfoque de Medicin de Fraudes Trabajo especial destinado a determinar y cuantificar el efecto econmico producido por empleados o terceros contra la empresa. Enfoque de Proyectos Evala la ejecucin administrativa, presupuestal y financiera de los proyectos de inversin, su propsito es opinar y proporcionar informacin sobre la

administracin y ejecucin operativa y financiera adems de visualizar el cumplimiento de objetivos y metas. Enfoque Operativo Destinada a la evaluacin y eficiencia del uso de los recursos, definiendo la efectividad de los procedimientos aplicados en la operacin.

CASOS APLICABLES A LOS TIPOS DE INFORME DE AUDITORA INFORMTICA Desarrollo de auditoria en informtica sobre aplicaciones El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente respecto de las aplicaciones en funcionamiento: Naturaleza.

-29-

INFORME DE AUDITORA INFORMTICA

Antigedad: tiempo de funcionamiento. Tipo de desarrollo. Desarrollo Interno: la aplicacin fue desarrollada internamente por personal de la misma empresa, es un desarrollo a la medida. Desarrollo Externo: la aplicacin es un desarrollo a la medida pero fue desarrollada por personal externo a la organizacin, por ejemplo, se contrat a una empresa de desarrollo de software. Desarrollo de Terceros: la aplicacin fue comprada como un paquete desarrollado por otra empresa. Arquitectura de la aplicacin, por ejemplo, cliente/servidor, tres capas. Lenguaje de programacin y almacenamiento de datos (bdd, archivos). El conocimiento general de la aplicacin deber documentarse en la plantilla que se presenta a continuacin:

Datos generales de la aplicacin Preparado por. Fecha. Nombre de la Aplicacin.

Aspectos generales Breve descripcin de la aplicacin. Funciones generales. Mdulos (Opcional). Nmero promedio de usuarios que utilizan la aplicacin:

Caractersticas de diseo Arquitectura.

-30-

INFORME DE AUDITORA INFORMTICA

Tiempo en produccin. Lenguaje de desarrollo. Base de datos que utiliza. Desarrollo. Interno. Producto o paquete de terceros. Externo. Mixto.

Observacin directa de los procedimientos Un mtodo que ayuda mucho al auditor a clarificar los conocimientos que est adquiriendo sobre la aplicacin, es la observacin fsica de los procedimientos. Para esto el auditor debe hacer un seguimiento paso a paso de la informacin desde el rea usuaria, pasando por el ciclo de entrada, llegando al saln del computador y observar la etapa de proceso y regresando nuevamente al usuario en la etapa de salida. El procedimiento total debe documentarlo en uno o varios flujogramas. Conocimiento de los programas El objetivo es estudiar y conocer detalladamente los programas ms importantes de la aplicacin. Como resultado de esta etapa el auditor puede generar papeles de trabajo que consisten en un resumen o explicacin de las funciones de cada programa. Identificacin de riesgos En esta etapa el grupo de auditores que est auditando la aplicacin, elabora una lista de todos los riesgos probables que se presentan en las diferentes etapas de la aplicacin y que los fue identificando en las actividades de conocimiento detallado de la aplicacin. Para orientar esta actividad se proponen los siguiente

-31-

INFORME DE AUDITORA INFORMTICA

elementos, que ayudan a identificar los principios ms importantes que se buscan en cada rea de control: Organizacin y Procedimientos del rea de Sistemas Asegurar que se ha definido y aprobado un Plan Estratgico y Operativo para los sistemas de informacin de la entidad, as mismo es importante verificar que el mismo se est llevando a cabo de acuerdo a lo previsto. Verificar que se realice una adecuada segregacin de funciones Mantenimiento a las Aplicaciones Asegurar que nicamente se hacen modificaciones, revisiones o cambios autorizados a la aplicacin y programas y que se realizan en un ambiente controlado y seguro. El punto importante es determinar si hay procedimientos de controles claros y adecuados y si se cumplen durante las modificaciones o cambios a los programas. El auditor necesita seleccionar algunos cambios crticos o mayores a programas que se han presentado en la aplicacin auditada, para determinar el cumplimiento de los procedimientos de control establecidos. Asegurar la disponibilidad de una adecuada documentacin (sistema, programa, operaciones y usuario), para ayudar al personal de sistemas en las actividades de rediseo, modificacin y anlisis de programas, adems para facilitar las revisiones de auditores. El punto importante es verificar si la documentacin es exacta, adecuada y actualizada. Redes y Comunicaciones Asegurar que se han establecido controles en la transmisin y recepcin de los datos de un punto a otro. Asegurar que existen controles y seguridades de acceso en las terminales del computador.

-32-

INFORME DE AUDITORA INFORMTICA

Es importante determinar la existencia y funcionamiento de los controles necesarios para proteger la privacidad e integridad de la informacin durante su transmisin. Seguridad Lgica Asegurar que existen controles y seguridades adecuadas para el acceso a la informacin a travs de la aplicacin. Reducir o eliminar los riesgos potenciales de fraude mediante manipulacin de los archivos. El punto ms importante es determinar si el acceso del usuario y del personal de sistemas a la aplicacin se basa estrictamente en sus reas de responsabilidad y est controlado mediante el uso de un login y password, adems que los password cumplan con las mejores prcticas para asegurar su efectividad. Un proceso crtico que debe ser conocido a detalle por el auditor es la gestin de usuarios para el acceso a la aplicacin: creacin, mantenimiento, eliminacin. Seguridad fsica Asegurar que existen controles y seguridades adecuadas para el acceso fsico a las instalaciones del Centro de Cmputo. Asegurar que existen los controles y seguridades adecuadas para prevenir riesgos ambientales. Continuidad de operaciones Determinar si hay un plan de contingencia documentado y probado que permita la continuidad de operaciones de la aplicacin, en casos de desastres menores y mayores. Satisfaccin del Usuario El punto importante es verificar si el usuario est satisfecho con los resultados y comportamiento de la aplicacin y si la aplicacin ha cumplido con los objetivos propuestos para los cuales se desarroll e implement. Entrada de datos

-33-

INFORME DE AUDITORA INFORMTICA

Asegurar

que

se

han

establecido

controles

adecuados

(manuales

automatizados), para prevenir, detectar y corregir errores, irregularidades u omisiones que pueden ocurrir en las actividades de entrada de datos. Un aspecto clave es verificar si los datos entran al sistema de acuerdo al diseo mismo y a las especificaciones de control de los programas. Procesamiento Asegurar que se han establecido controles automticos adecuados para prevenir o detectar irregularidades u omisiones que pueden ocurrir durante el procesamiento de los datos; la actualizacin de los archivos y para corregir los errores detectados, as como tambin reducir o eliminar los riesgos de fraude. Un punto importante es determinar si los datos se procesan y actualizan de acuerdo al diseo del sistema y a las especificaciones de control interno en los programas. Salidas de informacin Asegurar que se han establecido controles adecuados (manuales y automticos), para prevenir, detectar y corregir errores, irregularidades u omisiones que pueden ocurrir durante las actividades de salida de la informacin. Un aspecto importante es evaluar si realmente se necesita la salida, si se valida y si el usuario autorizado la recibe oportunamente. Metodologa para la identificacin de riesgos Una metodologa sugerida para la fase de identificacin de riesgos consiste en que el grupo de auditores, usando la tcnica de Tormenta de Ideas identifique todos los riesgos que pueda para cada una de las reas en que se dividi la aplicacin. En esta etapa del trabajo ser muy til invitar a un representante del rea de informtica (por ejemplo un analista) y a un representante del usuario, para que participen en la identificacin de los riesgos. La experiencia de estas personas enriquece mucho el resultado del trabajo y lo hace ms real.

-34-

INFORME DE AUDITORA INFORMTICA

Una vez identificados todos los riesgos, se puede hacer un ordenamiento de los mismos, agrupando todas las causas y todos los efectos de un mismo riesgo e indicando nicamente el riesgo. Esto reduce mucho la lista de riesgos, que puede ser muy extensa. El papel de trabajo resultante de esta etapa es la lista de riesgos para cada rea de la aplicacin. Seleccin de riesgos crticos Una vez identificados los riesgos, el auditor debe seleccionar aquellos que realmente sean ms importantes por su significacin en la aplicacin, tanto por su probabilidad de ocurrencia como por sus efectos negativos (impacto). Una manera de llevar a la prctica esta actividad es utilizar dos escalas para la evaluacin: Probabilidad Alta Media Baja Impacto Alto Medio Bajo

Cada riesgo obtendr una calificacin de probabilidad e impacto basada en estas escalas, finalmente la calificacin final ser el producto de impacto x probabilidad. Los riesgos debern ser ordenados descendentemente en funcin de su calificacin final, lgicamente los primeros de valor ms alto sern los ms crticos. El proceso de seleccin es una de las etapas ms importantes dentro de la auditoria a la aplicacin, pues permite que el auditor concentre su esfuerzo en los riesgos crticos, aumentando de esta manera su efectividad y productividad. Este proceso de asignacin de una probabilidad e impacto es subjetivo y requiere de experiencia y buen juicio por parte del auditor. El papel de trabajo, producto de esta etapa es la lista de riesgos importantes de la aplicacin para cada una de las reas en que se dividi la aplicacin con su respectiva calificacin final de riesgo.

-35-

INFORME DE AUDITORA INFORMTICA

Identificacin de controles existentes en la aplicacin En esta etapa el auditor busca e identifica los controles existentes en la aplicacin para los riesgos seleccionados en el punto anterior. La bsqueda se debe realizar rea por rea. Es importante insistir en lo siguiente: SE DEBEN CONSIGNAR LOS CONTROLES QUE TIENE LA APLICACIN NO LOS QUE DEBERA TENER. Normalmente se encuentra evidencia de la existencia de los controles especialmente en los siguientes puntos: Documentos fuente y formas de entrada Procesos de autorizacin y aprobacin manuales y automticos Informes de salida, como listados de validacin, listados de saldos, etc. Documentos de control tales como: guas, hojas de ruta, planillas de actividades, registros de errores, listados de las rutinas de contabilidad del sistema, solicitudes de cambio de programas, solicitud de creacin de usuarios, etc. Las tcnicas ms recomendables para la identificacin de los controles son: Para controles manuales: anlisis de los flujogramas, consulta de cuestionarios, observacin fsica de los procedimientos. Para controles en los programas: datos de prueba, anlisis de entrada y salida del proceso real. El papel de trabajo producto de esta actividad es una matriz para cada una de las reas en que se dividi la aplicacin; que tiene como columnas los riesgos seleccionados y como filas los controles identificados. Evidencia de controles importantes de la aplicacin

-36-

INFORME DE AUDITORA INFORMTICA

En la matriz de riesgos y controles el auditor estableci una relacin que permiti identificar la existencia de controles que mitiguen los riesgos, no obstante, en esta actividad slo se consider la existencia del control pero no fue evaluado su funcionamiento y efectividad. En la prctica un control muy efectivo puede ver reducida su efectividad cuando se ejecuta mal parcialmente, o an no tener ninguna efectividad cuando no se est ejecutando. Por esta razn el auditor debe cerciorarse; es decir, evidenciar si el control que se identific realmente existe en la aplicacin y funciona bien. Para esto debe disear y ejecutar las pruebas de cumplimiento para los controles. Realizar estas pruebas para todos los controles probablemente requiere demasiado esfuerzo del auditor y adems no se justifica por el bajo impacto que pueden tener algunos de ellos sobre los riesgos, an suponiendo que funcionasen bien. De tal manera que, para aumentar la eficiencia y calidad del trabajo del auditor, se recomienda realizar las pruebas de cumplimiento nicamente para aquellos controles calificados como realmente importantes en la matriz, por su impacto significativo sobre uno o varios riesgos. Es importante aclarar que muchas de estas pruebas no se requieren si el auditor ha conseguido plena evidencia del funcionamiento del control en las etapas previas a este punto de su auditaje. Ajustes a las matrices de riesgos y controles Con base en los resultados de las pruebas de cumplimiento realizadas a los controles ms importantes de las matrices, el auditor procede a actualizar la misma, eliminando aquellos controles que no sean efectivos o no se estn utilizando y dejando nicamente aquellos que efectivamente mitiguen la ocurrencia del riesgo. Considerar que con la existencia de los controles, muchos riesgos pueden disminuir su nivel de criticidad. La matriz final por cada rea, con el reporte de cada riesgo, es el punto de partida sobre el que se realizar el informe, que como veremos contendr un detalle ms especfico del riesgo, su origen, causa, efectos, entre otros. Comunicacin

-37-

INFORME DE AUDITORA INFORMTICA

Preparacin del informe de auditora (borrador) En esta fase deben documentarse todos los hallazgos identificados, la principal gua en esta fase es la matriz de riesgos y controles. Las observaciones deben redactarse de acuerdo al contenido que se detalla en el captulo siguiente el cual est dedicado por completo al informe de auditora. Revisin del informe con el auditado Una vez documentadas todas las deficiencias de control, el grupo de trabajo de auditora mantiene una reunin con el auditado para presentar sus hallazgos y recomendaciones. Es esta reunin el auditado puede apreciar el punto de vista del auditor en relacin con los hallazgos y las recomendaciones, adems tiene la oportunidad de refutar, comentar o estar de acuerdo con ellos, por ello, es primordial que el auditor asista a esta revisin con la evidencia soporte para todos los puntos reportados, de tal forma que en caso de requerirlo por parte del cliente, la observacin pueda ser justificada adecuadamente. El auditor no necesita tener la aceptacin total del auditado sobre los hallazgos y recomendaciones pero debe conocer el pensamiento y sentir del auditado sobre ello. An cuando el auditado objete fuertemente una recomendacin, el auditor no necesita cambiarla. Sin embargo, el auditor y el auditado deben estar de acuerdo en los hechos. Si hay una diferencia substancial sobre los hechos entonces tanto el auditor como el auditado los deben investigar ms exhaustivamente, para llegar a la realidad y obtener as el acuerdo. Aunque la interpretacin y anlisis de los hechos difieran, debe existir un acuerdo bsico entre los hechos reales. Recuerde la objetividad de la auditora.

Entrega del informe final Si fuera el caso luego de la revisin con el auditado, deben realizarse los ajustes necesarios al informe, para la posterior impresin del reporte final de auditora. Con este paso concluye el trabajo de auditora informtica de una aplicacin en

-38-

INFORME DE AUDITORA INFORMTICA

funcionamiento, espero que esta metodologa pueda ser llevada a la prctica por ustedes con facilidad.

SUSTENTO DEL INFORME DE AUDITORA INFORMTICA En el proceso de la auditoria se conoce como papales de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que en su conjunto constituyen un comprendido de la informacin utilizada y de las pruebas efectuadas en la ejecucin de su trabajo junto con las decisiones que ha debido tomar para llegar a formarse su opinin. El Informe de Auditoria, si se precisa que sea profesional tiene que estar basado en la documentacin supervisin. Entre la documentacin ms importante que debe evidencias o sustentar el informe de auditora informtica tenemos: Inventario de software Uno de los documentos fundamentales que el auditor debe integrar en el legajo de papeles de trabajo, es el inventario de los programas, lenguajes, paqueteras, sistemas operativos y cualquier otro software que se utilice en la institucin para el procesamiento de la informacin y operacin de los sistemas. En el documento que presentamos a continuacin se debe anotar la o papeles de trabajo, como utilidad inmediata previa

versin del software, las licencias para su uso y en general todas sus caractersticas, as como a los responsables de su resguardo.

BONZAI AUDI REA AUDITADA CENTRO DE EMPRESA: PERIODO: COMPUTO 01 DE ENERO 2012 AL 31 DE DICIEMBRE DE

-39-

INFORME DE AUDITORA INFORMTICA

2012 RESPONSABLE: JUAN CARLOS RIVERA Inventario de Software No. De REF. W01 W02 W03 W04 W05 BD1 BD2 SO1 SO2 Software Windows NT Office Office Office Office Easy case Informix MS-DOS Unix Versin Inventario 311 09 234-1 95 09 334-1 95 09 334-2 97 09 334-2 97 09 334-2 12 15 234-1 14 15 345-3 60 01 565-2 30 01 456-3 Licencia Presentacin Asignado a Localizacin 20 CD-ROM 1 CD-ROM 1 CD-ROM 1 CD-ROM 1 CD-ROM 3 8 Disk 1 10 Disk 1 3 Disk 1 CD-ROM C. Computo Servidor 1 C. Computo Servidor 1 Contabilidad finanzas Diseo Produccin

R. Humanos Admn. C. Computo Desarrollo C. Computo Desarrollo C. Computo Desarrollo C. Computo Desarrollo

El propsito de este documento es que el auditor tenga un registro pormenorizado del total de software que hay en la empresa, ya sea el de cada computadora instalada, el que est disponible en el red de sistemas, el adquirido a terceros (llamado software comercial), el que ha sido desarrollado en la empresa (llamado software desarrollado) e incluso las paqueteras, lenguajes, sistemas operativos, etctera. Con esa informacin en sus papeles de trabajo, el auditor puede analizar y comprobar la utilidad, aprovechamiento, suficiencia y seguridad del software. Adems le sirve de soporte en caso de haber desviaciones en la existencia y actualizacin del mismo.

Respaldo de datos (backups), informacin y programas de aplicacin de auditoria.

-40-

INFORME DE AUDITORA INFORMTICA

Los sistemas de informacin tienen caractersticas especficas en cuanto a la forma de captura, almacenamiento y emisin de informacin; por esta razn, encontramos que el respaldo de documentos es muy importante en una auditoria informtica. Estos documentos de trabajo, que contienen informacin importante, se pueden archivar en disquetes, cintas, CD-ROMs, DVDs o en algn otro medio electrnico de captura y lectura de datos. En este tipo de auditoras, los llamados documentos de trabajo adquieren un matiz muy especial debido a la forma en que se archiva la informacin en ellos: as encontramos que debemos documentar datos que muchas veces no estn archivados en papel sino en sistemas computacionales: por lo tanto, debemos saber cmo capturar, extraer y archivar esa informacin en algn medio

electromagntico de captura y lectura de informacin . Sin embargo, no solo es por la forma de almacenar la informacin, sino tambin por la cantidad,

periodicidad y utilidad de la informacin que va a ser documentada. Est claro que no se puede documentar como papeles de trabajo toda la informacin que se procesa en los sistemas computacionales, sino nicamente la que haya sido designada de algn proceso de recopilacin especifico. Es bueno recordar que un sistema computacional es un sistema de entrada de datos, procesamiento de informacin y emisin de resultados , compuesto por un conjunto de equipos fsicos (hardware) que captura los datos a travs de sus unidades de entrada (teclado, disquetes, disco duro, CD-ROM), y los procesan (en la CPU) a travs de sus lenguajes, programas y paquetes (software) para emitir informacin empresa. Entradas Procesamiento Salidas (en pantalla, impresora, disco duro, disquetes) til para la

Sin embargo, el auditor solo utiliza la informacin que producen los sistemas, si esta le es til para evaluar algn aspecto relacionado con la revisin que est realizando y casi nunca toma en cuenta las operaciones y actividades internas que realiza el sistema para arrojar esa informacin.

-41-

INFORME DE AUDITORA INFORMTICA

El ncleo del Sistema Operativo

En la figura anterior

se hace un pequeo esbozo

de los sistemas

computacionales, sus caractersticas , marco conceptual y de algunos otros aspectos bsicos que sern tiles para que el auditor recuerde o conozca los aspectos ms importantes de lo que va a auditar. Los papeles de trabajo que contienen la informacin que se maneja en los sistemas se deben almacenar en dispositivos especiales: por esta razn, a continuacin indicaremos dos de los principales tipos de datos e informacin, as como los medios de almacenamiento que se deben considerar como documentos de los papeles de trabajo de la auditoria de sistemas computacionales. El propsito de presentar estos dos ejemplos es que el auditor sepa cmo se deben archivar dichos papeles de trabajo. Aunque en la prctica, el responsable de la auditoria ser quien decida el tipo de informacin que se debe archivar y en que medio se puede hacer, segn las necesidades de su propia evaluacin.

Respaldos de bases de datos e informacin de la empresa Es el respaldo peridico de informacin que se hace a travs de discos (o

cualquier otro medio), en los cuales se almacenan los datos de algn ejercicio,

-42-

INFORME DE AUDITORA INFORMTICA

operacin o cualquier otra serie de datos que se es importante conservar. El auditor de informtica debe decidir cmo conserva esta informacin como parte de su evaluacin. En la prctica de la auditoria informtica, el auditor debe evaluar los respaldos, la periodicidad con la que se llevan a cabo, el periodo de duracin o

actualizacin de la informacin , la confiabilidad del respaldo, la manera de evitar fugas de informacin , entre muchos otros aspectos. Respaldos de programas (copias de respaldos de programacin) En este caso, el auditor debe verificar que existan respaldos (peridicos o nicos) de los sistemas operativos, programas, paqueteras o sistemas realizados en la empresa, con el objeto de evaluar que dichos respaldos sean los adecuados en caso de ocurrir problemas en el sistema. Adems debe verificar que los respaldos estn perfectamente custodiados, y que no existan ms copias de las

permitidas, para evitar la llamada piratera de programas o la fuga de informacin de la empresa. Otros documentos que de contener el legajo auditoria Debemos sealar que el responsable de la auditoria informtica es quien debe definir el contenido y la forma de guardar los papeles de trabajo, y debe hacerlo de acuerdo con las necesidades especficas de evaluacin, siguiendo, de de papeles de trabajo de la

preferencia, la forma acostumbrada de capturar y almacenamiento de la informacin recabada en la empresa o rea auditada. Asimismo, es quien debe determinar las secciones, partes y documentos que se deben guardar en el legajo de papeles de trabajo. Por esta razn, a continuacin presentamos algunos otros documentos que debe contener el citado legajo. Estadsticas y cuadros concentradores de informacin Este punto se refiere a todo lo relacionado con los cuadros estadsticos que utiliza el auditor para recabar y evaluar la informacin obtenida en la evaluacin; en

-43-

INFORME DE AUDITORA INFORMTICA

estos

cuadros se incluyen

las grficas, datos, censos, muestras, formulas

estadsticas, etc. Es de suma importancia para el auditor archivar estos cuadros en el legajo de papeles de trabajo, ya que le sirve para acreditar su informe; adems, pueden servir de referencia para los auditores novatos sobre la manera de elaborar estadsticas y obtener evidencias de una evaluacin de sistemas. Debido a la importancia de este punto, en la seccin 7.3 de este captulo

analizaremos ampliamente algunos ejemplos de estas recopilaciones.

Ejemplo cuadros, estadsticas y documentos concentradores de informacin En esta parte se presentan todos los documentos del legajo de papeles de trabajo que servirn de soporte para presentar la informacin recopilada durante la auditoria y que es conveniente destacar por su importancia, por su nivel de informacin o por cualquier otro aspecto que resulte determinante para la evaluacin y para comprobar las desviaciones importantes. Por lo general estos documentos son complemento de alguna revisin y sirven para identificar y comprobar desviaciones y situaciones. Dichos documentos pueden ser estadsticas, graficas o cuadros en los cuales se concentras y se comparan datos tales como listados de resultados de un proceso y listado de seguimiento de las actividades, operaciones y tareas que se realizan con un sistema computacional, as como los concentrados de informacin estadstica, las bitcoras de seguimiento y reportes, y en si cualquier dato que pueda ser incluso en las estadsticas. A continuacin presentaremos algunos documentos que pueden ser considerados dente de este rubro; Ejemplo cuadro de concentracin estadstica consumo de horas de impresin por

-44-

INFORME DE AUDITORA INFORMTICA

semana Tipo de impresora Epson 10" Epson 15" Inyeccin de tinta Laser Totales 2 2 28 4 4 24 4 2 18 25 20 47 35 28 117 Depto. Contable 5 19 Depto. De Finanzas 6 10 Depto. De Ventas 8 4 Depto. De Diseo 1 1 20 34 Totales

Es un cuadro (columnas y filas) en donde se anotan datos tiles tales como operaciones aritmticas, matemticas y/o estadsticas que le darn algn significado a la evaluacin. En el ejemplo se presenta un cuadro con el consumo de horas de impresin semanales de las impresoras de las diferentes reas de una empresa. Con el anlisis de estos datos se podran optimizar las impresoras mediante un pool de impresiones o una red con impresora compartidas, segn sea el caso que se presente en la realidad. Ejemplo cuadro de comparacin de informacin Depto. Tipo de impresora Epson 10" Epson 15" Inyeccin de tinta Laser Totales 2 2 28 4 4 24 4 2 18 25 20 47 35 28 117 40 40 160 -5 -12 -43 Depto. De Depto. De Depto. De Diseo 1 1 Total rea 20 34 Tiempo Programado Diferencia 40 40 -20 -6

Contable Finanzas Ventas 5 19 6 10 8 4

-45-

INFORME DE AUDITORA INFORMTICA

Tiempo Asignado Diferencia 30 -2 30 -6 30 -12 70 -23 160 -43

Es un cuadro de concentracin estadstica de datos, en el que se comparan los resultados contra parmetros normales previamente definidos; esta comparacin nos dar un criterio de evaluacin para esos rangos. En el ejemplo de la tabla se hace la comparacin del tiempo programado de impresin contra el tiempo real. Anexos de recopilacin de informacin Adems de la informacin estadstica, el auditor puede obtener otro tipo de informacin que le es til para realizar la evaluacin de los sistemas

computacionales, misma que puede ser muy variada y que debe guardar como anexos de informacin; a continuacin presentamos algunos ejemplos de estos anexos: -Resultado de Procesamientos de datos -Descripcin de puestos, funciones y actividades -Resultado y pruebas de clculo de procesamientos que se efectan en el sistema -Copias de formatos y licencia de programas y paqueteras -Copias resguardos de equipos y mobiliarios -Mapas de distribucin de redes, instalaciones, equipos, muebles y sistemas de informacin -Mapas de rutas de evacuacin y seguridad del rea de sistemas -Bitcoras de reportes y servicios de mantenimiento preventivo y correctivo -Resultados de inventarios y pruebas de la arquitectura de los sistemas -Resultado de diseos, anlisis, codificacin, pruebas y liberacin de sistemas

-46-

INFORME DE AUDITORA INFORMTICA

-Copias de programas fuente, obrero y codificacin de los sistemas desarrollados en la empresa -Resultados de cotizaciones y estudios de mercado para adquisiciones de

hardware, software, mobiliario y consumibles de sistemas. -Otros documentos tiles para el auditor. -Diagrama de sistemas, de programacin y desarrollo de sistemas Una de las actividades ms importantes del trabajo en el rea de sistema de una empresa es el desarrollo de los propios sistemas; durante una revisin de este tipo, es responsabilidad del auditor evaluar el correcto y oportuno desarrollo e instalacin de los sistemas; para ello, adems de evaluar su funcionamiento , debe anexar ala legajo de papeles de trabajo los documentos que contengan la informacin sobre el anlisis, diseo, programacin, pruebas e instalacin de los sistemas de la empresa. Como parte de una posible evidencia de su evaluacin. El auditor debe incluir en estos documentos los diagramas de los sistemas, las metodologas utilizadas para el anlisis y diseo de los mismos, sus codificaciones, programas objeto, fuente y todos los aspectos necesarios que estn relacionados con el desarrollo de los sistemas de la empresa. Testimoniales, actas y documentos legales de comprobacin y confirmacin En algunos casos, estos documentos pueden ser de los ms importantes de una auditoria informtica, debido a que son el testimonio de empleados, usuarios

responsables o de las personas que por algn motivo declararon algo relacionado con los sistemas auditados o con alguna situacin especfica. Estos documentos deben ser recabados con toda formalidad, algunos ejemplos de estos son: El contrato del cliente/Auditor informtica y/o la carta de propuesta. Las Declaraciones de la direccin. Los contratos o equivalentes que afecten al sistema de informacin. El informe sobre y terceros vinculados. Conocimiento de la actividad del cliente.

-47-

INFORME DE AUDITORA INFORMTICA

Asimismo, estos documentos son muy valiosos en cualquier tipo de auditora, ya que sirve para corroborar desviaciones importantes, y en algunos casos pueden tener valor legal para posteriores diligencias y pueden servir como pruebas en algn litigio. Por esta razn es de suma importancia tener a la mano este tipo de documentos. Anlisis estadstico de resultados, datos y pruebas de comportamiento del sistema. As como es necesario guardar los datos muestras y formulas estadsticas

indicadas tambin es necesario conservar los documentos relacionados con el anlisis estadstico de los resultados, ya que adems de servir como evidencia de las desviaciones; encontradas, tambin pueden servir de referencia para futuras evaluaciones; es decir, se pueden utilizar como modelo para retomar los procedimientos seguidos y obtener resultados similares o para ensear a los auditores novatos. Asimismo, el auditor debe anexar cualquier otro documento que a su juicio sea de importancia para la auditoria y que necesite conservar: por ejemplo, comprobantes de viticos, oficios de presentacin, correspondencia, minutas de reuniones, nombramientos y cualquier otro tipo de documentos tiles para sustentar su informe.

-48-

INFORME DE AUDITORA INFORMTICA

En este ejemplo se maneja el programa especializado Quick Time For Windows, versin 21.1.57 de Apple Computer Inc., que se utiliza para verificar el contenido y funcionamiento del equipo de cmputo y de sus componentes. La composicin de esta utilera se presenta nicamente para ejemplificar alguno de los muchos productos que pueden ser incluidos como documentos en el legajo de papeles de trabajo de una auditoria de sistemas computacionales. Otro ejemplo seria presentar un anlisis de la velocidad de procesamiento de una PC, en relacin con los parmetros compatibles con IBM en AT y XT (1993), COMIT es una marca registrada por Comunications Software by Tradenw Inc., y es otro ejemplo de los documentos de apoyo para el auditor de sistemas que se pueden anexar al legajo de papeles de trabajo. Claves del auditor para marcar papeles de trabajo Son las marcas de carcter informal que utiliza exclusivamente el auditor o el grupo de auditores que realizan la auditoria, con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor. El auditor en Jefe puede imponer

-49-

INFORME DE AUDITORA INFORMTICA

en uso de estos smbolos o puede ser utilizados por acuerdo del grupo, aunque tambin puede suceder que no sean utilizados en una auditoria. Su utilidad radica en que tienen un significado preciso que todos los auditores conocen y utilizan para destacar aspectos importantes de los documentos que van revisando, y en que sirven como identificadores uniformes de todas las actividades que se desarrollan durante una evaluacin; as, cuando un del grupo de auditores encuentra algn documento con estas marcas, sabe que este ya ha sido revisado o que tiene una caracterstica especial en la cual se tiene que advertir alguna observacin de acuerdo con el significado de los smbolos. Todos los auditores deben utilizar los mismos smbolos al hacer anotaciones en los documentos que evalen. Tambin ayudan al auditor a realizar un resumen de observaciones para

identificar de manera rpida y sencilla las posibles desviaciones; el simple uso de estas marcas tambin le permite estandarizar su trabajo, siempre y cuando sean las mismas para toda la revisin. Con el uso de estos smbolos tambin se evita el abuso en recopilacin de copias intiles de papeles de evaluacin y documentos oficiales, los cuales sirven para identificar los aspectos revisado, como apoyo para la evaluacin o para cualquier otro aspecto similar poco importante. Con el uso de estas marcas se hace ms

sencilla la revisin de documentos impresos en papel, de disquetes, bases de datos y de todo lo relacionado con los sistemas evaluados. Es conveniente aclarar que no existe algn convenio formal respecto al tipo de marcas utilizadas entre un auditor y otro, sino que su diseo y uso es producto de las experiencias de auditoras anteriores compartidas entre los auditores. Sin embargo, por sentido comn se unifican las marcas smbolos que se utilizan en los papeles de trabajo; entre estas marcas destacan las siguientes: Diagramas de sistemas

-50-

INFORME DE AUDITORA INFORMTICA

Es la representacin grfica del procedimiento que se sigue para realizar una seria de operaciones y actividades debidamente coordinadas entre s. En el ambiente de sistemas, este diagrama es la representacin grfica de un procedimiento se sistematizacin, el cual est representado por lneas de flujo y smbolos representan algn tipo de actividad, de documento o de una decisin. Esta simbologa se acuerda previamente, para que quienes la vean la interpreten de la misma manera. Diagrama de flujo En este tipo de diagramas se sealan los procedimientos por medio de smbolos adoptados para ejemplificar el flujo que siguen los datos.

Inicio

Modulo de Acceso

Modulo de Nivel

Password pass

Modulo opciones

Ingresar CLVURS

Pass-lock

Opcion Valida

CLVURS=Auditoria

Consulta de Datos

-51-

INFORME DE AUDITORA INFORMTICA

En el ejemplo se ve un procedimiento para iniciar un sistema de consulta en el que se incluyen passwords, mdulos de acceso y mdulos de usuario, as como el flujo que sigue para entrar al sistema. EL uso de los diagramas de flujo es una de las principales herramientas que utilizan un auditor para la elaboracin de programas, base de datos, programacin de sistemas y cualquier otro desarrollo de sistemas de la empresa, debido a que permite seguir perfeccionando los datos. En el captulo once se presenta un apartado especial sobre la diagrama de sistemas. Diccionario de datos Este es otro de los documentos importantes para el auditor, ya que le ayuda a identificar el contenido y composicin de las bases de datos, su forma, el tamao de los archivos, el nmero de dgitos por cada registro que ingresa a la computadora y dems caractersticas que componen una base de datos. Diccionario de Datos

CAMPO Crter Cusuario

TIPO Carcter Carcter

TAMAO

DESCRIPCIN

5 Clave de Material* 5 Clave del usuario * Fecha del

Fprestam Flimite

Numrico Numrico

6 Prstamo* 6 Fecha de lmite de entrega* Fecha de devolucin del

Entrega

Numrico

6 prstamo Estado del Prstamo:

Xedopres

Carcter

9 PRSTAMO PERIODO O DEVUELTO*

Crespons

Carcter

3 Inciales de la persona que

-52-

INFORME DE AUDITORA INFORMTICA

modifico El registro por una vez.* * Los asteriscos indican los campos que no pueden estar vacos, debido a la Funcionalidad que se necesite del sistema.

En el ejemplo se observa un diccionario de datos que contienen la identificacin del campo, su descripcin, el tipo de datos que admite y el tamao de los datos que ingresan. Para el auditor es muy importante identificar y evaluar la correcta elaboracin de las bases de datos, y una forma de realizarlo es por medio de los diccionarios de bases, ya que estos le ayudan a identificar la forma en que se realizaron estos archivos y la forma en que se utilizan. RESPONSABILIDAD DEL INFORME DE AUDITORA INFORMTICA Responsabilidad de la administracin La Direccin tiene la responsabilidad principal y primaria de la deteccin de irregularidades, fraudes y errores. Responsabilidad del auditor La responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su deteccin. Es, pues, indudablemente necesario disear pruebas antifraude, que lgicamente incrementarn el coste de la auditora, previo anlisis de riesgos (amenazas, importancia relativa...).

-53-

INFORME DE AUDITORA INFORMTICA

Aunque siempre debe prevalecer el deber de secreto profesional del auditor, conviene recordar que en el caso de detectar fraude durante el proceso de auditora procede actuar en consecuencia, con la debida prudencia que aconseja episodio tan delicado y conflictivo, sobre todo si afecta a los administradores de la organizacin objeto de auditora. No es una prctica recomendable, aunque s usual en algunos casos, ya que el Informe de Auditora Informtica es, por principio, un informe de conjunto. Sin embargo, en el caso de deteccin de irregularidades significativas, tanto errores como fraudes, sobre todo, se requiere una actuacin inmediata segn la normativa legal y profesional, independientemente del nivel jerrquico afectado dentro de la estructura de la entidad. Recordemos al respecto el delito societario y la responsabilidad civil del Auditor (Informtico). Cuando el auditor informtico detecta irregularidades significativas, errores como fraudes en la empresa, debe actuar de forma inmediata, debe de cumplir con su responsabilidad civil de auditor y debe presentar un informe previo de auditora explicando la situacin actual. Una vez elaborado el informe de auditora debe ser firmado por el mismo auditor. Si es individual o por un socio, que podra ser el Jefe de Auditoria en caso de formar parte de una sociedad de auditora.

-54-

INFORME DE AUDITORA INFORMTICA

CONCLUSIONES

Al terminar el presente trabajo de investigacin se concluye lo siguiente:

1. El informe

es

el

medio

formal

donde

el Contador Pblico y Auditor

comunica a las partes interesadas, sobre la situacin financiera, desempeo financiero y sus flujos de efectivo de una empresa y las deficiencias de en el dictamen sobre la

control interno, adems expresa una opinin

razonabilidad de los estados financieros respecto a lo ms importante, de acuerdo con el marco de referencia de informacin financiera aplicable,

sirviendo a la vez de parmetro para la toma de decisiones.

2. La importancia del informe de auditora es expresar una opinin sobre el uso de los recursos informticos y la adecuada revisin en informtica, es decir, informacin, energa, dinero, equipo, personal, programas de cmputo y materiales son adecuadamente coordinados por la gerencia. 3. La importancia que tiene conocer de manera anticipada la documentacin o papeles de trabajo que sustentaran nuestro informe de auditora informtica, los anlisis y pruebas que debemos realizar y que evidencien y soporten de una manera confiable y razonable nuestra opinin. 4. El concepto de auditora informtica ha estado siempre ligado al de auditora en general y al de auditora interna en particular, y ste ha estado unido desde tiempos histricos al de contabilidad y de control de los registros y de las operaciones, adems si analizamos el nacimiento y la existencia de la auditora informtica desde un punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el que se mueve.

-55-

INFORME DE AUDITORA INFORMTICA

RECOMENDACIONES

De las conclusiones anteriores se recomienda lo siguiente:

1. El

Contador

Pblico

Auditor

deber

capacitarse

constantemente

asegurndose que cuenta

con la educacin, conocimientos tcnicos y la poder elaborar un informe las la

experiencia para desarrollar su trabajo. As apropiado entidades

de acuerdo a las circunstancias, ya que en la actualidad requieren cierto tipo de informacin, que cuente con

evaluacin y opinin del profesional de la Contadura Pblica y Auditora.

2. Se recomienda a la gerencia nombrar el personal adecuado para vigilar y coordinar los recursos en informtica de la entidad, para evitar el uso inadecuado de los recursos que se poseen. 3. Las tcnicas y procedimientos de auditora nos permite predeterminar los resultados o puntos a evaluar de nuestra auditoria pero es recomendable nunca olvidar que toda la informacin que se obtiene nace de la experiencia en la elaboracin continua de una auditoria en sistemas de informacin y de constante actualizacin en materia de auditoria. 4. La auditora se desarrolla con base a normas, procedimientos y tcnicas definidas formalmente por institutos establecidos a nivel nacional e

internacional; por lo tanto, se sugiere leer libros en referencia al tema, as como la participacin directa y activa en los institutos o asociaciones relacionados con el campo de la especialidad.

-56-

INFORME DE AUDITORA INFORMTICA

BIBLIOGRAFA

Consejo de Normas Internacionales de Contabilidad (IASB). (International Accounting Standards board)- Normas Internacionales deInformacin Financiera (NIIFs) Mxico 2,004. Federacin Internacional de Contadores (International Federation of Accountats) IFAC- Normas Internacionales de Auditora (NIAs) Instituto Mexicano de Contadores Pblicos IMCPA, Mxico 2,006. Tesis, Juan Williams Choc Acosta El Informe Del Contador Pblico y Auditor Independiente Conforme NIASUniversidad De San Carlos De Guatemala, Facultad De Ciencias Econmicas Guatemala, julio de 2009.

Buscador Google: http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf

http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml#ixzz2KzryMO 97

http://auditoriaupc.wikispaces.com/SEMANA4T%C3%A9cnicas+de+evaluaci% C3%B3n+aplicables+en+una+auditor%C3%ADa+de+sistemas+computacional es http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica#Capitu lo_6:_EL_INFORME_DE_AUDITOR.C3.8DA

-57-