Informe de Auditora

Introduccin
"Es un medio formal para comunicar los objetivos de la Auditora, el cuerpo de las
normas de Auditora, el alcance de la Auditora, y los hallazgos y conclusiones"
"Es el documento que refleja los objetivos, alcances, observaciones,
recomendaciones y conclusiones del proceso de evaluacin relacionados con las
reas de informtica"
La elaboracin del informe representa el momento adecuado de separar lo
significativo de lo no significativo, debidamente evaluados por su importancia y
vinculacin con el factor de riesgo, tarea eminentemente de carcter profesional y
tico, segn el leal saber y entender del Auditor Informtico.
No existe un formato especfico.
Existen esquemas recomendados con los requisitos mnimos aconsejables respecto
a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo
con la creatividad y estilo de los AI
El Informe de Auditora deber ser:
- claro
- adecuado
- suficiente
- comprensible
El formato del Informe debe reflejar una presentacin lgica y organizada.
El informe debe incluir suficiente informacin para que sea comprendido por los
destinatarios esperados y facilitar las acciones correctivas.
Requisitos del Informe
Los requisitos de un Informe de Auditora son:
1- Ser veraz
2- Estar documentado formalmente
3- Mostrar las observaciones (debilidades) encontradas
4- Tener recomendaciones y soluciones para cada observacin
5- Reflejar las reas de oportunidad y cursos de accin
Desarrollo del Informe
Los puntos esenciales de un Informe de Auditora son:
1- Identificacin del Informe
El ttulo del Informe deber identificarse como objeto de disitnguirlo de otros
informes
2- Identificacin del Cliente
Debe identificarse a los destinatarios y a las personas que efecten el encargo
3- Identificacin de la Entidad auditada
Identificacin de la entidad objeto de la Auditora Informtica

4- Objetivos de la Auditora Informtica

Declaracin de los objetivos de la Auditora para identificar su propsito, sealando
los objetivos incumplidos.
5- Normativa aplicativa y excepciones
Identificacin de las normas legales y profesionales utilizadas, as como las
excepciones significativas de uso y el posible impacto en los resultados de la
Auditora
6- Alcance de la Auditora
Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo
de auditora, sistemas de informacin..., sealando limitaciones del alcance y
restricciones del auditado
7- Conclusiones: Informe corto de opinin
El Informe debe contener uno de los siguientes tipos de opinin:
opinin favorable: es el resultado de un trabajo realizado sin limitaciones de
alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional
opinin con salvedades: se reitera lo dicho en la opinin favorable al respecto de las
salvedades cuando sean significativas en relacin con los objetivos de auditora,
describindose con precisin la naturaleza y razones
opinin desfavorabe: es aplicable en el caso de identificacin de irreguilaridades y
de incumplimiento de la normativa legal y profesional, que afecten
significativamente a los objetivos de la AI
opinin denegada: puede tener su origen en las limtaciones al alcance de auditora,
irregularidades, y al incumplimiento de normativa legal y profesional
resumen: consiste en una opinin personal de lo llevado a cabo
8- Resultado: Informe largo y otros informes
Este tipo de informe permite saber ms.
Las soluciones previsibles se orientam hacia un Informe por cada objetivo de la AI
9- Informe previo
Este tipo de informe permite tener informacin de referencia
10- Fecha del Informe
Permite conocer la magnitud del trabajo y sus implicaciones
11- Identificacin y firma del Auditor
12- Distribucin del Informe
Se define quienes podrn hacer uso del Informe
Conclusiones
Es un juicio de valor u opinin personal con justificacin
Modelo de un Informe de Auditora
Fecha del Informe:

NOMBRE DE LA ENTIDAD
Auditora de ........
Objetivo
...........
Lugar de la Auditora
...........
Grupo de Trabajo de Auditora
...........
Fecha de Inicio de la Auditora
...........
Tiempo estimado del proceso de revisin
X hs
Fecha de Finalizacin de la Auditora
...........
Herramientas utilizadas
...........
Alcance
...........
Procedimientos a aplicar
...........
Informe de debilidades detectadas
Situacin
actual

Comentario

Comentario de la
Gcia

CONCLUSIONES
...........
Ejemplo de un Informe de Auditora
Situacin planteada
En una Compaa de Seguros se llev a cabo la Auditora de una Base de Datos.
Esta BD operativa es utilizada por todos los sistemas existentes en la empresa.
Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40
terminales. Existen desarrolladores y usuarios finales que acceden a la misma por
medio de la autorizacin otorgada por el DBA (Administrador de la BD).

Se observa que:
- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence
- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al
final del da.
- hasta el momento, la BD cuenta con ms de 2 millones de registros.

INFORME DE AUDITORIA
Fecha del Informe:

12 / 06 / 2000

Nombre de la Entidad:

Seguros S.A

AUDITORIA DE UNA BASE DE DATOS

Objetivo
Controlar la definicin y existencia de los objetos necesarios para la normal
utilizacin de una BD y para mejorar su performance.
Lugar de la Auditora: Area de Sistemas
Grupo de Trabajo de Auditora: Lic. Jorge Gorostiza
Lic. Gustavo Barrientos
Fecha de Inicio de la Auditora: 12 / 05 / 2000
Tiempo estimado del proceso de revisin: 30 hs
Fecha de Finalizacin de la Auditora: 19 / 05 / 2000
Herramientas utilizadas
- Metodologa de auditora de objetivos de control
- Utilitarios estndar
Alcance
Controlar la definicin y existencia de todos los objetos que son necesarios en la BD
y que son utilizados por los distintos sistemas de la empresa.
Procedimientos a aplicar:
Objetos
- Las tablas definidas en el diseo coinciden con las fueron
creadas en la BD teniendo en cuenta nombres de las tablas,
columnas y tipos de datos de las columnas?
- Estn definidas las claves primarias (PK) y claves externas (FK)
de c/ tabla existente?
- Existen las secuencias (sequences) correspondientes a la clave
primaria (PK) de c/ tabla definida?
- La BD tiene vistas (views) respecto de algunas tablas?

- Para mejorar el performance del sistema, el DBA defini que

sean necesarios segn los casos?
- Existe documentacin actualizada respecto del diseo e
implementacin de la BD?
Datos
- Con qu frecuencia se realiza una copia de resguardo (backup)
respecto de la BD?
- Cada cunto tiempo se realiza una actualizacin de los datos
existentes?
Usuarios
- Cuntos usuarios tienen acceso a la BD?
- Cuntos usuarios actan como desarrolladores respecto de la
BD?
- Cuntos usuarios son usuarios finales de la BD?
- Cules son los roles y privilegios establecidos por el DBA?
- Todos los usuarios tienen definido un rol determinado?
Informe de las debilidades detectadas

Situacin Actual

Recomendacin

Comentario de la
Gcia de Sistemas

No existen ndices que

permitan mejorar el
performance del sistema

Crear los ndices que correspondan

de acuerdo con las aplicaciones que
fueron desarrolladas.

De acuerdo
(Sr. Gte de
Sistemas)

Se realiza una copia diaria

de resguardo (backup)

Debido al caudal de informacin que De acuerdo

maneja la empresa, se sugiere
(Sr. Gte de
realizar 2 backups diarios, uno a
Sistemas)
mitad del da y otro al final del da.

CONCLUSIONES
El equipo de auditores considera que la empresa NO realiza las tareas de
actualizacin y mantenimiento necesarias, las cuales son esenciales para el normal
funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en
las distintas reas de la empresa.
Casos Prcticos

Estos casos tienen como finalidad, la elaboracin de un "Informe de Auditora"

teniendo en cuenta las situaciones planteadas.
Caso 1
En una Empresa alimenticia se llev a cabo la Auditora de una Planificacin, la
cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo.
Se cuenta con un equipo de desarrollo formado por 32 personas, el cual est
dividido por proyectos.
La empresa, en este momento, est desarrollando 4 proyectos. Cada proyecto est
formado por 4 programadores, 2 analistas programadores, 1 analista funcional y 1
lder de proyecto.
Cada profesional actualiza diariamente la planificacin requerida por la empresa.
Se observa que:
- no todos los miembros del equipo de desarrollo estn informados de sus roles,
responsabilidades respectivas y del tiempo asignado a c/u de ellos
- existen pocos hitos o puntos de control en el desarrollo de los proyectos
- los tiempos estimados no se corresponden con los costos calculados
Caso 2
En un Banco se llev a cabo la Auditora de una Etapa de Anlisis, la cual es
utilizada por el Director del proyecto para evaluar el desarrollo del mismo.
Un equipo de 10 analistas funcionales se ocupa de llevar a cabo lo siguiente:
1Anlisis de requisitos del sistema
2Especificacin funcional del sistema
En el Anlisis de requisitos del sistema se identificarn los requisitos del nuevo
sistema. Se incluirn tanto los requisitos funcionales como los no funcionales,
distinguiendo para c/u de ellos su importancia y prioridad. Luego, se determinarn
las posibles soluciones alternativas que satisfagan esos requisitos y se elegir la
ms adecuada.
En la Especificacin funcional del sistema se elaborar una especificacin
funcional detallada del sistema que sea coherente con lo que se espera de l.
Se observa que:
- no todas las especificaciones funcionales y anlisis de requisitos del sistema
tienen un formato determinado
- existen especificaciones funcionales que no fueron actualizadas y otras estn
incompletas
- no todo el equipo de desarrollo est actualizado de los cambios efectuados
Caso 3
En una Empresa petrolera se llev a cabo la Auditora de una Etapa de Diseo,
la cual es utilizada por el Lder del proyecto para evaluar el desarrollo del mismo.
Un equipo de 12 analistas funcionales se ocupa de llevar a cabo el Diseo tcnico
y las Especificaciones tcnicas de los sistemas. La empresa cuenta con un formato
determinado respecto de las especificaciones, es decir cmo se deben
documentar.

Se observa que:
- no todas las especificaciones tcnicas del sistema tienen un formato determinado
- existen especificaciones tcnicas que no fueron actualizadas y otras estn
incompletas
- no existe una vinculacin entre lo llevado a cabo en la etapa de anlisis y lo
realizado en la etapa de diseo
- no todo el equipo de desarrollo est actualizado de los cambios efectuados