INFORME DE AUDITORIA

El Informe de Auditoría es la comunicación de auditor informático al cliente, de

manera formal, tanto del alcance de la auditoría; (objetivos, período de
cobertura, naturaleza, y extensión del trabajo realizado) como de resultados y
conclusiones.

Previo a la redacción del informe, el auditor distingue lo significativo de lo que

no lo es evaluándolos de manera adecuada de acuerdo a su importancia y a la
vinculación con el factor riesgo.

Aunque no existe un formato oficial, si existen esquemas recomendados con

los requisitos mínimos aconsejables respecto a la estructura y contenido.

En cuanto a la redacción el informe deberá ser claro, adecuado, suficiente y

comprensible.

La presentación de las conclusiones podrá hacerse de la siguiente forma:

1. Una breve descripción de la situación actual en la cual se reflejan los puntos

más importantes.
2. una descripción detallada que comprende:
a. Los problemas detectados.
b. Posibles causas, problemas y fallas que originaron la situación
presentada.
c. Repercusiones que pueden tener los problemas detectados.
d. Alternativas de solución.
e. Comentario y observaciones de la Dirección de Informática y de los
usuarios sobre las soluciones propuestas.
f. Si se opta por una alternativa de solución, cuáles son sus
repercusiones, ventajas y desventajas, y tiempo estimado para
efectuar el cambio.
3. Debe hacerse hincapié en cómo se corregirá el problema o se mejorará una
determinada situación, se obtendrán los beneficios, en cuanto tiempo y
cuales son los puntos débiles.
4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por
medio de conclusiones concretas (tratar de que se entiendan los términos
técnicos, de ser posible utilizar técnicas audiovisuales)

Los puntos esenciales genéricos y mínimos del Informe de Auditoría son:

1. Identificación del informe: un nombre que lo identifique de otros informes.

Ejemplo: Auditoria de DD de la aplicación School
2. Identificación del cliente: destinatarios y personas que solicitan la auditoría.
Ejemplo: DHC Marcelo Martínez. Profesor titular efectivo UNLaR
3. Identificación de la entidad auditada: organización/entidad/área objeto de la
auditoria informática. Ejemplo: Aplicación School. Cátedra de Auditoria de
sistemas. UNLaR – ciclo 2008
4. Objetivos de la auditoria informática: identificar el propósito de la auditoria.
Ejemplo: Inspección del diccionario de datos de la aplicación School.
5. Normativa aplicada: identificar las normas legales y profesionales. Ejemplo:
Normas profesionales – Normas legales – Modelo de Boyce Codd.
6. Alcance de la auditoria: Naturaleza y extensión del trabajo, a saber:
a. Área de la organización: Ejemplo: Catedra de AS
b. Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08
c. Sistemas/áreas a auditar: Ejemplo: Aplicación School - DD
d. Herramientas utilizadas: Ejemplo: Aplicación School – Data Modeler
e. Limitaciones al alcance: Ejemplo: No se audita el contenido de las
tablas, sino su diseño y estructura en cuanto a la normalización de
datos según el modelo de Boyce Codd.
f. Restricciones del objeto auditado: Ejemplo: No existen. Se provee
todo el sistema en su versión de fuentes, ejecutables, ayudas y
accesorios.-
7. Informe corto – Resultados – Dictamen – Opiniones – Párrafos de salvedades
y énfasis de ser necesarios.
a. Opinión favorable: opinión calificada sin salvedades, limpia, clara y
precisa. No tiene limitaciones de alcance y sin incertidumbre. Están
acordes con la normativa legal y profesional.- Deben ser expresadas en
lenguaje coloquial, sin ambigüedades y medible en todos sus términos.
Ejemplos: Las tablas del SGBD (Sistema Gestor de Base de Datos) están
normalizadas y respetan el modelo de Boyce Codd. // El código fuente del
sistema de cuentas corrientes de clientes, respeta los principios de
automatismo y determinismo.
b. Opinión con salvedades: opiniones favorables, pero que se afectan por las
siguientes circunstancias:
i. Limitaciones al alcance del trabajo realizado, restricciones por
parte del área auditada, por ejemplo.
ii. Incertidumbre que no permite una previsión razonable.
iii. Irregularidades significativas
iv. Incumplimiento de la normativa legal y profesional.
Ejemplos: Las tablas del SGBD están normalizadas y respetan el modelo de
3era FN (Forma Normal). No obstante, en el manual de diseño de bases de
datos del sistema, se exige el modelado de los datos según el modelo de 5ta
forma normal de Boyce Codd. // El código fuente del sistema de cuentas
corrientes de clientes respeta el principio de automatismo, mas no asi el de
determinismo. En un 20% el sistema no se comporto determinísticamente ante
un mismo lote de prueba.-

Consideraciones: Este tipo de opinión puede generar para cada caso una o más
recomendaciones del auditor informático.-
Como serian las recomendaciones de las opiniones con salvedades arriba
informadas?

c. Opinión desfavorable: Esta opinión se aplica en casos de:

i. Identificación de irregularidades
ii. Incumplimiento de la normativa legal que afectan significativamente los
objetivos de la auditoria informática. Deben tener una reseña detallada
en el informe largo.
 iii. Incumplimiento de la normativa profesional: que afectan
significativamente los objetivos de la auditoria informática. Deben tener
una reseña detallada en el informe largo.

Ejemplo: El motor de bases de datos identificado como Informix V2.0 no posee

licencias habilitantes. // Los profesionales de sistemas de la organización no
poseen títulos habilitantes ni matricula profesional.-

Consideraciones: Este tipo de opinión puede generar para cada caso una o más
recomendaciones del auditor informático.-
Como serian las recomendaciones de las opiniones con salvedades arriba
informadas?

d. Opinión denegada: Tienen su origen por:

i. Limitaciones al alcance
ii. Incertidumbres significativas que no permiten al auditor formar una
opinión
iii. Irregularidades
iv. Incumplimiento de normativa legal y profesional

Ejemplo: No se audito la normalización de tablas según el modelo de Boyce

Codd, debido a que fue denegado el acceso al diccionario de datos del sistema.
// No se audito el perfil profesional de los especialistas de sistemas por
negativa de entrevistas y pruebas de aptitud profesional y desempeño.-
Consideraciones: Este tipo de opinión puede generar para cada caso una o más
recomendaciones del auditor informático.-
Como serian las recomendaciones de las opiniones con salvedades arriba
informadas?

8. Resultados: Informe largo e informes anexos: Es una ampliación de todas y

cada una de las opiniones del punto anterior.- Los usuarios, no hay duda,
desean saber mas y quieren transparencia como valor añadido. El limite lo
determinan los papeles de trabajo o documentación del a auditoria
informática, pero deben considerarse los siguientes aspectos:
a. Secreto de la organización
b. Secreto profesional …entre otros….
Algunas organizaciones públicas-gubernamentales y privadas solicitan
informes adicionales. Ej. Bancos, Bolsa de comercio, etc.
9. Informes previos: Considerando que el informe de auditoria informática es
parte de un informe de conjunto o bien ya existen otros informes de
auditoria que resultan significativos al informe actual.-
La detección de irregularidades significativas (fraudes por ejemplo) requiere
de una actuación inmediata según las normas legales y profesionales.
Recordar la responsabilidad civil del auditor informático.-
10.Fecha del informe: muy importante, ya que permite la cuantificación de los
honorarios, cumplimiento de los tiempos con el cliente y la magnitud del
trabajo y sus aplicaciones. Debe considerarse:
a. Fecha de inicio
b. Fecha de finalización
 c. Fecha de cierre del ejercicio económico ( en caso de organizaciones
que lo requieren como obligatorio)
Nota: estas fechas deben ser concordantes con el plan de trabajo
propuesto antes de realizar la auditoria.-
11.Identificación y firma del auditor: Aspecto formal y esencial del informe.
Tanto de ser individual como grupal (socios legalmente comprometidos)
12.Distribución del informe: Hace referencia a quien o quienes podrán hacer
uso del informe, los usos concretos que tendrá, ya que los honorarios deben
tener relación con la responsabilidad civil.
13.Anexo: Documentación y otros papeles de trabajo
a. Contrato cliente/auditor
b. Propuesta del auditor
c. Identificación del auditor. Presentación y CV de ser requerido
d. Declaraciones de la dirección
e. Otros contratos que afecten al sistema de información
f. Asesoría jurídica del cliente
g. Informes sobre terceros vinculados
h. Conocimiento de la actividad del cliente
i. Evidencia
i. Relevante
ii. Fiable
iii. Suficiente
iv. Adecuada
Ejemplo: Código fuente, modelo de datos, diccionario de datos, pantallas del
sistema, entre otros..

Como ejemplo de formato de presentación de conclusiones de Auditoria en

Informática consideraremos el presentado por J. A. Echenique (analizarlo para
ver con que puntos de los recomendados cumple).
Es conveniente también revisar el formato de seguimiento propuesto por el
mismo autor.