Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. DEFINICION:
La elaboración del informe de auditoría sistemas es el punto final del proceso de captación y
tratamiento de la información obtenida del sistema auditado. Esta información ha de ser
suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un
diagnóstico y realizar unas recomendaciones.
En la relación del informe ,el auditor señala los resultados de su investigación ,sus evaluaciones,
hallazgos, aportaciones y conclusiones sobre el trabajo realizado; también ,también señala las
técnicas ,herramientas ,métodos y procedimientos que utilizo en la obtención de datos ,las
observaciones e interpretaciones de los fenómenos y hecho evaluados que le sirvieron de sustento
en la elaboración de documentos de situaciones encontradas o relevantes que informa, así como
todas las demás aportaciones con las cuales da su sello personal al informe presentado .
De hecho, esto también se juzga en la presentación del informe de auditoria; no solo el resultado,
sino quien y como lo presenta .por eso es muy importante conocer las características
fundamentales de la elaboración del informe de la auditoria.
Para contribuir a incrementar la calidad en la presentación del informe de auditoria ,misma que se
puede hacer extensiva a cualquier otro tipos de trabajo profesionales ,e incluso personales o
escolares ,a continuación presentamos algunas de la principales características de la redacción del
informe de auditoria ,las cuales ayudaran al auditor de sistemas computacionales a mejorara su
elaboración .
A. Característica de fondo.-
Estas características se refieren al cuidado que debe tener el auditor de sistemas al revisar que el
contenido total del informe de auditoria sea acorde con lo que realmente tiene que señalar acerca
de la revisión efectuada, refiriéndose exclusivamente al contenido del informe; para ello debe
tomar e cuenta los siguientes aspectos:
* Que la información que contiene el documento sea veraz, confiable y oportuna y sin
distorsiones ni tendencias que demeriten el trabajo realizado.
* Que el uso de la terminología sea exacto y objetivo, para que se entiendan e interpreten las
desviaciones reportadas tal y como se quisieron plasmar.
* Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o
modificar lo encontrado en la evaluación.
* Que permita mostrar la situación real del área auditada, a fin de identificar y solucionar lo
encontrado en la evaluación.
* Que permita mostrar, con su simple lectura, la situación real del área auditada, a fin de
solucionar la problemática señalada.
* Que su contenido abarque todo lo que se debe informar del área auditada, sin abundar en
explicaciones inútiles, pero sin ser parco en lo que se presenta.
* Que el lector capte inmediatamente la problemática que reporta el auditor, así como la
opinión que plasma respecto al funcionamiento del área de sistemas o de sistemas auditados.
B. Característica de forma.-
• Que esté redactado en forma concisa, clara, sencilla y amena, sin exceso de tecnicismo, pero
sin omitirlos cuando sean necesarios, a fin de que su lectura sea comprensible.
• Claridad
• Confiabilidad
• Propiedad
• Concisión
• Sencillez
• Acertividad
• Ilación
• Tono y fuerza
• Oportunidad
• Exactitud
• Imparcialidad
• Objetividad
• Congruencia
• Familiaridad
• Veracidad
• Efectividad
• Positividad
Sin embargo la elaboración del informe, el cual es el punto más importante de la auditoria de
sistemas, es uno de los aspectos más difíciles para los auditores debido a que requiere
procedimientos complicados, propios de las auditorias los cuales se tienen que llevar a cabo
mediante una secuencia como lo que se propone en la figura.
Está claro que el producto final y el más importante de una auditoria de sistemas es la elaboración
correcta del informe, ya que en este se presentan los resultados obtenidos durante la evolución
de la gestión administrativa del centro de cómputo o de cualquier otro aspecto relacionado con
los sistemas.
INSTRUMENTOS DE RECOPILACION:
Este tiene como objetivo identificar los principales instrumentos técnicas, herramientas y
métodos utilizados en la recopilación de información:
a) Entrevista
b) Cuestionarios
c) Encuestas
d) Observación
e) Inventarios
f) Muestreo
g) Experimentación
Las desviaciones que reporta el auditor tienen características especiales, las cuales debes
plasmar por escrito en un documento de carácter formal, al que llamaremos formato de
situaciones encontradas. Además como requerimiento ineludible, dicho reporte debe estar
perfectamente elaborado, en cuanto a su redacción, claridad, oportunidad y otras características
propias del informe de auditoría que analizaremos en el apartado correspondiente.
Está claro que la principal función del auditor es reportar todas las desviaciones que observo
durante la auditoria de sistemas, para la cual puede utilizar el formato que más le plazca y de la
manera en que se acostumbre reportar dichas observaciones en la empresa en donde se realiza
la auditoria; sin embargo a continuación sugerimos la adopción de un formato muy fácil de
elaborar por la simplicidad y la sencillez para plasmar esas desviaciones. Este es el formato de
situaciones encontradas el cual contiene las siguientes columnas las situaciones, las causas, las
soluciones, los responsables de la solución y las fechas de la solución
• Comentar las situaciones encontradas con los auditados
Es indispensable que cada una de estas desviaciones sean discutidas con las empleados
funcionarios o usuarios que fueron auditados, ya que de alguna manera estos son responsables de
que se presenten dichas situaciones ( o cuando al menos están involucrados en ellos) el propósito
de informarles es que ratifiquen o rectifiquen el origen de tales desviaciones; además también le
sirve al auditor para complementar la redacción de las situaciones que reporta con ello se busca
que estas sean las mas claras posibles y mas entendidas a fin de que se reporten exactamente
como quieren señalar cada desviación.
La auditoria no es una cacería d brujas para cortar las cabezas de los auditados; es una revisión
para encontrar posibles desviaciones en su actividad cotidiana y es deber del auditor comentarlas
con ellos para resolver de común acuerdo.
• Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles
soluciones
Como lo señalamos en el punto anterior la necesidad de comentar las desviaciones con los
responsables de la operación, también remarcaremos que de estos comentarios se puede obtener
de manera más fidedigna y confiable las causas que generan cada una de las desviaciones a fin de
reportarlas en el informe de auditoría lo más apegado posible a la realidad.
Está claro que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse,
señalando las causas que originaron cada una de las desviaciones encontradas con ello el auditor
puede corroborar o rectificar las causas que había planteado además le permite obtener, de
manera directa y en voz de los involucrados las posibles soluciones a estas desviaciones incluso
hasta el responsable de llevarlas a cabo.
Este es el verdadero trabajo del auditor, reportar las desviaciones que encontró durante su
evaluación, encontrar las causas que las originan y acordar las posibles colusiones conjuntamente
con el auditado. Así al es como se entiende y debe entenderse la función de la auditoria de
sistemas
Una vez que se comentaron las desviaciones con los auditados y se obtuvieron sus causas y
posibles soluciones el responsable de la auditoria de sistemas será el encargado de analizar las
desviaciones vigilando que cada una de este perfectamente plasmado y correctamente redactado
en el formato de situaciones encontradas. La redacción y presentación de estas desviaciones
debe hacerse los mas correctamente posible sin admitir ni el mas mínimo error de ortografía,
redacción tipografía. Esta es la principal responsabilidad del encargado de la auditoria de sistemas
vigilar el correcto reporte de las situaciones encontradas.
Cada auditor elabora un borrador o mecanografiadas, las observaciones que observo durante
su evaluación y al mismo tiempo es responsable de comentarlas con el personal auditado para
obtener de ellos sus causas y soluciones. Una vez que fueron comentadas y en su caso
corroboradas o rectificados, entonces entrega un informe al responsable de la auditoria quien
será el encargado de analizar cada una de estas desviaciones, a fin de redactar mejor concretadas
y a darles una estructura jerárquica de presentación en un informe global de situaciones
relevantes encontradas durante la evaluación de os sistemas.
Una vez que el responsable de la auditoria de los sistemas haya supervisado que el informe de
desviaciones encontradas este correctamente elaborado, debe analizar toda las desviaciones
reportadas, a fin de escoger las que considere las mas importantes para reportarlas en el formato
de situaciones relevantes el propósito es enfatizar lo que considera como lo mas importantes de la
evaluación practicada a fin que los directivos conozcan los aspectos mas relevantes.
Las situaciones que se reportan como las más relevantes se deben redactar tal como fueron
reportadas en el formato de situaciones relevantes (se sugiere que siempre sea así). Sin
modificarse (es propiamente una copia fiel de estos). Esta la más conveniente para evitar
confusiones de interpretación de error mecanográficos o a cualquier otra alteración que desea
reportar como relevante. Además así corrobora que las desviaciones fueron comentadas con el
personal auditado. Con esto no habrá lugar para ninguna mala interpretación ni evasión de
responsabilidades cuando el informe de situaciones relevantes sea comentado con los directivos
del área de sistemas, además será más fácil mecanografiar dicho informe.
• Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las
causas y soluciones.
Así como las situaciones encontradas se comentaron con los auditados, también las situaciones
relevantes se deben comentar con los directivos del área de sistemas a fin estos las conozcan, el
personal auditado puede, a juicio de los directivos, estar presente para cualquier posible
aclaración sobre lo informado. Esto es lo más recomendable.
También es decisión del encargado que cada auditor aclare las dudas de los participantes en
esta reunión.
No obstante, como es natural, en estas reuniones muchos de los auditados trataran de evadir o
justificar su responsabilidad en las desviaciones e incluso en algunos casos extremos, pueden
hasta negar la existencia o conocimiento de la situación que se les imputa.
Recordemos que esté personal esta ante su jefe y difícilmente aceptara sus errores
públicamente.
Como resultado de esta reunión, se pueden elaborar las modificaciones que cada caso
requieran, de ser necesario, se puede convocar a una nueva reunión para presentar las situaciones
relevantes, pero no para comentar con los auditados las situaciones encontradas.
• Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen del auditor
El siguiente paso es que el auditor responsable de la auditoria depure cada una de las
situaciones relevantes reportadas, con el fin de concentrarlas en el llamado informe final de
auditoría. Debido a que le informe es para el área directiva de la empresa, no debe exceder de dos
o tres hojas. En este informe el auditor solo debe señalar lo más relevante de la evaluación,
incluyendo su opinión.
La elaboración del informe es el verdadero trabajo del responsable de auditoria, debido a que
en este documento es donde realmente se muestra la importancia de su actividad, al señalar en
que situación estaba el área de sistemas ante la evaluación practicada por los auditores a su cargo;
además debe emitir una opinión autorizada sobre el funcionamiento del centro de computo, sus
sistemas de información, el cumplimiento del personal y usuarios o sobre cualquier otro aspecto
relacionado con los sistemas de la empresa auditada.
Debemos aclarar que la razón de plasmar este informe en tan poco espacio es que los
directivos de una empresa, por lo general, tienen poco conocimiento del lenguaje que se maneja
en los sistemas de la institución; por lo tanto, el informe final debe ser lo mas sencillo, claro,
comprensible para ellos, procurando evitar, al máximo posible, el uso de términos demasiados
técnicos y desconocidos para personas ajenas a la informática. Solo se deben destacar los aspectos
más importantes del área, desde el punto de vista de los directivos y no del personal que maneja
los sistemas.
El último paso del informe de auditoría de sistemas es la presentación oficial del informe
(informe final de auditoría), lo cual se puede hacer de dos maneras, ya sea en forma directa,
mediante una reunión ejecutiva con los directivos de la empresa, o por envió formal del informe
final de la auditoria al directivo mayor de la firma. Este y es el informe final de la auditoría
practicada y, por lo tanto, no se debe admitir ningún comentario adicional que pudiera modificar
lo ahí presentado; ya que es el producto final de la auditoria, y por lo tanto como crear
expectativas de duda sobre la veracidad y confiabilidad de su contenido.
Este es el documento final, de carácter formal, en el que se presentan por escrito todos los
aspectos importantes que fueron catalogados como deficiencias de las operaciones auditadas, así
como el cumplimiento de las funciones y de los resultados obtenidos con las actividades evaluadas
durante la auditoria. El auditor plasma su dictamen y opinión personal en este documento y lo
sustenta con documentos de apoyo y los papeles de trabajo en los que va haciendo las
anotaciones de las técnicas, métodos y procedimientos que utilizo durante el desarrollo del
trabajo.
En el informe de auditoría, el cual es un documento en el que se hace la presentación formal de
los resultados obtenidos durante la auditoria, debe contener como mínimo lo siguiente:
o Oficio de Presentación
o Introducción
o Dictamen de la auditoria
o Situaciones relevantes
o Situaciones detectadas
o Anexos
Es la primera parte del informe de auditoría y es un documento de carácter oficial que sirve de
presentación del informe, mediante este documento se pone a consideración de los directivos de
la empresa el resultado de la auditoría practicada al área de sistemas.
El contenido y presentación de dicho documento varían de una institución a otra, pero en esencia
este documento debe ser elaborado en la papelería oficial de la empresa y debe contener como
mínimo los siguientes aspectos:
• Fecha de informe
4.1.2 INTRODUCCION
Debemos señalar que no existen reglas específicas para elaborar esta introducción; sin embargo,
se puede establecer como única regla que su redacción debe ser impecable y debe tener una
excelente presentación, ya que es la primera parte que se lee del informe de auditoría. La
introducción es frecuentemente la invitación a seguir leyendo el resto del informe; sin embargo,
cuando esta parte está mal redactada, crea rechazo casi inmediato para seguir adelante con la
lectura.
o Aspectos generales
o Prólogo
o Objetivo
o Justificación
4.1.3 INFORME CORTO DE LA AUDITORIA (DICTAMEN)
Tal vez ésta sea la parte más importante de una auditoría de sistemas computacionales y, en
muchas ocasiones, lo que más esperan los directivos de la empresa o del área auditada, debido a
que es una opinión profesional respecto al comportamiento de los sistemas. Evidentemente, el
dictamen está apoyado en la experiencia y conocimientos del auditor en las áreas de auditoría y
sistemas, así como en la confianza del uso de las herramientas e instrumentos apropiados.
Cada empresa de auditoría o auditor que elabora un dictamen debe emitir su opinión de acuerdo
con su costumbre, experiencia o según los requisitos de la empresa auditada; sin embargo, por la
importancia que tiene este informe en el área de sistemas, o en cualquier otra área, a
continuación presentaremos un formato de dictamen y algunas recomendaciones para emitirlo de
una mejor manera.
o Logotipo de identificación
o Nombre de la empresa
Son formatos de presentación de los aspectos más relevantes y de mayor peso encontrados
durante la evaluación.
Parte fundamental del informe de auditoría son los formatos de situaciones relevantes;" éstos son
los documentos oficiales donde el responsable de la auditoría reporta las desviaciones que, según
su criterio, son las más importantes encontradas durante el desarrollo de la auditoría.
Estos formatos se anexan para posibles aclaraciones y consultas de las desviaciones que se
reportan en el dictamen; aunque, cabe recordar, el auditor debió comentar este documento con
los directivos del área de sistemas, como indicamos al principio.
Este documento es una réplica simplificada del formato anterior, sólo que en éste únicamente se
anotan las situaciones consideradas como relevantes, resultado del análisis al documento anterior,
es decir, sólo se incluyen aquellas observaciones que a juicio del auditor o del responsable de la
auditoría son realmente importantes para el desarrollo de las actividades del área de sistemas
evaluada.
Debemos insistir que en este documento sólo se presentan las situaciones más significativas
detectadas durante la evaluación.
Es recomendable que las situaciones relevantes incluidas en este documento sean la mismas que
las establecidas en el formato de las situaciones detectadas, incluso con las mismas palabra; pero
aquí no deben aparecer a mano sino impecablemente mecanografiadas. También se sugiere seguir
el mismo orden planteado en el documento anterior. A continuación presentamos una propuesta
del formato de situaciones relevantes, el cual servirá de base para las siguientes aplicaciones de
auditoría de sistemas que haremos.
Este formato, que también se elabora en forma individual, tiene tres columnas básicas en las
cuales se anotan, exclusivamente en computadora o a máquina, los siguientes aspectos:
* Las situaciones relevantes, que son lo que más se destacó en el documento anterior y que se
determinó como lo más importante de destacar, según las pruebas, procedimientos y técnicas
utilizados para hacer la evaluación.
* Las posibles soluciones, que son las posibles soluciones para las desviaciones.
Presentación de todas las desviaciones encontradas durante la auditoria, con las causas reales que
las provocaron y sus posibles soluciones.
Como parte complementaria del formato anterior, también se puede integrar en el informe de
auditoría de sistemas computacionales el formato de situaciones encontradas, que es donde se
concentran todas las desviaciones encontradas durante la evaluación. Su inclusión en el dictamen
es a criterio del responsable de la auditoría, debido a que sería muy improbable que los receptores
del informe final, generalmente altos funcionarios de la empresa, tomen en cuenta el análisis de
este documento. Además, este formato dio origen al de situaciones relevantes y este último dio
pie a la elaboración del dictamen de auditoría. Por ello se consultaría muy esporádicamente.
Este formato, en forma individual, tiene seis columnas básicas en las que se anotan los siguientes
asuntos:
• Las posibles soluciones: son sugerencias del auditado o del auditor para solucionar las
desviaciones reportadas. Casi siempre corresponde una solución para cada una de las causas
reportadas.
Cuadros, estadísticas, acta o cualquier otro documento que sirva de soporte para reafirmar las
desviaciones presentadas. El auditor puede obtener otro tipo de información que puede llegar a
ser útil para realizar la evaluación:
Son pruebas documentadas que sirve de soporte para sustentar las desviaciones, causas u otros
aspectos relevantes encontrados.
Existen muchas formas de desviaciones que se detectan en una auditoria de sistemas, que se
presentan de acuerdo a las experiencias, conocimientos y necesidades del responsable en hacer la
auditoria.
Además existen empresas que realizan un trabajo de auditoria, ellos tienen establecidas sus
propias formas de reportar las observaciones, estandarizando así la forma de elaborar su informe
de auditoria.
Podemos tomar de ejemplo dos formatos de auditoria que son mas funcionales , por la forma que
ayudan al auditor a reportar las situaciones encontradas en la auditoria, con la finalidad de que la
persona lectora entienda lo que se esta informando en estos documentos.
Estos facilitaran:
• para enseñar a los auditores principiantes como elaborar informes de auditoria, pues son
fáciles de llenar y comprender.
Este documento que es uno de los más importantes para el desarrollo de cualquier auditoria de
sistemas, es un formato especial para la recopilación de situaciones o desviaciones encontradas,
esta formada por una serie de hojas (formatos individuales) en las cuales el auditor anota en
manuscrito, todas las desviaciones que encuentre durante su evaluación:
Este formato, en forma individual tiene seis columnas básicas en las que se anotan los siguientes
asuntos:
c) LAS CAUSAS: es la presentación de los motivos que originan la desviación y puede ser una sola
causa o varias las que ocasionaron estas desviaciones, todos se anotan a criterio del auditor
d) LAS POSIBLES SOLUCIONES: Son las sugerencias del auditor para solucionar las desviaciones
Reportadas casi siempre corresponde una solución para cada una de las causas reportadas.
e) FECHA DE COMPROMISO: Es el periodo para implantar la solución acordada. Se anota una fecha
para cada solución propuesta.
f) RESPONSABLE DE LAS SOLUCIONES: son los funcionarios, o persona responsable de implanta las
soluciones. Se acostumbra a notar a un responsable por cada solución, aunque a veces parezca
repetirse el nombre de la misma persona responsable.
[pic]
Es el nombre donde se anota la empresa auditora, ya sea el de la empresa que hace la auditoria. Si
es necesario que lleve el logotipo de auditoría, cargado en la parte superior izquierda.
Es el área donde se anota el área de informática, sección o unidad administrativa del sistema
evaluada. Lo que se pretende con esta identificación es que se tenga bien claro cuál es el ambiente
de trabajo donde se presentaron las desviaciones.
En este recuadro se anota la fecha en que se presentan la evaluación , con el formato dia, mes y
año.
IDENTIFICACION
• AREA AUDITADA
• FECHA DE EVALUACION
• NUMERO DE REFERENCIA
• SITUACIONES RELEVANTES
• CAUSAS DE LA DESVIACION
• SOLUCIONES PROPUESTAS.
CAPITULO III
CASO PRÁCTICO Nº 1
[pic]
AUDITORIA INFORMATICA
1.
1. ORIGEN DE LA AUDITORIA:
La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003, aprobada
mediante Resolución de Contraloría N° 235- 2002-CG del 15 de Diciembre del 2002.
- Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de
Informática
- Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
- Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del
departamento de cómputo.
1.2. ANTECEDENTES
La presente acción de control, se realiza de acuerdo con el organismo central y rector de los
Sistemas Nacionales de Estadística e Informática, responsable de normar, supervisar y evaluar los
métodos, procedimientos y técnicas estadísticas e informáticas utilizados por los órganos del
Sistema INEI (Instituto Nacional de Estadística e Informática), Normas Internacionales de Auditoria
(NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de
acuerdo a las circunstancias.
Periodo de Gestión
Apellidos Nombres Cargo Del Al Domicilio
PROGRAMA DE AUDITORIA
I VISITA PRELIMINAR
8 HS.
II DESARROLLO DE LA AUDITORIA
· Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control
de operación, seguridad física y procedimientos de respaldo.
32 HS.
16 HS.
IV INFORME
4 HS.
NOMBRE CARGO
Dr. Vicente Antonio Ceballos Salinas Alcalde
_ Aprobar su presupuesto
_ Contratar con otras entidades públicas y no públicas, preferentemente locales, la atención de los
servicios que no administraron directamente.
_ Examinar el cumplimiento de sus propias Normas, a través de sus propios medios o con el
auxiliar de las fuerzas policiales.
La base normativa empleada está compuesta por las Normas Internacionales de Auditoría (NIA´s)
1001 “Sistemas de Microcomputadoras”, 1002 “Sistemas de Microcomputadoras en Línea”, 1003
“Sistemas de Bases de Datos”, 1008 “Evaluación de Riesgos y Control Interno” y el marco COBIT.
MISION
Ubicación:
Recursos Humanos:
Actualmente en el área de cómputo e informática labora una sola persona quien cumple las
funciones de administración, capacitación, soporte y procesamiento de datos.
Computadoras Personales 15
Impresoras 5
1.8.3. OBJETIVOS:
_ Brindar un mejor servicio a los usuarios de Moquegua, a través de una página Web
2. JUSTIFICACIÓN
• Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal,
equipos e información.
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los
resultados.
_ No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los
terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse
diariamente a su disposición, etc.
_ Seguridad Lógica
_ Seguridad Física
_ Confidencialidad
_ Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal
son especialmente confidenciales.
AUDITORÍA FISICA
1. Alcance de la Auditoria
· Planes y procedimientos.
2. Objetivos
INFORME DE AUDITORIA
Auditoria física.
El área de Informática
4. Objetivos
_ Falta de ventilación.
6. Alcance de la auditoria
7. Conclusiones:
· Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno
de los objetivos contenidos en el programa de auditoría.
8. Recomendaciones
· Capacitar al personal.
9. Fecha Del Informe
AUDITORIA DE LA OFIMATICA
1. Alcance de la Auditoria.-
· Planes y procedimientos
· Políticas de Mantenimiento
· Inventarios Ofimáticos
2. Objetivos de la Auditoria.-
INFORME DE AUDITORIA
Auditoria de la Ofimática
2. Identificación del Cliente
El área de Informática
4. Objetivos
· Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los
sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
· Verificar que los procesos de compra de Tecnología de Información, deben estar sustentados en
Políticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el
proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la
organización para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.
5. Observaciones
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al
Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al
efecto.
El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria
Ofimática, se complementa con los objetivos de ésta.
7. Conclusiones:
· Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno
de los objetivos contenidos en el programa de auditoría.
· Cabe destacar que la sistema ofimático pudiera servir de gran apoyo a la organización, el cual no
es explotado en su totalidad por falta de personal capacitado.
8. Recomendaciones
· Reactualización de datos.
· Capacitar al personal.
AUDITORIA DE LA DIRECCION
1. Alcance de la Auditoria.-
• Análisis de puestos
• Planes y Procedimientos
• Normativa
• Gestión Económica.
2. Objetivos de la Auditoria.-
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas
a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.
3. Resultados:
Se obtendrá:
Informática.
OBJETIVOS
• Verificar la existencia de un sistema de reparto de costes informáticos y que este sea justo.
AUDITORIA DE LA EXPLOTACION
1. Alcance de la Auditoria
2. Objetivos
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las funciones que
sirven de apoyo a las tecnologías de la información.
INFORME DE AUDITORIA
Auditoria de la Explotación
4. Objetivos
• Evaluar las relaciones personales y la coherencia de cargos y salarios, así como la equidad en la
asignación de turnos de trabajo.
• Revisar la adecuación de los locales en que se almacenan cintas y discos, así como la perfecta y
visible identificación de estos medios.
5. Observaciones
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al área de
Informática de acuerdo a las normas y demás disposiciones aplicable al efecto.
7. Conclusiones:
8. Recomendaciones
• Aplicaciones explotadas
• Revisar los montajes diarios y por horas de cintas o cartuchos, así como los tiempos
transcurridos entre la petición de montaje por parte del Sistema hasta el montaje real.
• Crear mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan
acceso a la operación del computador y los operadores a su vez no conozcan la documentación de
programas y sistemas
1. Alcance de la Auditoria
• Conexiones
• Cifrado
• Correo Electrónico
• Páginas WEB
• Firewalls
2. Objetivos
INFORME DE AUDITORIA
Auditoria de Desarrollo
El área de Informática
3. Identificación de la Entidad Auditada
4. Objetivos
5. Observaciones
6. Alcance de la auditoria
7. Conclusiones:
8. Recomendaciones
• Asignar un responsable un responsable para todos los procesos del Centro de Cómputos.
• Se debe asignar un grupo para el desarrollo de software.
1. Alcance de la Auditoria.-
• Normativa
2. Objetivos de la Auditoria.-
3. Referencia Legal:
• Estándares
– ISO/IEC 12207
– IEEE 1074
– IEEE 1219
– ISO/IEC 14764
INFORME DE AUDITORIA
El área de Informática
4. Objetivos
• Revisar los contratos y las cláusulas que estén perfectamente definidas en las cuales se elimine
toda la subjetividad y con penalización en caso de incumplimiento, para evitar contratos que sean
parciales.
• Pérdida de control
• Pérdida de una fuente de aprendizaje, porque una actividad interna pasa a ser externa.
• Uso de metodologías para nuevos desarrollos, pero ausencia de ellas para el mantenimiento.
• Tendencia a la desestructuración
• Falta de presupuesto
• Falta de personal
6. Alcance de la auditoria
7. Conclusiones:
8. Recomendaciones
• Modificación de un producto software, o de ciertos componentes, usando para el análisis del
sistema existente técnicas de Ingeniería Inversa y, para la etapa
• Categorizar los tipos de mantenimiento del software y para cada tipo planificar las actividades
y tareas a realizar.
1. Alcance de la auditoria:
2. Objetivos
INFORME DE AUDITORIA
El área de Informática
4. Objetivos
_ Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, llaves,
administración y demás aspectos que repercuten en su trabajo.
Datos.
_ Verificar la actualización de la Base de Datos.
_ Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para
optimizar el desempeño de la base de datos.
5. Observaciones
_ Falta de presupuesto
_ Falta de personal
_ La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan
a largo plazo de tecnología, teniendo en cuenta los posibles cambios tecnológicos y el incremento
de la base de datos..
_ No existe un calendario de mantenimiento de rutina periódico del software definido por la Base
de datos.
6. Alcance de la auditoria
7. Conclusiones:
· Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno
de los objetivos contenidos en el programa de auditoría.
Base de Datos.
8. Recomendaciones
· Elaborar toda la documentación lógica correspondiente a los sistemas de administración de la
BD. Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y aún de los programadores.
· Implementar las relaciones con las diferentes áreas en cuanto al compartimiento de archivos
permitidos por las normas
AUDITORIA DE CALIDAD
Objetivos:
• Verificar los procesos aplicables del programa de la calidad han sido desarrollados y
documentados.
INFORME DE AUDITORIA
1. Identificación del informe
Auditoria de Calidad
El área de Informática
4. Objetivos
• Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red
para optimizar el desempeño de la organización.
5. Observaciones
6. Conclusiones:
AUDITORIA DE LA SEGURIDAD
1. Alcance de la Auditoria.-
• Planes y procedimientos
• Análisis de puestos
• Mantenimiento
• Normativa
2. Objetivos de la Auditoria.-
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas
a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.
3. Referencia Legal:
4. Resultados:
Se obtendrá:
• Informe de Auditoría detectando riesgos y deficiencias en el Sistema de Seguridad.
o Riesgos
o Normativa a cumplir
INFORME DE AUDITORIA
Auditoria de la Seguridad
El área de Informática
Municipalidad Provincial
4. Objetivos
Hacer un estudio cuidadoso de los riesgos potenciales a los que está sometida el área de
informática.
Revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido más amplio, como la
seguridad lógica de datos, procesos y funciones informáticas más Importantes de aquél.
5. Observaciones
• Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde
se describen los cambios o modificaciones que se requieren.
6. Alcance de la auditoria
7. Conclusiones:
8. Recomendaciones
• Implementar y conservar todas las documentaciones de prueba de los sistemas, como así
también las modificaciones y aprobaciones de programas realizadas por los usuarios
• El coste de la seguridad debe considerarse como un coste más entre todos los que son
necesarios para desempeñar la actividad que es el objeto de la existencia de la entidad, sea ésta la
obtención de un beneficio o la prestación de un servicio público.
• El coste de la seguridad, como el coste de la calidad, son los costes de funciones
imprescindibles para desarrollar la actividad adecuadamente. Y por"adecuadamente" debe
entenderse no sólo un nivel de calidad y precio que haga competitivo el servicio o producto
suministrado, sino también un grado de garantía de que dichos productos o servicios van a seguir
llegando a los usuarios en cualquier circunstancia.
1. Alcance de la Auditoria.-
• Mantenimiento de la Red
2. Objetivos de la Auditoria.-
Realizar un informe de Auditoría con el objeto de verificar la adecuación de las medidas aplicadas
a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.
3. Referencia Legal.-
• Manual de Autoprotección aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96),
4. Resultados.-
Se obtendrá:
INFORME DE AUDITORIA
El área de Informática
4. Objetivos
Evaluar el tipo de red, arquitectura topología, protocolos de comunicación, las conexiones, accesos
privilegios, administración y demás aspectos que repercuten en su instalación.
5. Observaciones
• No se cuenta con un Software que permita la seguridad de restricción y/o control a la Red.
• No existe un plan que asegure acciones correctivas asociadas a la conexión con redes externas.
• No están definidos los parámetros o normas de calidad.
• La gerencia de redes no tiene un plan que permite modificar en forma oportuna el plan a largo
plazo de tecnología de redes , teniendo en cuenta los posibles cambios tecnológicos.
• No existe un plan proactivo de tareas a fin de anticipar los problemas y solucionarlos antes de
que los mismos afecten el desempeño de la red
6. Alcance de la auditoria
7. Conclusiones:
• Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa de auditoría.
8. Recomendaciones
• Implementar un plan que permita modificar en forma oportuna el plan a largo plazo de
tecnología de redes.
AUDITORIA DE APLICACIONES
1. Alcance de la Auditoria
2. Objetivos
INFORME DE AUDITORIA
Auditoria de Aplicaciones
El área de Informática
3. Identificación de la Entidad Auditada
4. Objetivos
• Evaluar la seguridad de los programas en el sentido de garantizar que los ejecutados por la
maquina sean exactamente los previstos y no otros.
5. Observaciones
• Incumplimiento de los plazos previstos en cada una de las fases del proyecto.
6. Alcance de la auditoria
7. Conclusiones:
• Como resultado de la Auditoria de Aplicaciones realizada al Municipio, por el período
comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que
hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoría.
• El área de Informática presenta deficiencias sobre todo en la falta de metodologías que son
necesarias al realizar un proyecto.
8. Recomendaciones
• Realizar un control Interno de las Aplicaciones, verificando que las mismas fases se utilicen en
el área correspondiente de Desarrollo
• Hacer un estudio de Vialidad de la Aplicación sobre todo para aquellas que son largas
complejas y caras.
• Capacitar al personal para el diseño de Programas para realizarlos con la máxima sencillez,
modularidad y economía de recursos
De nuestra consideración:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideración el alcance Del
trabajo de Auditoría del Área de Informática practicada los días 16 de Setiembre al 23 de
Diciembre, sobre la base del análisis y procedimientos detallados de todas las informaciones
recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable.
1. En su Seguridad
2. En el área Física
3. En Redes
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su análisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran expuestos
las operaciones realizadas por la Cooperativa.
c. Índice de importancia establecida. Indica con una calificación del 0 al 3 el grado crítico del
problema y la oportunidad en que se deben tomar las acciones correctivas del caso.
El detalle de las deficiencias encontradas, como así también las sugerencias de solución se
encuentran especificadas en el Anexo adjunto. La aprobación y puesta en práctica de estas
sugerencias ayudarán a la empresa a brindar un servicio más eficiente a los ciudadanos de la
Ciudad de Moquegua.
Atentamente.
MICHELLA AROHUANCA A.
a. Situación
• Posibilidad de que las soluciones que se implementen para resolver problemas operativos sean
parciales, tanto en Hardware como en Software.
d. Sugerencias
• Implementar normas y/o procedimientos que aseguren la eficaz administración de los recursos
informáticos, y permitan el crecimiento coherente del área conforme a la implementación de las
soluciones que se desarrollen y/o se requieran de terceros.
• No existe una vigilancia estricta del Área de Informática por personal de seguridad dedicado a
este sector.
• Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles
internos.
• Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
actividades informáticas podrían verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.
d. Sugerencias
Informática.
a. Situación
• Hemos observado que la Municipalidad no cuenta con auditoría Informática, ni con políticas
formales que establezcan responsables, frecuencias y metodología a seguir para efectuar
revisiones de los archivos de auditoría.
• Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria
d. Sugerencias
a. Situación
• Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la
prueba sistemática de las mismas a efectos de establecer los mínimos niveles de confiabilidad.
d. Sugerencias
• Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del
área de informática, otra en la sucursal más cercana y la última en poder del Jefe de área.
a. Situación
• Existen niveles de acceso permitidos, los cuales son establecidos conforme a la función que
cumple cada uno de los usuarios.
• Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
• Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
• La falta de seguridad en la utilización de los Password, podrían ocasionar fraudes por terceros.
d. Sugerencia
• Establecer una metodología que permita ejercer un control efectivo sobre el uso o modificación
de los programas o archivos por el personal autorizado.
a. Situación
• No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son
necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora ), y que
determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.
d. Sugerencias
• Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los
equipos necesarios para sustentar la continuidad del procesamiento.
a. Situación
• No se cuenta con un Software que permita la seguridad de las librerías de los programas y la
restricción y/o control del acceso de los mismos.
• Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se
describen los cambios o modificaciones que se requieren.
d. Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos:
• Implementar y conservar todas las documentaciones de prueba de los sistemas, como así
también las modificaciones y aprobaciones de programas realizadas por los usuarios Hardware
Equipamiento Central. La cooperativa cuenta actualmente con un Equipo Central Pentium IV con
las siguientes características:
• Almacenamiento: 35 GB de 10 K RPM
Equipamiento Periférico
La cooperativa cuenta en su casa central con 30 PC´s de las cuales el 50%(cincuenta por ciento)
aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El resto
son de menor porte, pero el parque de computadoras personales es suficientemente apto para los
requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson 1200.
Además cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales
Las sucursales cuentan con PC´s AMD – Athlon de 750 Mhz, 64 de memoria y discos de 5 GB.
Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a chorro de tinta.
Cableado
El cableado es estructurado y con cables del tipo UTP categoría 5, tanto en sucursales
El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que posee una
importante estructura de seguridad. Con sistema de red Windows 2000. Base de datos FOX.
AUDITORIA DE SISTEMAS
CONSEJOS
2. Comprueba que tu antivirus incluye soporte técnico, resolución urgente de nuevos virus y
servicios de alerta.
6. Rechaza archivos que no hayas solicitado cuando estés en chats o grupos de noticias (news).
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.
11. Añade las opciones de seguridad de las aplicaciones que usas normalmente a tu política de
protección antivirus.
INDICE
BIBLIOGRAFIA