El informe de auditoría – Guía y algunos ejemplos

aplicables a la auditoria de diccionario de datos.

1. Identificación del informe: un nombre que lo identifique de otros informes.
Ejemplo: Auditoria de DD de la aplicación School
2. Identificación del cliente: destinatarios y personas que solicitan la auditoría.
Ejemplo: DHC Marcelo Martínez. Profesor titular efectivo UNLaR
3. Identificación de la entidad auditada: organización/entidad/área objeto de la
auditoria informática. Ejemplo: Aplicación School. Cátedra de Auditoria de
sistemas. UNLaR – ciclo 2008
4. Objetivos de la auditoria informática: identificar el propósito de la auditoria.
Ejemplo: Inspección del diccionario de datos de la aplicación School.
5. Normativa aplicada: identificar las normas legales y profesionales. Ejemplo:
Normas profesionales – Normas legales – Modelo de Boyce Codd.
6. Alcance de la auditoria: Naturaleza y extensión del trabajo, a saber:
a. Área de la organización: Ejemplo: Catedra de AS
b. Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08
c. Sistemas/áreas a auditar: Ejemplo: Aplicación School - DD
d. Herramientas utilizadas: Ejemplo: Aplicación School – Data Modeler
e. Limitaciones al alcance: Ejemplo: No se audita el contenido de las tablas,
sino su diseño y estructura en cuanto a la normalización de datos según
el modelo de Boyce Codd.
f. Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo
el sistema en su versión de fuentes, ejecutables, ayudas y accesorios.-
7. Informe corto – Resultados – Dictamen – Opiniones – Párrafos de salvedades y
énfasis de ser necesarios.
a. Opinión favorable: opinión calificada sin salvedades, limpia, clara y
precisa. No tiene limitaciones de alcance y sin incertidumbre. Están
acordes con la normativa legal y profesional.- Deben ser expresadas en
lenguaje coloquial, sin ambigüedades y medible en todos sus términos.
Ejemplos: Las tablas del SGBD están normalizadas y respetan el modelo
de Boyce Codd. // El código fuente del sistema de cuentas corrientes de
clientes, respeta los principios de automatismo y determinismo.
b. Opinión con salvedades: opiniones favorables, pero que se afectan por
las siguientes circunstancias:
i. Limitaciones al alcance del trabajo realizado, restricciones por
parte del área auditada, por ejemplo.
ii. Incertidumbre que no permite una previsión razonable.
iii. Irregularidades significativas
iv. Incumplimiento de la normativa legal y profesional.
Ejemplos: Las tablas del SGBD están normalizadas y respetan el modelo
de 3era FN. No obstante, en el manual de diseño de bases de datos del
sistema, se exige el modelado de los datos según el modelo de 5ta forma
normal de Boyce Codd. // El código fuente del sistema de cuentas
corrientes de clientes respeta el principio de automatismo, mas no asi el
de determinismo. En un 20% el sistema no se comporto
determinísticamente ante un mismo lote de prueba.-
 Consideraciones: Este tipo de opinión puede generar para cada caso una
o más recomendaciones del auditor informático.-

Como serian las recomendaciones de las opiniones con salvedades arriba

informadas?

c. Opinión desfavorable: Esta opinión se aplica en casos de:

i. Identificación de irregularidades
ii. Incumplimiento de la normativa legal que afectan
significativamente los objetivos de la auditoria informática.
Deben tener una reseña detallada en el informe largo.
iii. Incumplimiento de la normativa profesional: que afectan
significativamente los objetivos de la auditoria informática.
Deben tener una reseña detallada en el informe largo.

Ejemplo: El motor de bases de datos identificado como Informix

V2.0 no posee licencias habilitantes. // Los profesionales de
sistemas de la organización no poseen títulos habilitantes ni
matricula profesional.-

Consideraciones: Este tipo de opinión puede generar para cada caso una
o más recomendaciones del auditor informático.-

Como serian las recomendaciones de las opiniones con salvedades arriba

informadas?

d. Opinión denegada: Tienen su origen por:

i. Limitaciones al alcance
ii. Incertidumbres significativas que no permiten al auditor formar
una opinión
iii. Irregularidades
iv. Incumplimiento de normativa legal y profesional

Ejemplo: No se audito la normalización de tablas según el modelo

de Boyce Codd, debido a que fue denegado el acceso al diccionario
de datos del sistema. // No se audito el perfil profesional de los
especialistas de sistemas por negativa de entrevistas y pruebas de
aptitud profesional y desempeño.-

Consideraciones: Este tipo de opinión puede generar para cada caso una
o más recomendaciones del auditor informático.-

Como serian las recomendaciones de las opiniones con salvedades arriba

informadas?
8. Resultados: Informe largo e informes anexos: Es una ampliación de todas y cada
una de las opiniones del punto anterior.- Los usuarios, no hay duda, desean saber
mas y quieren transparencia como valor añadido. El limite lo determinan los
papeles de trabajo o documentación del a auditoria informática, pero deben
considerarse los siguientes aspectos:
a. Secreto de la organización: verticalistas (iglesia, FFAA, etc)
 b. Secreto profesional
c. …entre otros….
Algunas organizaciones públicas-gubernamentales y privadas solicitan informes
adicionales. Ej. Bancos, Bolsa de comercio, etc.
9. Informes previos: Considerando que el informe de auditoria informática es parte
de un informe de conjunto o bien ya existen otros informes de auditoria que
resultan significativos al informe actual.-
La detección de irregularidades significativas (fraudes por ejemplo) requiere de
una actuación inmediata según las normas legales y profesionales. Recordar la
responsabilidad civil del auditor informático.-
10. Fecha del informe: muy importante, ya que permite la cuantificación de los
honorarios, cumplimiento de los tiempos con el cliente y la magnitud del trabajo
y sus aplicaciones. Debe considerarse:
a. Fecha de inicio
b. Fecha de finalización
c. Fecha de cierre del ejercicio económico ( en caso de organizaciones que
lo requieren como obligatorio)
Nota: estas fechas deben ser concordantes con el plan de trabajo propuesto
antes de realizar la auditoria.-
11. Identificación y firma del auditor: Aspecto formal y esencial del informe. Tanto
de ser individual como grupal (socios legalmente comprometidos)
12. Distribución del informe: Hace referencia a quien o quienes podrán hacer uso
del informe, los usos concretos que tendrá, ya que los honorarios deben tener
relación con la responsabilidad civil.
13. Anexo: Documentación y otros papeles de trabajo
a. Contrato cliente/auditor
b. Propuesta del auditor
c. Identificación del auditor. Presentación y CV de ser requerido
d. Declaraciones de la dirección
e. Otros contratos que afecten al sistema de información
f. Asesoría jurídica del cliente
g. Informes sobre terceros vinculados
h. Conocimiento de la actividad del cliente
i. Evidencia
i. Relevante
ii. Fiable
iii. Suficiente
iv. Adecuada
Ejemplo: Código fuente, modelo de datos, diccionario de datos, pantallas
del sistema, entre otros..
Auditoría de Sistemas
Leer en Google Leer en Yahoo RSS

RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a

suscriptores de un sitio web. El formato permite distribuir contenido sin necesidad de un
navegador, utilizando un software disenado para leer estos contenidos RSS (agregador).

Para una mejor productividad empresarial, los responsables de los sistemas, que
usan los distintos departamentos o áreas de negocio, deben conocer los riesgos
derivados de una inadecuada gestión de sistemas y los beneficios generados por
una gestión óptima.

Sistemas de la información

 Casos reales de problemas solucionados por nosotros

 Clientes representativos de auditorias informáticas.
 Estándares TI con las mejores prácticas informáticas

Objetivos generales de la Auditoría de Sistemas de la Información

 Evaluar la fiabilidad
 Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su
disponibilidad y continuidad
 Revisar la seguridad de los entornos y sistemas.
 Analizar la garantía de calidad de los Sistemas de Información
 Analizar los controles y procedimientos tanto organizativos como operativos.
 Verificar el cumplimiento de la normativa y legislación vigentes
 Elaborar un informe externo independiente.
 Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

Objetivos para una buena gestión de los Sistemas de la Información en una

empresa

 Asegurar una mayor integridad, confidencialidad y confiabilidad de la

información.
 Seguridad del personal, los datos, el hardware, el software y las instalaciones.
 Minimizar existencias de riesgos en el uso de Tecnología de información
 Conocer la situación actual del área informática para lograr los objetivos.
 Apoyo de función informática a las metas y objetivos de la organización.
 Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
 Incrementar la satisfacción de los usuarios de los sistemas informáticos.
 Capacitación y educación sobre controles en los Sistemas de Información.
 Buscar una mejor relación costo-beneficio de los sistemas automáticos.
 Decisiones de inversión y gastos innecesarios.

Más información sobre auditoría sistemas

Hemos seleccionado los siguientes articulos para usted:

 Conceptos de Auditoría de Sistemas, Fuente externa: monografias.com

 El enemigo en casa: infracciones informáticas de los trabajadores., Fuente
externa: .e-directivos.com
 Características de la auditoria tecnológica, Síntomas de necesidad de una
auditoria informática, Fuente externa: monografias.com

Conceptos de Auditoría de Sistemas

La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la
virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo específico que
es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del
señalamiento de cursos alternativos de acción, se tomen decisiones que permitan
corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en
la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un
objetivo específico en el ambiente computacional y los sistemas.A continuación se
detallan algunos conceptos recogidos de algunos expertos en la materia:Auditoría de
Sistemas es:

* La verificación de controles en el procesamiento de la información, desarrollo de

sistemas e instalación con el objetivo de evaluar su efectividad y presentar
recomendaciones a la Gerencia.

La actividad dirigida a verificar y juzgar información.

El examen y evaluación de los procesos del Area de Procesamiento automático de Datos

(PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a
establecer el grado de eficiencia, efectividad y economía de los sistemas
computarizados en una empresa y presentar conclusiones y recomendaciones
encaminadas a corregir las deficiencias existentes y mejorarlas.

* El proceso de recolección y evaluación de evidencia para determinar si un sistema

automatizado:

Daños, Salvaguarda activos, Destrucción, Uso no autorizado, Robo, Mantiene

Integridad de Información Precisa, los datos Completa, Oportuna, Confiable, Alcanza
metas, Contribución de la organizacion, la función informática, Consume recursos,
Utiliza los recursos adecuadamente, eficientemente en el procesamiento de la
información

* Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia),

sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones,
procesos, procedimientos e informes relacionados con los sistemas de información
computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

* Eficiencia en el uso de los recursos informáticos

* Validez de la información
* Efectividad de los controles establecidos
El enemigo en casa: infracciones informáticas de los
trabajadores.
La proliferación de las nuevas tecnologías en la empresa conlleva también la
proliferación de nuevos peligros. Ya no son sólo los ataques y sabotajes informáticos
desde el exterior, sino las infracciones desde dentro, las producidas por los propios
empleados, y contra las que las organizaciones son, al parecer, más vulnerables. Hace
poco más de un mes, la firma Landwell de Abogados y Asesores Fiscales, perteneciente
a PricewaterhouseCoopers, presentaba un excelente estudio titulado Actos desleales de
trabajadores usando sistemas informáticos, el cual merece la pena conocer con algo de
detalle en estas páginas. El estudio se ha elaborado a partir del análisis de informes,
sentencias, autos y procedimientos judiciales de 393 casos reales sufridos por empresas
españolas y protagonizados por trabajadores en plantilla, durante el trienio 2001-2003; y
se ha completado con entrevistas personales con los responsables de las compañías
afectadas. Para empezar, el informe reconoce que se desconoce el nivel de incidencia en
el conjunto total de las empresas españolas, ya que una gran parte de las empresas
afectadas por este tipo de acciones prefieren llegar a un acuerdo amistoso y no divulgar
los hechos. Las infracciones más habituales que han sido detectadas son así
sistematizadas en el estudio: Creación de empresa paralela, utilizando activos
inmateriales de la empresa. Consiste en la explotación en una empresa de nueva
creación, de la propiedad intelectual, la propiedad industrial o el know how de la
empresa en la que el trabajador trabaja. Generalmente, el trabajador constituye la nueva
compañía antes de solicitar la baja voluntaria y realiza un proceso de trasvase de
información mediante soportes informáticos o a través de Internet. Es posible que el
trabajador actúe aliado con otros compañeros de la empresa. Daños informáticos y uso
abusivo de recursos informáticos. Los daños informáticos se producen generalmente
como respuesta a un conflicto laboral o a un despido que el trabajador considera injusto.
Consisten en la destrucción, alteración o inutilización de los datos, programas o
cualquier otro activo inmaterial albergado en redes, soportes o sistemas informáticos de
la empresa. Los casos más habituales son los virus informáticos, el sabotaje y las
bombas lógicas, programadas para que tengan efecto unos meses después de la baja del
trabajador. También es habitual el uso abusivo de recursos informáticos, especialmente
el acceso a Internet. Información confidencial y datos personales. Consiste en el acceso
no autorizado y en la posterior revelación a terceros, generalmente competidores o
clientes, de información confidencial de la empresa. En algunas ocasiones, la revelación
la realizan trabajadores que tienen un acceso legítimo, pero con obligación de reserva, a
la información posteriormente divulgada. En este capítulo también se contempla la
cesión no autorizada a terceros de datos personales de trabajadores y clientes.
Amenazas, injurias y calumnias. El medio utilizado habitualmente es el correo
electrónico corporativo, aunque también se han utilizado cuentas anónimas, e incluso se
ha suplantado la identidad de otro trabajador de la misma empresa. En el caso de las
amenazas, se busca un beneficio material o inmaterial para el trabajador. Si el beneficio
no se produce, el trabajador llevará a cabo la conducta anunciada en el mensaje
amenazador. En el caso de las injurias y las calumnias, se busca desacreditar a la
empresa, o a alguno de sus directivos. También se han producido insultos a clientes
habituales o a clientes potenciales de la empresa con el que el trabajador tenía algún
conflicto. Infracción propiedad intelectual e introducción de obras de la empresa en
redes P2P. Consiste en la copia de activos inmateriales de la empresa, especialmente
obras protegidas por la propiedad intelectual, con el fin de cederlas posteriormente a
terceros. En los últimos dos años se han dado casos de difusión a través de Internet,
mediante el uso de redes de intercambio de ficheros (peer to peer). De esta manera, una
multitud de usuarios acceden de forma gratuita a programas de ordenador
desprotegidos, información o contenidos multimedia. Intercambio de obras de terceros a
través de redes P2P. Este es el caso más habitual y se detecta generalmente en el curso
de una auditoría de seguridad informática, mediante el análisis del caudal de datos
transferido por los trabajadores a través de la red corporativa. En algunas ocasiones, se
ha detectado directamente la instalación del programa P2P o el uso de puertos típicos
para el acceso a redes P2P. Este caso es especialmente grave, ya que la empresa se
convierte en proveedora directa de copias no autorizadas de música, películas y
programas de ordenador. Infracción de derechos de propiedad industrial. El caso más
habitual ha sido la infracción de marcas de la empresa mediante el registro del nombre
de dominio por parte del trabajador. En algunos casos, se ha creado una página web con
contenidos ofensivos para conseguir un mayor efecto nocivo para la empresa o para
obtener una suma de dinero por la transferencia. Ante la aparición de esta clase de
situaciones, ¿cuál ha sido la estrategia de respuesta de las empresas? El informe de
Landwell nos dice que la mayoría de las empresas prefieren encomendar la
investigación de los posibles actos desleales de un trabajador a un equipo interno,
generalmente formado por miembros del departamento de RRHH y del departamento de
sistemas. Sólo un 22 por ciento de las empresas que sospechan de un empleado deciden
externalizar la investigación. El tipo de investigación depende de la intención de la
empresa de llegar a un acuerdo o plantear una reclamación judicial. Cuando se toma la
decisión de llevar la infracción a los tribunales, la obtención de las evidencias
electrónicas se encarga a un tercero, con el fin de conseguir mayor objetividad y valor
probatorio. El procedimiento de recopilación de las evidencias debe respetar los
derechos del trabajador para que sea válido judicialmente. Una investigación se inicia a
partir de las sospechas e indicios generados por la propia conducta del trabajador, por
un consumo de recursos poco usual o por el descubrimiento de los efectos de la
infracción. No obstante, Sólo el 26 por ciento de las infracciones detectadas acaban en
los tribunales. El resto de las infracciones son objeto de un acuerdo privado o de una
sesión finalizada con aveniencia en un organismo de mediación y conciliación laboral.
En general, las empresas prefieren solucionar sus conflictos de forma privada y ello
incide en la forma de investigar y tratar las posibles infracciones de sus trabajadores.
Ahora bien, si los daños producidos están previstos en la cobertura de un seguro, es muy
probable que la empresa deba plantear una reclamación judicial para poder solicitar la
correspondiente compensación económica.

Características de la auditoria tecnológica

La información de la empresa y para la empresa, siempre importante, se ha convertido
en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende,
han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de
Inversión Informática.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática
en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser
Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna
forma su función: se está en el campo de la Auditoria de Organización Informática o
tecnológica
Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una
auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo
de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen,
además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad,
o alguna mezcla de ellas.

Síntomas de necesidad de una auditoria informática:

Las empresas acuden a las auditorias externas cuando existen síntomas bien perceptibles
de debilidad. Estos síntomas pueden agruparse en clases:

* Síntomas de descoordinación y desorganización:

No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.

* Síntomas de mala imagen e insatisfacción de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de

Software en los terminales de usuario, refrescamiento de paneles, variación de los
ficheros que deben ponerse diariamente a su disposición, etc.
- No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario,
en especial en los resultados de Aplicaciones críticas y sensibles.

* Síntomas de debilidades económico-financiero:

- Incremento desmesurado de costes.

- Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias significativas.
- Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de
Proyectos y al órgano que realizó la petición).

* Síntomas de Inseguridad: Evaluación de nivel de riesgos

- Seguridad Lógica
- Seguridad Física
- Confidencialidad
[Los datos son propiedad inicialmente de la organización que los genera. Los datos de
personal son especialmente confidenciales]

* Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma
debe ser sustituido por el mínimo indicio.