UNIDAD 6 INFORME DE AUDITORIA El Informe de Auditora es la comunicacin de auditor informtico al cliente, de manera formal, tanto del alcance de la auditora;

(objetivos, perodo de cobertura, naturaleza, y extensin del trabajo realizado) como de resultados y conclusiones. Previo a la redaccin del informe, el auditor distingue lo significativo de lo que no lo es evalundolos de manera adecuada de acuerdo a su importancia y a la vinculacin con el factor riesgo. Aunque no existe un formato oficial, si existen esquemas recomendados con los requisitos mnimos aconsejables respecto a la estructura y contenido. En cuanto a la redaccin el informe deber ser claro, adecuado, suficiente y comprensible. La presentacin de las conclusiones podr hacerse de la siguiente forma: 1. Una breve descripcin de la situacin actual en la cual se reflejan los puntos ms importantes. 2. una descripcin detallada que comprende: a. Los problemas detectados. b. Posibles causas, problemas y fallas que originaron la situacin presentada. c. Repercusiones que pueden tener los problemas detectados. d. Alternativas de solucin. e. Comentario y observaciones de la Direccin de Informtica y de los usuarios sobre las soluciones propuestas. f. Si se opta por una alternativa de solucin, cules son sus repercusiones, ventajas y desventajas, y tiempo estimado para efectuar el cambio. 3. Debe hacerse hincapi en cmo se corregir el problema o se mejorar una determinada situacin, se obtendrn los beneficios, en cuanto tiempo y cuales son los puntos dbiles. 4. Se debe romper la resistencia a la lectura que tienen algunos ejecutivos por medio de conclusiones concretas (tratar de que se entiendan los trminos tcnicos, de ser posible utilizar tcnicas audiovisuales) Los puntos esenciales genricos y mnimos del Informe de Auditora son: 1. Identificacin del informe: un nombre que lo identifique de otros informes. Ejemplo: Auditoria de DD de la aplicacin School 2. Identificacin del cliente: destinatarios y personas que solicitan la auditora. Ejemplo: DHC Marcelo Martnez. Profesor titular efectivo UNLaR

3. Identificacin de la entidad auditada: organizacin/entidad/rea objeto de la auditoria informtica. Ejemplo: Aplicacin School. Ctedra de Auditoria de sistemas. UNLaR ciclo 2008 4. Objetivos de la auditoria informtica: identificar el propsito de la auditoria. Ejemplo: Inspeccin del diccionario de datos de la aplicacin School. 5. Normativa aplicada: identificar las normas legales y profesionales. Ejemplo: Normas profesionales Normas legales Modelo de Boyce Codd. 6. Alcance de la auditoria: Naturaleza y extensin del trabajo, a saber: a. rea de la organizacin: Ejemplo: Catedra de AS b. Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08 c. Sistemas/reas a auditar: Ejemplo: Aplicacin School - DD d. Herramientas utilizadas: Ejemplo: Aplicacin School Data Modeler e. Limitaciones al alcance: Ejemplo: No se audita el contenido de las tablas, sino su diseo y estructura en cuanto a la normalizacin de datos segn el modelo de Boyce Codd. f. Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo el sistema en su versin de fuentes, ejecutables, ayudas y accesorios.7. Informe corto Resultados Dictamen Opiniones Prrafos de salvedades y nfasis de ser necesarios. a. Opinin favorable: opinin calificada sin salvedades, limpia, clara y precisa. No tiene limitaciones de alcance y sin incertidumbre. Estn acordes con la normativa legal y profesional.- Deben ser expresadas en lenguaje coloquial, sin ambigedades y medible en todos sus trminos. Ejemplos: Las tablas del SGBD (Sistema Gestor de Base de Datos) estn normalizadas y respetan el modelo de Boyce Codd. // El cdigo fuente del sistema de cuentas corrientes de clientes, respeta los principios de automatismo y determinismo. b. Opinin con salvedades: opiniones favorables, pero que se afectan por las siguientes circunstancias: i. Limitaciones al alcance del trabajo realizado, restricciones por parte del rea auditada, por ejemplo. ii. Incertidumbre que no permite una previsin razonable. iii. Irregularidades significativas iv. Incumplimiento de la normativa legal y profesional. Ejemplos: Las tablas del SGBD estn normalizadas y respetan el modelo de 3era FN (Forma Normal). No obstante, en el manual de diseo de bases de datos del sistema, se exige el modelado de los datos segn el modelo de 5ta forma normal de Boyce Codd. // El cdigo fuente del sistema de cuentas corrientes de clientes respeta el principio de automatismo, mas no asi el de determinismo. En un 20% el sistema no se comporto determinsticamente ante un mismo lote de prueba.Consideraciones: Este tipo de opinin puede generar para cada caso una o ms recomendaciones del auditor informtico.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? c. Opinin desfavorable: Esta opinin se aplica en casos de:

i. Identificacin de irregularidades ii. Incumplimiento de la normativa legal que afectan significativamente los objetivos de la auditoria informtica. Deben tener una resea detallada en el informe largo. iii. Incumplimiento de la normativa profesional: que afectan significativamente los objetivos de la auditoria informtica. Deben tener una resea detallada en el informe largo. Ejemplo: El motor de bases de datos identificado como Informix V2.0 no posee licencias habilitantes. // Los profesionales de sistemas de la organizacin no poseen ttulos habilitantes ni matricula profesional.Consideraciones: Este tipo de opinin puede generar para cada caso una o ms recomendaciones del auditor informtico.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? d. Opinin denegada: Tienen su origen por: i. Limitaciones al alcance ii. Incertidumbres significativas que no permiten al auditor formar una opinin iii. Irregularidades iv. Incumplimiento de normativa legal y profesional Ejemplo: No se audito la normalizacin de tablas segn el modelo de Boyce Codd, debido a que fue denegado el acceso al diccionario de datos del sistema. // No se audito el perfil profesional de los especialistas de sistemas por negativa de entrevistas y pruebas de aptitud profesional y desempeo.Consideraciones: Este tipo de opinin puede generar para cada caso una o ms recomendaciones del auditor informtico.Como serian las recomendaciones de las opiniones con salvedades arriba informadas? 8. Resultados: Informe largo e informes anexos: Es una ampliacin de todas y cada una de las opiniones del punto anterior.- Los usuarios, no hay duda, desean saber mas y quieren transparencia como valor aadido. El limite lo determinan los papeles de trabajo o documentacin del a auditoria informtica, pero deben considerarse los siguientes aspectos: a. Secreto de la organizacin b. Secreto profesional entre otros. Algunas organizaciones pblicas-gubernamentales y privadas solicitan informes adicionales. Ej. Bancos, Bolsa de comercio, etc. 9. Informes previos: Considerando que el informe de auditoria informtica es parte de un informe de conjunto o bien ya existen otros informes de auditoria que resultan significativos al informe actual.La deteccin de irregularidades significativas (fraudes por ejemplo) requiere de una actuacin inmediata segn las normas legales y profesionales. Recordar la responsabilidad civil del auditor informtico.-

10.Fecha del informe: muy importante, ya que permite la cuantificacin de los honorarios, cumplimiento de los tiempos con el cliente y la magnitud del trabajo y sus aplicaciones. Debe considerarse: a. Fecha de inicio b. Fecha de finalizacin c. Fecha de cierre del ejercicio econmico ( en caso de organizaciones que lo requieren como obligatorio) Nota: estas fechas deben ser concordantes con el plan de trabajo propuesto antes de realizar la auditoria.11.Identificacin y firma del auditor: Aspecto formal y esencial del informe. Tanto de ser individual como grupal (socios legalmente comprometidos) 12.Distribucin del informe: Hace referencia a quien o quienes podrn hacer uso del informe, los usos concretos que tendr, ya que los honorarios deben tener relacin con la responsabilidad civil. 13.Anexo: Documentacin y otros papeles de trabajo a. Contrato cliente/auditor b. Propuesta del auditor c. Identificacin del auditor. Presentacin y CV de ser requerido d. Declaraciones de la direccin e. Otros contratos que afecten al sistema de informacin f. Asesora jurdica del cliente g. Informes sobre terceros vinculados h. Conocimiento de la actividad del cliente i. Evidencia i. Relevante ii. Fiable iii. Suficiente iv. Adecuada Ejemplo: Cdigo fuente, modelo de datos, diccionario de datos, pantallas del sistema, entre otros.. Como ejemplo de formato de presentacin de conclusiones de Auditoria en Informtica consideraremos el presentado por J. A. Echenique (analizarlo para ver con que puntos de los recomendados cumple). Es conveniente tambin revisar el formato de seguimiento propuesto por el mismo autor.