[INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 1
INTRODUCCIN
"Es un medio formal para comunicar los objetivos de la Auditora, el cuerpo de las normas de Auditora, el alcance de la Auditora, y los hallazgos y conclusiones" "Es el documento que refleja los objetivos, alcances, observaciones, recomendaciones y conclusiones del proceso de evaluacin relacionados con las reas de informtica" La elaboracin del informe representa el momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor de riesgo, tarea eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. No existe un formato especfico. Existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI El Informe de Auditora deber ser: - claro - adecuado - suficiente - comprensible El formato del Informe debe reflejar una presentacin lgica y organizada. El informe debe incluir suficiente informacin para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas.
Requisitos del Informe Los requisitos de un Informe de Auditora son: 1- Ser veraz 2- Estar documentado formalmente 3- Mostrar las observaciones (debilidades) encontradas 4- Tener recomendaciones y soluciones para cada observacin 5- Reflejar las reas de oportunidad y cursos de accin
[INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 2
OBJETIVOS GENERALES DE LA AUDITORIA
Los principales objetivos que constituyen a la auditora Informtica son: El control de la funcin informtica, En este llevaremos el control del software y hardware del sistema los equipos instalados en el sistema se encuentran con falta de limpieza del hardware para poder mantener en optimas condiciones el equipo adems se detecto que las computadoras no cuentan con la licencia actividad.
El anlisis de la eficacia del Sistema Informtico. Si analizamos los equipo podremos encontrar errores en el sistema tal vez por archivos maliciosos, y que las maquinas no se encuentran trabajando de forma correcta.
La verificacin de la implantacin de la Normativa. Si se compara con el reglamento no se cumpliran probablemente todas las normas establecidas por este ya establecido. Es recomendable dar mantenimiento peridicamente a los equipos.
La revisin de la gestin de los recursos informticos. Si observamos la utilidad que se le dan a los equipos se veran que si se maneja de forma adecuada pero todava se podra mejorar.
Objetivos especficos de la auditoria informtica.
El auditor debe comprender con exactitud los deseos y pretensiones del cliente. Algunos ejemplos de objetivos especficos son los siguientes:
1. Contrastar algn informe interno con el que resulte del externo.
2. Evaluacin del funcionamiento de reas informticas en un determinado departamento. El departamento realiza una funcin necesaria para poder mantener el equipo en funcionamiento pero se necesitara ver el equipo totalmente el hardware para poder determinar el estado solo podemos hacer la auditoria basndonos en parte del software y viendo cmo funcionan las computadoras. [INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 3
3. Aumentos de seguridad y fiabilidad. Se podra aumentar la seguridad en un porcentaje pero se tendra que analizar de qu forma se podra hacer eso sin necesidad de de restringir cosas necesarias,
4. Aumento de calidad. La calidad sera mucho ms eficientemente en todos los aspectos.
5. Disminucin de costos o plazos Los costos se pueden considerar a un plazo largo y mediano una buena inversin porque si no se les da peridicamente se podra ver afectado el rendimiento y probablemente que pronto no sea til y se descomponga.
INFORME DE AUDITORA
Desarrollo del Informe Los puntos esenciales de un Informe de Auditora son: 1- Identificacin del Informe El ttulo del Informe deber identificarse como objeto de disitnguirlo de otros informes 2- Identificacin del Cliente Debe identificarse a los destinatarios y a las personas que efecten el encargo 3- Identificacin de la Entidad auditada Identificacin de la entidad objeto de la Auditora Informtica 4- Objetivos de la Auditora Informtica Declaracin de los objetivos de la Auditora para identificar su propsito, sealando los objetivos incumplidos. 5- Normativa aplicativa y excepciones Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la Auditora 6- Alcance de la Auditora Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de auditora, sistemas de informacin..., sealando limitaciones del alcance y restricciones del auditado 7- Conclusiones: Informe corto de opinin El Informe debe contener uno de los siguientes tipos de opinin: [INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 4
Opinin favorable: es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional Opinin con salvedades: se reitera lo dicho en la opinin favorable al respecto de las salvedades cuando sean significativas en relacin con los objetivos de auditora, describindose con precisin la naturaleza y razones Opinin desfavorable: es aplicable en el caso de identificacin de irreguilaridades y de incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de la AI Opinin denegada: puede tener su origen en las limtaciones al alcance de auditora, irregularidades, y al incumplimiento de normativa legal y profesional Resumen: consiste en una opinin personal de lo llevado a cabo 8- Resultado: Informe largo y otros informes Este tipo de informe permite saber ms. Las soluciones previsibles se orientam hacia un Informe por cada objetivo de la AI 9- Informe previo Este tipo de informe permite tener informacin de referencia 10- Fecha del Informe Permite conocer la magnitud del trabajo y sus implicaciones 11- Identificacin y firma del Auditor 12- Distribucin del Informe Se define quienes podrn hacer uso del Informe Conclusiones Es un juicio de valor u opinin personal con justificacin Modelo de un Informe de Auditora Fecha del Informe: NOMBRE DE LA ENTIDAD Auditora de........ Objetivo ........... Lugar de la Auditora ........... Grupo de Trabajo de Auditora ........... Fecha de Inicio de la Auditora ........... [INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 5
Tiempo estimado del proceso de revisin X hs
Fecha de Finalizacin de la Auditora ........... Herramientas utilizadas ........... Alcance ........... Procedimientos a aplicar ........... Informe de debilidadesdetectadas Situacin actual Comentario Comentario de la Gcia
Ejemplo de un Informe de Auditora
En una Compaa de Seguros se llev a cabo la Auditora de una Base de Datos. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa. Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorizacin otorgada por el DBA (Administrador de la BD). Se observa que: - la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence - el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del da. - hasta el momento, la BD cuenta con ms de 2 millones de registros.
[INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 6
INFORME DE AUDITORIA Fecha del Informe: 12 / 06 / 2000 Nombre de la Entidad: Seguros S.A AUDITORIA DE UNA BASE DE DATOS Objetivo Controlar la definicin y existencia de los objetos necesarios para la normal utilizacin de una BD y para mejorar su performance. Lugar de la Auditora: Area de Sistemas Grupo de Trabajo de Auditora: Lic. Jorge Gorostiza Lic. Gustavo Barrientos Fecha de Inicio de la Auditora: 12 / 05 / 2000 Tiempo estimado del proceso de revisin: 30hs Fecha de Finalizacin de la Auditora: 19 / 05 / 2000 Herramientas utilizadas - Metodologa de auditora de objetivos de control - Utilitarios estndar Alcance Controlar la definicin y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa. Procedimientos a aplicar: Objetos - Las tablas definidas en el diseo coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas? - Estn definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente? - Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida? - La BD tiene vistas (views) respecto de algunas tablas? - Para mejorar el performance del sistema, el DBA defini que sean necesarios segn los casos? - Existe documentacin actualizada respecto del diseo e implementacin de la BD?
[INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 7
Datos - Con qu frecuencia se realiza una copia de resguardo (backup) respecto de la BD? - Cada cunto tiempo se realiza una actualizacin de los datos existentes? Usuarios - Cuntos usuarios tienen acceso a la BD? - Cuntos usuarios actan como desarrolladores respecto de la BD? - Cuntos usuarios son usuarios finales de la BD? - Cules son los roles y privilegios establecidos por el DBA? - Todos los usuarios tienen definido un rol determinado?
INFORME DE LAS DEBILIDADES DETECTADAS
Situacin Actual Recomendacin Comentario de la Gcia de Sistemas
No existen ndices que permitan mejorar el performance del sistema
Crear los ndices que correspondan de acuerdo con las aplicaciones que fueron desarrolladas. De acuerdo (Sr. Gte de Sistemas) Se realiza una copia diaria de resguardo (backup) Debido al caudal de informacin que maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del da y otro al final del da.
De acuerdo (Sr. Gte de Sistemas)
[INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 8
CASOS DE AUDITORIA Caso 1 En un Laboratorio de Medicamentos se llev a cabo la Auditora de la Documentacin, la cual es utilizada por el rea de Sistemas para controlar el cumplimiento del desarrollo de los sistemas. Se observa lo siguiente: - en las distintas etapas de desarrollo, la documentacin est incompleta - ciertos datos de los documentos no se corresponden con la realidad, es decir que la documentacin no fue actualizada - no se especifica quin llev a cabo la documentacin - no existe un lugar o acceso directo en el que cualquier persona autorizada pueda acceder a la documentacin de un sistema determinado - no hay un formato determinado de documentacin para cada etapa de desarrollo Caso 2 En una Empresa de Publicidad se llev a cabo la Auditora de los Tiempos y Costos, la cual es utilizada por el rea de Sistemas para controlar el cumplimiento de los tiempos y costos estimados para el desarrollo de los sistemas. Se observa lo siguiente: - no existe informacin detallada por etapa respecto a los costos y tiempos respectivos - no se detalla quin es el responsable de ciertos gastos extras llevados a cabo en algunas etapas - el tiempo planificado de cada etapa no coincide con los hechos sucedidos - el tiempo asignado a c/ miembro del equipo de desarrollo no se corresponde a la tarea llevada a cabo Caso 3 En una Empresa Automotriz se llev a cabo la Auditora de una BPR, la cual es utilizada por el rea de Sistemas y por la Alta Direccin para controlar el cumplimiento de este tipo de proyecto. La empresa cuenta con equipos mainframes, los cuales sern reemplazados por Servers que estarn distribuidos segn las distintas reas de la empresa. Se realizar un nuevo planteo de todas las aplicaciones existentes. Se observa lo siguiente: - determinados procesos de negocio de la empresa no fueron cambiados en un 100% - el personal, en su totalidad, no estaba capacitado para llevar a cabo este cambio tecnolgico - sera necesario re-definir los roles y responsabilidades de todas las personas que intervienen en el proyecto [INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 9
Caso 4 En una Consultora de Sistemas se llev a cabo la Auditora de una Gestin, la cual es utilizada por las Gerencias Intermedias y por la Alta Direccin para la toma de decisiones. Se observa lo siguiente: - no se especifican los objetivos particulares que se alcanzaron - casi no existe documentacin de las distintas cosas que se realizaron - no est bien especificado quin es responsable de c/ objetivo particular que se cumpli Caso 5 En una Empresa textil se llev a cabo la Auditora de un Relevamiento, perteneciente al Sistema de Proveedores, la cual es utilizada por la Gerencia de Sistemas para el control del proceso de desarrollo de software. Se observa lo siguiente: - No son claras las preguntas que se formulan - No se establece ninguna vinculacin entre el Sistema de Proveedores y el resto de los sistemas existentes - No est especificado quin y cundo se llev a cabo la entrevista - No existen informes respecto de las entrevistas realizadas
[INFORME FINAL DE AUDITORIA INFORMATICA TIC] 18 de Junio de 2014
AUDITORIA DE SISTEMAS CONTABLES | 10
CONCLUSIONES
El equipo de auditores considera que la empresa NO realiza las tareas de actualizacin y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas reas de la empresa.