2. DEFINICION
• La elaboración del informe de auditoría
sistemas es el punto final del proceso de
captación y tratamiento de la información
obtenida del sistema auditado. Esta
información ha de ser suficiente para que el
auditor, con su experiencia y conocimiento,
sea capaz de realizar un diagnóstico y realizar
unas recomendaciones.
3. CARATERISTICAS DEL
INFORME DE AUDITORIA DE
SISTEMAS
• En la relación del informe ,el auditor señala los
resultados de su investigación ,sus evaluaciones,
hallazgos, aportaciones y conclusiones sobre el
trabajo realizado; también ,también señala las
técnicas ,herramientas ,métodos y procedimientos
que utilizo en la obtención de datos ,las
observaciones e interpretaciones de los fenómenos y
hecho evaluados que le sirvieron de sustento en la
elaboración de documentos de situaciones
encontradas o relevantes que informa, así como
todas las demás aportaciones con las cuales da su
sello personal al informe presentado .
4. CARACTERISTICAS
FUNDAMENTALES
• Que la información que contiene el documento sea
veraz, confiable y oportuna y sin distorsiones ni
tendencias que demeriten el trabajo realizado.
• Que el uso de la terminología sea exacto y objetivo,
para que se entiendan e interpreten las desviaciones
reportadas tal y como se quisieron plasmar.
• Que el contenido del informe sea congruente con lo
observado, sin inventar, distorsionar o modificar lo
encontrado en la evaluación.
• Que permita mostrar la situación real del área
auditada, a fin de identificar y solucionar lo encontrado
en la evaluación.
6. CATERISTICAS IMPORTANTES PARA EL
LECTOR DE LA AUDITORIA
• Que el informe tenga familiaridad
• Que el contenido del informe sea coloquial
• Que el contenido del informe sea variado
• Que se entregue y comente oportunamente
• Que su lectura sea sencilla
• Que su contenido esté fundamentado
• Que su redacción sea clara
• Que la información contenida sea contundente
• Que este redactado en un estilo impersonal
• Que su contenido sea ameno y entendible
7. PASOS PARA ELABORAR EL
INFORME DE AUDITORIA DE
SISTEMAS
APLICAR INSTRUMENTOS DE RECOPILACIÓN
De acuerdo con el programa para la auditoria de
sistemas, el auditor aplica los instrumentos, técnicas,
procedimientos y herramientas que diseño en la etapa de
planeación con el propósito de realizar la evaluación a los
sistemas, a las áreas de centros de cómputo o a cualquier
otro aspecto.
Con la aplicación de estos instrumentos, el auditor
detecta las posibles desviaciones a la actividad que se
está evaluando y de acuerdo con sus conocimientos y
experiencias las analiza y las registra en el formato de
situaciones encontradas que analizaremos continuación.
8. INSTRUMENTOS DE
RECOPILACION
Este tiene como objetivo identificar los
principales instrumentos técnicas, herramientas
y métodos utilizados en la recopilación de
información; Las cuales se detallan a
continuación:
a) Entrevista b) Cuestionarios c) Encuestas
d) Observación e) Inventarios f) Muestreo
g) Experimentación
9. IMPORTANCIA DEL USO DE
HERRAMIENTAS COMPUTARIZADAS
EN LA AUDITORIA
Las herramientas computadorizadas de apoyo a la
auditoría se suelen clasificar en dos categorías genéricas,
a saber: técnicas y herramientas
Técnicas: extracción y análisis de datos, detección de
fraude, monitoreo continuo, valoración de la seguridad
de la red, control de comercio electrónico, evaluación del
control interno y papeles de trabajo automatizados.
Herramientas: procesadores de texto, hojas electrónicas,
software especializado de auditoría, correo electrónico,
diagramas de flujo, bases de datos, administración de
datos y groupware, administración de la auditoría y
administración de riesgo
10. REGISTRAR EN EL FORMATO DE
SITUACIONES ENCONTRADAS LAS
DESVIACIONES HALLADAS DURANTE LA
REVISION
Con la aplicación de los instrumentos diseñados en la etapa de
planeación, el auditor identifica aquellas posibles
desviaciones que encuentra durante su evaluación y hace un
análisis comparativo de la operación normal contra la
esperada. Una vez hecho este análisis, entonces puede definir
aquellas situaciones encontradas en su evaluación.
Las desviaciones que reporta el auditor tienen características
especiales, las cuales debes plasmar por escrito en un
documento de carácter formal, al que llamaremos formato de
situaciones encontradas. Además como requerimiento
ineludible, dicho reporte debe estar perfectamente
elaborado, en cuanto a su redacción, claridad, oportunidad y
otras características propias del informe de auditoría que
analizaremos en el apartado correspondiente.
11. COMENTAR LAS SITUACIONES
ENCONTRADAS CON LOS
AUDITADOS
Una vez identificadas las situaciones encontradas, es responsabilidad
del encargado de la auditoria que el auditor o supervisor (que puedes
ser el propio responsable de la auditoria) comenten cada una de esas
desviaciones con el personal responsable de la operación, sistema o
función auditada.
Es indispensable que cada una de estas desviaciones sean discutidas
con las empleados funcionarios o usuarios que fueron auditados, ya
que de alguna manera estos son responsables de que se presenten
dichas situaciones ( o cuando al menos están involucrados en ellos) el
propósito de informarles es que ratifiquen o rectifiquen el origen de
tales desviaciones; además también le sirve al auditor para
complementar la redacción de las situaciones que reporta con ello se
busca que estas sean las mas claras posibles y mas entendidas a fin
de que se reporten exactamente como quieren señalar cada
desviación.
12. ENCONTRAR,CONJUNTAMENTE CON LOS
AUDITADOS,LAS CAUSAS DE LAS
DESVIACIONES Y SUS POSIBLES
SOLUCIONES
Como lo señalamos en el punto anterior la
necesidad de comentar las desviaciones con los
responsables de la operación, también
remarcaremos que de estos comentarios se
puede obtener de manera más fidedigna y
confiable las causas que generan cada una de las
desviaciones a fin de reportarlas en el informe
de auditoría lo más apegado posible a la
realidad.
13. ANALIZAR,DEPURAR Y
CORREGIR LAS DESVIACIONES
ENCONTRADAS
Una vez que se comentaron las desviaciones con los
auditados y se obtuvieron sus causas y posibles
soluciones el responsable de la auditoria de sistemas
será el encargado de analizar las desviaciones vigilando
que cada una de este perfectamente plasmado y
correctamente redactado en el formato de situaciones
encontradas. La redacción y presentación de estas
desviaciones
debe hacerse los mas correctamente posible sin admitir
ni el mas mínimo error de ortografía, redacción
tipografía. Esta es la principal responsabilidad del
encargado de la auditoria de sistemas vigilar el correcto
reporte de las situaciones encontradas.
14. JERARQUIZAR LAS DESVIACIONES
ENCONTRADAS Y CONCENTRAR LAS MAS
IMPORTANTES EN EL FORMATO DE
SITUACIONES RELEVANTES
Una vez que el responsable de la auditoria de los
sistemas haya supervisado que el informe de
desviaciones encontradas este correctamente
elaborado, debe analizar toda las desviaciones
reportadas, a fin de escoger las que considere las
mas importantes para reportarlas en el formato de
situaciones relevantes el propósito es enfatizar lo
que considera como lo mas importantes de la
evaluación practicada a fin que los directivos
conozcan los aspectos mas relevantes.
15. COMENTAR LAS SITUACIONES
RELEVANTES CON LOS DIRECTIVOS DEL
AREA DE SISTEMAS Y CONFIRMAR LAS
CAUSAS Y SOLUCIONESAsí como las situaciones encontradas se comentaron con los
auditados, también las situaciones relevantes se deben comentar con
los directivos del área de sistemas a fin estos las conozcan, el personal
auditado puede, a juicio de los directivos, estar presente para
cualquier posible aclaración sobre lo informado. Esto es lo más
recomendable.
El responsable de la auditoria debe encabezar la presentación de este
informe al directivo de mayor jerarquía del área de sistemas. Por lo
general estas reuniones consideradas como relevantes; aunque
también se pueden presentar las llameas situaciones encontradas.
Además, si el encargado de la auditoria lo considera pertinente, cada
auditor puede presentar el informe de la parte que le toco evaluar, o
puede hacerlo una sola persona en representación del responsable de
la evaluación. Todo se hace d acuerdo con el estilo y costumbre de
realizar estas presentaciones.
También es decisión del encargado que cada auditor aclare las dudas
de los participantes en esta reunión.
16. CONCENTRAR,DEPURAR Y ELABORAR EL
INFORME FINAL DE AUDITORIA,ASI COMO
EL DICTAMEN DEL AUDITOR
El siguiente paso es que el auditor responsable de la auditoria
depure cada una de las situaciones relevantes reportadas, con
el fin de concentrarlas en el llamado informe final de
auditoría. Debido a que le informe es para el área directiva de
la empresa, no debe exceder de dos o tres hojas. En este
informe el auditor solo debe señalar lo más relevante de la
evaluación, incluyendo su opinión.
La elaboración del informe es el verdadero trabajo del
responsable de auditoria, debido a que en este documento es
donde realmente se muestra la importancia de su actividad, al
señalar en que situación estaba el área de sistemas ante la
evaluación practicada por los auditores a su cargo; además
debe emitir una opinión autorizada sobre el funcionamiento
del centro de computo, sus sistemas de información, el
cumplimiento del personal y usuarios o sobre cualquier otro
aspecto relacionado con los sistemas de la empresa auditada.
17. PRESENTAR EL INFORME Y
DICTAMEN FINAL A LOS
DIRECTIVOS DE LA EMPRESA
El último paso del informe de auditoría de sistemas es la
presentación oficial del informe (informe final de
auditoría), lo cual se puede hacer de dos maneras, ya sea
en forma directa, mediante una reunión ejecutiva con los
directivos de la empresa, o por envió formal del informe
final de la auditoria al directivo mayor de la firma. Este y
es el informe final de la auditoría practicada y, por lo
tanto, no se debe admitir ningún comentario adicional
que pudiera modificar lo ahí presentado; ya que es el
producto final de la auditoria, y por lo tanto como crear
expectativas de duda sobre la veracidad y confiabilidad
de su contenido.
18. Ejemplo de informe para auditoria
1. Identificación del informe
Auditoria de la Ofimática
2. Identificación del Cliente
El área de Informática
3. Identificación de la Entidad Auditada
Municipalidad Provincial Mariscal Nieto
4. Objetivos
· Verificar si el hardware y software se adquieren
siempre y cuando tengan la seguridad de que los
sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
19. • Verificar si la selección de equipos y sistemas de computación es
adecuada
• Verificar la existencia de un plan de actividades previo a la
instalación
• Verificar que los procesos de compra de Tecnología de Información,
deben estar sustentados en Políticas, Procedimientos, Reglamentos
y Normatividad en
• General, que aseguren que todo el proceso se realiza en un marco
de legalidad y cumpliendo con las verdaderas necesidades de la
organización para hoy y el futuro, sin caer en omisiones, excesos o
incumplimientos.
• Verificar si existen garantías para proteger la integridad de los
recursos informáticos.
• Verificar la utilización adecuada de equipos acorde a planes y
objetivos.
• Verificar si existen garantías para proteger la integridad de los
recursos informáticos.
• Verificar la utilización adecuada de equipos acorde a planes y
objetivos.
20. 5. Hallazgos Potenciales
• Falta de licencias de software.
• Falta de software de aplicaciones actualizados
• No existe un calendario de mantenimiento ofimatico.
• Faltan material ofimática.
• UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
34
• AUDITORIA DE SISTEMAS
• Carece de seguridad en Acceso restringido de los
equipos ofimáticos
• y software.
21. 6. Alcance de la auditoria
• Nuestra auditoria, comprende el presente periodo 2004 y se ha
realizado especialmente al Departamento de centro de cómputo de
acuerdo a las normas y demás disposiciones aplicable al efecto.
• El alcance ha de definir con precisión el entorno y los límites en que
va a desarrollarse la auditoria Ofimática, se complementa con los
objetivos de ésta.
7. Conclusiones:
• Como resultado de la Auditoria podemos manifestar que hemos
cumplido con evaluar cada uno de los objetivos contenidos en el
programa de auditoria.
• El Departamento de centro de cómputo presenta deficiencias sobre
el debido cumplimiento de Normas de seguridad.
• La escasez de personal debidamente capacitado.
• Cabe destacar que la sistema ofimático pudiera servir de gran
apoyo a la organización, el cual no es explotado en su totalidad por
falta de personal capacitado.
22. 8. Recomendaciones
• Se recomienda contar con sellos y firmas digitales
• Un de manual de funciones para cada puesto de trabajo dentro del
área.
• Reactualización de datos.
• Implantación de equipos de última generación
• UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
• 35
• AUDITORIA DE SISTEMAS
• · Elaborar un calendario de mantenimiento de rutina periódico.
• · Capacitar al personal.
23. 9. Fecha Del Informe
• PLANEAMIENTO EJECUCION INFORME
• FECHAS 01–10–04 al 15–10-04
• 16-10–04 al 20–11-04
• 23–11–04 al 28–11-04
10. Identificación Y Firma Del Auditor
• APELLIDOS Y NOMBRES CARGO
• QUIÑONEZ MAYTA CARMEN AUDITOR SUPERIOR
24. WinAudit, software gratuito para
auditoria informática
• WinAudit es un software muy sencillo, liviano, gratuito y
además portable, que de manera rápida nos ofrece un completo
análisis de cualquier computador que funcione bajo el sistema
Windows.
25. Si trabajas haciendo auditoria o como técnico en soporte informático
seguramente hayas leído sobre WinAudit, si no lo conocías lo mejor es
que lo vayas teniendo en cuenta porque reúne muchas características
que lo hacen una herramienta de mucha utilidad para este tipo de
trabajos.
Al descargar WinAudit lo primero que se destaca es su pequeño
tamaño de apenas 1,6 MB, seguido de que no es necesario instalarlo
para poderlo utilizar, facilitando así que podamos llevarlo en cualquier
USB y ejecutarlo sin necesidad de alterar el equipo que vayamos a
analizar. Como si fuera poco, esta herramienta es totalmente gratuita y
de código abierto.
El uso de WinAudit es bastante simple, solo basta con ejecutarlo y de
inmediato la herramienta empieza a analizar todo el hardware y
software de nuestra máquina, listando cada uno de los componentes,
sus características especificas, programas instalados con todos los
detalles posibles para cada uno de ellos, y una gran cantidad de
información extra con la que seguramente se puede disponer de un
informe completo, que podremos guardar en formato HTML, CSV o
RTF.