Metodologias Heramientas

25
7/21/2019 Metodologias Heramientas http://slidepdf.com/reader/full/metodologias-heramientas 1/25 Unidad 3 Metodologías Herramientas e Informe de Auditoría Instituto Superior Privado Robustiano Macedo Martínez Lic. Andrea M. Peláez 1º 7º

description

AUDITORIA

Transcript of Metodologias Heramientas

Page 1: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 1/25

Unidad 3

Metodologías Herramientas e Informe de Auditoría

Instituto Superior PrivadoRobustiano Macedo Martínez

Lic. Andrea M. Peláez

1º 7º

Page 2: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 2/25

Método:Es el modo de decir o hacer con orden una cosa.

Metodología:

Es el conjunto de métodos que se siguen en un trabajo científico, que permiten abordar éste de forma organizada y consecuente.

Metodologías en la Audi tor ía de los SI:

Son el reflejo del trabajo del profesional y están directamente relacionadas con su experiencia.

Son necesarias para que un equipo de profesionales alcance un resultado homogéneo en equipos de trabajo heterogéneos.

La informática ha sido tradicionalmente una materia compleja en todos sus aspectos. Y ha sido necesario por ello la utilización de

metodologías desde su diseño de ingeniería hasta el desarrollo del software, y como no, la auditoría de los sistemas de información.

Dentro del mundo de la informática existen muchas disciplinas en las que el uso de metodologías es una práctica habitual. Una es laseguridad de sistemas de información .

Page 3: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 3/25

Entonces la auditor ía está involucrada en esteproceso de protección y preservación de lainformación y de sus medios de proceso.

El nivel de seguridad informática es un objetivo aevaluar y está directamente relacionado con la

calidad y eficacia de un conjunto de acciones ymedidas destinadas a proteger y preservar la

información de la entidad y sus medios deproceso (Contramedidas).

La informática en una entidad, crea unos riesgosinformáticos, de los que hay que proteger ypreservar a la entidad con un entramado decontramedidas, y la calidad y eficacia de las

mismas es el objetivo a evaluar para así poderidentificar sus puntos débiles y poder mejorarlos,ésta es una de las funciones de los audi tores

informáticos.

Seguridad y Audito ría de los SI

Page 4: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 4/25

Contramedida:Factores que intervienen en su composición

Page 5: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 5/25

Contramedida: Factores que intervienen en su composición

LA NORMATIVA:

Debe definirse de forma clara y precisa todo lo que debe existir y cumplir (conceptual y práctico, general y particular), basado en estándares y

políticas.

LA ORGANIZACIÓN:

Son personas con funciones específicas, y con procedimientos definidos metodológicamente y aprobados por la dirección de la empresa.

LAS METODOLOGÍAS:

Son necesarias para realizar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

LOS OBJETIVOS DE CONTROL:

Son los objetivos a cumplir en el control de los procesos.

LOS PROCEDIMIENTOS DE CONTROL:

Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada para la consecución de uno o

varios objetivos de control y por lo tanto deben estar documentados y aprobados por la Dirección.

TECNOLOGÍAS DE SEGURIDAD:

Son todos los elementos de hardware y software que ayudan a controlar un riesgo informático.

LAS HERRAMIENTAS DE CONTROL:

Son todos los elementos de software que permiten definir uno o varios procedimientos de control, para cumplir una normativa y un objetivo de

control.

Page 6: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 6/25

NO SE PUEDEN ESTABLECERCONTROLES SIN PERSONAS.

DE UN CORRECTOPLANTEAMIENTO SURGIRÁNPROCEDIMIENTOS EFICACES

SIN LA EXISTENCIA DE LOSPROCEDIMIENTOS DE

CONTROL LASHERRAMIENTAS SON

SOLAMENTE UNA ANÉCDOTA.

Contramedida:Factores que intervienen en su composición

Page 7: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 7/25

PLAN DE SEGURIDAD: Estrategia planificada de acciones y proyectos que llevan aun sistema de información y a sus centros de proceso de una situación inicial

determinada (y a mejorar) a una situación mejorada.

Plan de Segur idad

Todos los factores que componen la contramedida están relacionados entre sí y la calidad de cada uno está relacionada con la de los demás.

Cuando se evalúa el nivel de Seguridad de Sistemas en una Institución, se están evaluando todos estos factores (pirámide) y se plantea un

Plan de Seguridad nuevo, que mejore todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan, no irán

mejorando todos por igual.

Al finalizar el plan se habrá conseguido una situación nueva en la que el nivel de control sea superior al anterior.

Page 8: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 8/25

Dirigir la estrategia y

las políticas

Realizar diariamente

procedimientos decontrol

Evaluar el controlsegún el Plan Auditor 

Organización de la seguridad de sistemas

Page 9: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 9/25

Metodologías de Evaluación de Sistemas: Conceptos Fundamentales

Ejemplo: inundación, incendio, robode datos, sabotaje, falta de

procedimientos de emergencia,divulgación de datos, gastos

incontrolados, etc.

Ejemplo: falta de control de accesológico, falta de control de versiones,

inexistencia de un control de soportesmagnéticos, falta de cifrado en las

telecomunicaciones, etc.

Ejemplo: es frecuente evaluar el impacto en términos económicos, aunqueno siempre lo es, como vidas humanas, imagen de la empresa, honor, etc.

Page 10: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 10/25

Metodologías de Evaluación de Sistemas: Tipos de Metodologías

Cuantitativas:

Basadas en un modelo matemático numérico que ayuda a la realización del trabajo.

 – Diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados valores numéricos. Éstos

valores en el caso de metodologías de análisis de riesgos o de planes de contingencias son datos de probabilidad de ocurrencia (riesgo)

de un evento, y que se deben extraer de un registro de incidencias donde el número de incidencias tienda a infinito o sea suficientemente

grande.

 – Debilidad de los datos (de la probabilidad de ocurrencia por los pocos registros de incidentes).

 – Imposibilidad de evaluar económicamente todos los impactos que puedan ocurrir.

Cualitativa/Subjetivas:

Basadas en el cr iterio y raciocinio humano capaz de definir un proceso de trabajo y seleccionar en base la experiencia acumulada.

 – Precisan de un profesional experimentado.

 – Requieren menos recursos humanos/tiempo que las metodologías cuantitativas.

Page 11: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 11/25

Metodologías de Evaluación de Sistemas: Metodologías más comunes

Las metodologías más comunes que podemos encontrar de evaluación de sistemas son de An An áálisis de Riesgos, las delisis de Riesgos, las de

Plan de contingencias y las de Auditor Plan de contingencias y las de Auditor íía Informa Informáática.tica.

Las siguientes metodologías tienen dos enfoques distintos:

• La Audi tor  Audi tor íía Informa Informááticatica: sólo identifica el nivel de exposición por la falta de controles.

• El An An áálisis de Riesgoslisis de Riesgos: facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de las mismas.

Las metodologías de análisis de riesgos se utilizan desde los años 70 en la industria del seguro basándose en grandes volúmenes

de datos estadísticos agrupados en tablas actuarias.

Se emplearon en Informática a los 80 y adolece del problema de que los registros estadísticos de incidentes son escasos y por tanto

el rigor científico de los cálculos probabilísticos es pobre. Aunque existen bases de incidentes en varios países, estos datos no son

muy fiables por varios motivos: la tendencia a la ocultación de los afectados, la localización geográfica, las distintas mentalidades, la

informática cambiante, que los riesgos se presentan en un período de tiempo solamente, etc.

Todas las metodologTodas las metodologíías existentes en seguridad de sistemas van encaminadas a estableas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado decer y mejorar un entramado de

contramedidas que garanticen que la probabili dad de que las amencontramedidas que garanticen que la probabil idad de que las amenazas se materialicen en hechos por la falta de cont rolazas se materialicen en hechos por la falta de control

sea lo msea lo máás baja posib le o al menos quede reducida de una forma razonables baja posib le o al menos quede reducida de una forma razonable en costoen costo -- beneficio.beneficio.

Page 12: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 12/25

Metodología de Análisis de Riesgos

EstEstáán desarrolladas para la identificacin desarrolladas para la identificacióón de la falta de controles y establecimiento de un plan de contr n de la falta de controles y establecimiento de un plan de contr amedidas.amedidas.Citamos algunas de ellas:

MARION – Método documentado en dos libros (La securité des reseaux-Methodes et Techniques)

 – Tiene dos productos:

MARION AP+ para sistemas individuales

MARION RSX para sistemas distribuidos y conectividad.

 – Método cuantitativo.

 – Basado en la encuesta anual de miembros del C.L.U.S.I.F. (base de incidentes francesa)

RISCKPAC – Métodologías pensadas para su aplicación en herramientas, la primera de ellas desarrollada por PROFILE ANALYSIS

CORPORATION instalada en cliente en 1984.

 – Enfoque cualitativo/subjetivo.

CRAMM – Desarrollada en 1985 y 1987 por BIS y CCTA (Central Computer & Telecomunication Agency Risk Analisis & Management

Method, Inglaterra).

 – Implantado en más de 750 organizaciones en Europa sobre todo en la Administración Pública. – Métodología cualitativa.

PRIMA (PREVENCIÓN DE RIESGOS INFORMÁTICOS CON METODOLOGÍA ABIERTA) – Desarrollada entre los años 1990 y la actualidad.

 – Adaptable a cualquier tipo de herramienta.

 – Enfoque subjetivo.

 – Contiene listas de ayuda y cuestionarios abiertos.

Page 13: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 13/25

Funcionamiento del software de análisis de riesgo

En bases a unos cuestionarios se identifican

vulnerabilidades y riesgos, se evalúa el impacto,

para más tarde identificar las contramedidas y el

coste. La siguiente etapa es la más importante que

mediante un juego de simulación (¿Qué pasa si..?)

Analizamos el efecto de las distintas contramedidas

en la disminución de los riesgos analizados,

eligiendo el plan de contramedidas (plan de

seguridad) que compondrá el informe final de la

evaluación.

Page 14: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 14/25

Plan de Contingencias

Es una estrategia planificada constituida por un conjunto de recEs una estrategia planificada constituida por un conjunto de recursos de respaldo, una organizaciursos de respaldo, una organizacióón de emergencia y unosn de emergencia y unos

procedimientos de actuaciprocedimientos de actuacióón, encaminada a conseguir una restauracin, encaminada a conseguir una restauracióón progresiva yn progresiva y áágil de los servicios de negocio afectados porgil de los servicios de negocio afectados por

una paralizaciuna paralizacióón total o parcial de la capacidad operativa de la empresa.n total o parcial de la capacidad operativa de la empresa.

Esta estrategia materializada en un manual es el resultado de todo un proceso de análisis y definiciones que es lo que da lugar a las

Metodologías.

El concepto a considerar es la continuidad del negociocontinuidad del negocio, es decir todo lo que puede paralizar la actividad y producir pérdidas. Todo lo

que no considere este criterio no será nunca un plan de contingencias.

Page 15: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 15/25

Plan de Contingencia

FASES DE UN PLAN:FASES DE UN PLAN:

I ) AnI ) Anáálisis y diselisis y diseñño:o:

Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo y se analiza el costo-beneficio de las mismas.Esta es la fase más importante pudiendo llegarse al final de la misma incluso a la conclusión de que no es viable o es muy costososu seguimiento.

En la forma de desarrollar esta fase se distinguen dos familias metodológicas:

Risck Analisis: se basan en el estudio de los posibles riesgos desde el punto de vista de probabilidad de que los mismos sucedan(registros de incidentes escasos y poco fiables).

Bussines Impact: se basan en el estudio del impacto (pérdida económica o de imagen) que ocasiona la falta de algún recurso delos que soporta la actividad del negocio.

II ) Desarrollo del plan:II ) Desarrollo del plan:

Se desarrolla la estrategia seleccionada, implantándose hasta el final todas las acciones previstas.Se definen las distintas organizaciones de emergencia y se desarrollan los procedimientos de actuación generando así la

documentación del plan.

III ) Pruebas y mantenimiento:III ) Pruebas y mantenimiento:

Se definen las pruebas (sus características y ciclos)Comprobación del trabajo realizado: primera pruebaConcienciación al personal implicado (mentalización)Además se define: la estrategia de mantenimiento, la organización destinada a ello y la normativa y procedimientos necesarios parallevarlo a cabo.

Page 16: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 16/25

Metodologías de Auditoría Informática:

 Audi tor  Audi tor íía de controles generales:a de controles generales: como producto estándar de las compañías auditoras profesionales, que son una homologación

de las mismas a nivel internacional.

• Su objetivo es dar una opinión sobre la fiabilidad de los datos del ordenador para la auditoría financiera.

• El resultado externo es un escueto informe como parte del informe de auditoría donde se destacan las vulnerabilidades

encontradas.

• Basadas en pequeños cuestionarios estándares, que dan como resultado informes muy generalistas. Tienen

apartados para definir “pruebas” y anotar sus resultados que las diferencia de las metodologías de análisis de riesgos.

MetodologMetodologíías de los auditores internos:as de los auditores internos:

Debe ser diseñada y desarrollada por el propio auditor y ésta será la significación de su grado de experiencia y habilidad.

• El auditor informático necesita de una larga experiencia tutelada y una gran formación tanto auditora como informática.

• El esquema metodológico del auditor está definido por el Plan auditor.

Page 17: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 17/25

Plan auditor informático

Es el esquema metodolEs el esquema metodolóógico mgico máás importante del auditor informs importante del auditor info rmáático. En este documento se debe escribir todo sobre estatico. En este documento se debe escribi r todo sobre esta

funcifuncióón y el trabajo que realiza en la entidad. Debe estar en sin tonn y el trabajo que realiza en la entidad. Debe estar en sin ton íía con el plan auditor del resto de los audito res de laa con el plan auditor del resto de los audito res de la

entidad.entidad.

Las partes de un plan auditor informático deber ser al menos las siguientes:

•• Funciones:Funciones: ubicación de la figura en el organigrama de la empresa. Debe existir una clara segregación de funciones con la

Informática y de control interno informático. Deben describirse las funciones de forma precisa y la organización interna del

departamento con todos sus recursos.

•• Procedimientos para las distin tas tareas de las auditor Procedimientos para las distintas tareas de las auditor ííasas :: procedimientos de apertura, entrega y discusión de debilidades,

entrega de informe preliminar, cierre de auditoría, redacción de informe final, etc.

•• Tipos de auditor Tipos de auditor íías que realiza:as que realiza: metodologías y cuestionarios de las mismas. Existen tres tipos de auditorías según su alcance:

Full o completa de un área (Ejemplo: control interno, informática)

Limitada a un aspecto (Ejemplo: una aplicación, la seguridad lógica, el software de base, etc)

Corrective Action Review (CAR) que es la comprobación de acciones correctivas de auditorías anteriores.

Page 18: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 18/25

Plan auditor informático

•• Sistemas de evaluaciSistemas de evaluacióónn y los distintos aspectos que evaly los d istintos aspectos que evalúúaa (como nivel de gestión económica, gestión de recursos humanos,

cumplimiento de normas, etc y realizar una evaluación global de resumen para toda la auditoría. Esta evaluación suele hacerse en

tres niveles: bien, regular o mal, significando la visión de grado de gravedad. Esta evaluación final nos servirá para definir la fecha

de repetición de la misma auditoría en el futuro según el nivel de exposición que se le haya dado a este tipo de auditoría en

cuestión.

•• Nivel de exposiciNivel de exposicióónn (un número del 1 al 10 definido subjetivamente y que me permite en base a la evaluación final de la última

auditoría realizada sobre ese tema definir la fecha de la repetición de la misma auditoría.

•• Seguimiento de las acciones correctoras.Seguimiento de las acciones correctoras.

•• Plan de trabajo anualPlan de trabajo anual deben estimarse tiempos de manera racional y componer un calendario que una vez terminado me dará un

resultado de horas de trabajo previstas y por tanto los recursos que se necesitarán.

Page 19: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 19/25

Herramientas para la audi toría de los SI

 Algunos ejemplos de CAAT

CAAT (Computer Assisted Audit Tools) algunos ejemplos de productos y empresas:

ACL, IDEA, Symantec y Computer Associates

ACL e IDEA herramientas canadienses más conocidas en el mercado profesional:

ACL es una herramienta basada en comandos orientado a usuarios con mayor nivel de conocimientos técnicos.

http://www.acl.com/Default.aspx

(Grupo BIMBO – Material de consulta: www.acl.com/customers/success_stories.aspx

IDEA es una herramienta intuitiva orientado a usuarios finales no técnicos.

http://www.caseware.com/products/idea

Herramientas gratuitas:

http://www.bsa.org/country/Tools%20and%20Resources/Free%20Software%20Audit%20Tools.aspxHerramientas de auditoría gratuitas diseñadas para ayudarle a auditar, identificar y rastrear software licenciado y no-licenciado instalado en suscomputadoras y servidores. Las auditorías son un componente clave de cualquier programa de software asset management (gestión del software).

Page 20: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 20/25

La Evidencia

La evidencia en la Audi tor La evidencia en la Audi tor íía Informa Informáática es la base razonable de la opinitica es la base razonable de la opini óón del Auditor, esto es el Informe de Auditor n del Audi tor, esto es el Informe de Auditor íía Informa Informáática.tica.

La evidencia que debe obtener el auditor consiste en una amplia gama de informaciinformacióón y datos que lo puedan ayudar a elaborar su informen y datos que lo puedan ayudar a elaborar su informe

final.final.

La evidencia tiene una serie de calificativos:La evidencia tiene una serie de calificativos:

La evidencia relevanteLa evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.

LaLa evidencia fiableevidencia fiable, que es válida y objetiva.

LaLa evidencia suficienteevidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.

LaLa evidencia adecuadaevidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.

Page 21: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 21/25

Los Papeles de Trabajo

Se conoce como papeles de trabajo ““ la totalidad de los documentos preparados o recibidos por el audla totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto,itor, de manera que, en conjunto,

constituyen un compendio de la informaciconstituyen un compendio de la informacióón util izada y de las pruebas efectuadas en la ejecucin util izada y de las pruebas efectuadas en la ejecuc ióón del trabajo con las decisiones que han del trabajo con las decisiones que ha

debido tomar para llegar a formarse su opinidebido tomar para llegar a formarse su opini óón.n.””

La documentación además de fuentefuente know howknow how del Auditor Informdel Auditor Informááticotico para trabajos posteriores así como para poder realizar su gestión interna de

calidad, es fuente en algunos de casos en los que la corporacifuente en algunos de casos en los que la corporacióón profesional puede realizar un control de calidad o hacerlo algn profesional puede realizar un control de calidad o hacerlo algúún organismo oficial. Losn organismo oficial. Los

papeles de trabajo pueden llegar a tener valor en los Tribunalespapeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.de Justicia.

Objetivos de los Papeles de Trabajo:Objetivos de los Papeles de Trabajo:

• Proporcionar la información básica y fundamental necesaria para realizar la planeación, organización y desarrollo de todas las etapas del proceso de

auditoría.

• Respaldar la opinión del auditor permitiendo realizar un examen de supervisión y proporcionando los informes suficientes y necesarios que serán

incluidos en el informe de auditoría, además sirve como evidencia en caso de presentarse alguna demanda.

• Permiten establecer un registro histórico disponible permanentemente en caso que se presente algún requerimiento.

• Servir como referencia para posteriores auditorías.

• Servir de puente entre el informe de auditoría y las áreas auditadas.

Page 22: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 22/25

Informe de Auditoría Informática – Esquema y Contenido

ElEl Informe de Auditor Informe de Audito r íía Informa Informááticatica es la comunicacies la comunicacióón formal del Auditor al cliente, tanto del alcance de la auditor n formal del Auditor al cliente, tanto del alcance de la auditor íía (objetivos, per a (objetivos, per ííodoodo

de cobertura, naturaleza y extenside cobertura, naturaleza y extensióón del trabajo realizado) como de los resultados y conclusiones.n del trabajo realizado) como de los resultados y conclusiones.

En lo referente a su redacciredaccióón el informe debe ser claro, adecuado, suficiente y comprensiblen el informe debe ser claro, adecuado, suficiente y comprensible..

Aunque no existe un formato vinculante, existen esquemas recomendados con los requisitos mrequisitos míínimos aconsejables respectonimos aconsejables respecto aa

estructura y contenido:estructura y contenido:

1. IdentificaciIdentificacióón del informe:n del informe: el título del informe deberá identificarse con objeto de distinguirlo de otros informes.

2. IdentificaciIdentificacióón del cliente:n del cliente: deberán identificarse a los destinatarios y a las personas que efectúen el encargo.

3. IdentificaciIdentificacióón de la entidad auditada:n de la entidad auditada: es decir de la entidad objeto de la auditoría informática.

4. Objetivos de la Auditor Objetivos de la Auditor íía Informa Informáática:tica: para identificar su propósito, señalando los objetivos incumplidos.

5. Normativa aplicada y excepcionesNormativa aplicada y excepciones: normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el

posible impacto en los resultados de la auditoría.

6. Alcance de la Auditor  Alcance de la Auditor ííaa: naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de

información, señalando limitaciones al alcance y restricciones del auditado.

7. Conclusiones:Conclusiones: Informe corto de opinión; debe contener uno de los siguientes tipos de opinión: favorable o sin salvedades, con

salvedades, desfavorable o adversa y denegada.

Page 23: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 23/25

Informe de Auditoría Informática – Esquema y Contenido

8. Resultados:Resultados: Informe largo y otros informes; los usuarios desean saber más y desean transparencia como valor añadido. El límite lo

marcan los papeles de trabajo o documentación de la Auditoría Informática, pero existen aspectos a tener en cuenta: el secreto de la

empresa, el secreto profesional, etc.

9. Fecha del InformeFecha del Informe: es importante no sólo por la cuantificación de honorarios y el cumplimiento con el cliente, sino para conocer la

magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusión del trabajo de campo, incluso la del cierre del

ejercicio, si es que se está realizando un Informe de Auditoría Informática como herramienta de apoyo a la Auditoría de Cuentas.

10. IdentificaciIdentificacióón y firma del Auditor n y firma del Auditor : Este aspecto es formal del informe, es esencial tanto si es individual como si forma parte de una

sociedad de auditoría, que deberá corresponder a un socio o socios legalmente así considerados.

11. DistribuciDistribucióón del Informen del Informe: En el contrato o en la carta propuesta del Auditor Informático, deberá definirse quién o quienes podrán

hacer uso del informe así como los usos concretos que tendrá, pues los honorarios deberán guardar relación directa con la

responsabilidad civil.

Page 24: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 24/25

Informe de Auditoría Informática

• Las recomendaciones deben ser razonables, verificables, interesantes económicamente y adecuadas al tamaño de la organización.

• Debe tener un tono constructivo. Si es apropiado se anotan los puntos fuertes.

• El lenguaje util izado debe contener un mínimo de términos técnicos.

• Para su distribución se debe preparar un resumen del informe.

• Después de la revisión del informe final con los responsables del área revisada se debe distribuir a las otras personas autorizadas.

• El área tiene la posibilidad de aceptar o rechazar cada punto de control. Todos los puntos rechazados se explicarán por escrito. El

área acepta los riesgos implícitos de la debilidad encontrada por el auditor.

• Se debe hacer un seguimiento de la implantación de las recomendaciones, para asegurarse que el trabajo de revisión produce

resultados concretos. (Auditoría Interna)

Page 25: Metodologias Heramientas

7/21/2019 Metodologias Heramientas

http://slidepdf.com/reader/full/metodologias-heramientas 25/25

Fuente:

 Audi toría de Tecnologías y Sistemas de Información, Mario Piattini Velthuis, Emilio del Peso Navarro, Mar del Peso Ruiz.

 Audi toría Informática – Un enfoque práctico, Mario Piattini Velthuis, Emilio del Peso Navarro.