UNIDAD IV.- METODOLOGÍAS PARA LA AUDITORIA DE SISTEMAS En las auditorias se pueden definir muchas etapas diferentes, más o menos detalladas según el criterio de cada auditor, a continuación, comento algunas que me parecen que no pueden dejar de estar al momento de llevar adelante un trabajo de auditoría. METODOLOGÍA 1:

1.-Exploración La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoria con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos. Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar. También posibilita valorar el grado de fiabilidad del control interno, así como que en la etapa de planeamiento se elabore un plan de trabajo más eficiente y racional para cada auditor, lo que asegura que la Auditoría habrá de realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena medida, el éxito de su ejecución. En la entidad se deben efectuar entrevistas con los principales dirigentes con el propósito de explicarles el objetivo de la Auditoría, y conocer o actualizar en detalle los datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la actividad que desarrolla, flujo de la producción o de los servicios que presta y, otros antecedentes imprescindibles para un adecuado planeamiento del trabajo a ejecutar. 2.- Planeamiento El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer. Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia, eficacia y prontitud debidas.

Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la información obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploración, el jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para alcanzar los objetivos de la Auditoría. Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar la necesidad de personal de acuerdo con los elementos de que dispone. Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría, el que se debe recoger en un documento que contenga como mínimo:

➢ Definición de los temas y las tareas a ejecutar. ➢ Nombre del o los especialistas que intervendrán en cada una de ellas. ➢ Fecha prevista de inicio y terminación de cada tarea. Se considera desde la

exploración hasta la conclusión del trabajo. Igualmente se confecciona el plan de trabajo individual de cada especialista, considerando como mínimo:

➢ Nombre del especialista. ➢ Definición de los temas y cada una de las tareas a ejecutar. ➢ Fecha de inicio y terminación de cada tarea.

Cualquier ampliación del término previsto debe estar autorizada por el supervisor u otro nivel superior; dejando constancia en el expediente de Auditoría. Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el individual de cada especialista, pueden incluirse en un solo documento en atención al número de tareas a ejecutar, cantidad de especialistas subordinados, etc. 3.- Supervisión El propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de la Auditoría y la calidad razonable del trabajo. Una supervisión y un control adecuados de la Auditoría son necesarios en todos los casos y en todas las etapas del trabajo, desde la exploración hasta la emisión del informe y su análisis con los factores de la entidad auditada. Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas. Una supervisión adecuada debe asegurar que:

➢ Todos los miembros del grupo de Auditoría han comprendido, de forma clara y satisfactoria, el plan de Auditoría, y que no tienen impedimentos personales que limiten su participación en el trabajo.

➢ Se sigue el plan de Auditoría elaborado al efecto y se aplican los procedimientos previstos, considerando las modificaciones autorizadas.

➢ Los papeles de trabajo contengan evidencias que sustenten correctamente los señalamientos en el informe final.

➢ En el informe final de la Auditoría se expongan las conclusiones, detalles y recomendaciones que se consideren pertinentes de acuerdo con los resultados de las revisiones efectuadas.

La supervisión tiene normalmente dos niveles de ejecución: el que corresponde al que se realiza sistemáticamente por el jefe de grupo y el que acomete el funcionario designado como supervisor.

4.- Ejecución El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión del auditor actuante. 5.- Informe En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado. Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras instancias administrativas, así como a las autoridades que correspondan, cuando esto proceda. El informe parte de los resúmenes de los temas y de las Actas de Notificación de los Resultados de Auditoría (parciales) que se vayan elaborando y analizando con los auditados, respectivamente, en el transcurso de la Auditoría. La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección. El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones para facilitar al lector una rápida ubicación del contenido de cada una de ellas. El informe de Auditoría debe cumplir con los principios siguientes:

➢ Que se emita por el jefe de grupo de los auditores actuantes. ➢ Por escrito. ➢ Oportuno. ➢ Que sea completo, exacto, objetivo y convincente, así como claro, conciso y

fácil de entender. ➢ Que todo lo que se consigna esté reflejado en los papeles de trabajo y que

responden a hallazgos relevantes con evidencias suficientes y competentes. ➢ Que refleje una actitud independiente. ➢ Que muestre la calificación según la evaluación de los resultados de la

Auditoría. ➢ Distribución rápida y adecuada.

6.- Seguimiento En esta etapa se siguen, como dice la palabra, los resultados de una Auditoría, generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoria.

METODOLOGÍA 2:

FASE I.- PLANEACIÓN Y DOCUMENTACIÓN:

Las auditorías deberán planearse adecuadamente para asegurarse de que se cumplan sus objetivos, y de que las revisiones se efectúen conforme a la normatividad aplicable, con la debida oportunidad, eficiencia y eficacia. Planear la auditoría implica determinar y plasmar en un programa de trabajo el ente y rubro por auditar; el alcance y objetivos de la revisión; la naturaleza, extensión y oportunidad de los procedimientos que se aplicarán; el personal que debe intervenir en el trabajo: y el tiempo estimado para cubrir o realizar cada fase de la auditoría. Este programa de trabajo deberá revisarse durante la auditoría y, en caso necesario, deberá ser modificado. La planeación comprenderá normalmente lo siguiente:

a) Reunir información sobre el ente en revisión y su organización con el fin de determinar los riesgos y valorar la importancia relativa. b) Definir los objetivos y el alcance de la evaluación. c) Efectuar un estudio preliminar del sistema de control interno para determinar su efectividad, deficiencias y la selección de la muestra a revisar. d) Asignar prioridades a las áreas o materias por revisar, de acuerdo con su importancia y nivel de riesgo. e) Determinar la naturaleza, extensión y oportunidad de los procedimientos de auditoría que habrán de aplicarse. f) Establecer los requerimientos de personal y elaborar el Programa Específico de

Auditoría.

FASE II.- ARCHIVO PERMANENTE El archivo permanente constituye un legajo o expediente especial en que se concentran los documentos relativos a los antecedentes, constitución, organización, operación, normatividad jurídica del ente auditar. Esta información, debidamente actualizada, servirá como instrumento de referencia y consulta en varias auditorías. La integración del archivo permanente se iniciará en la etapa de planeación de la auditoría, cuando se obtenga información general sobre la dependencia, órgano descentralizado o entidad por auditar (organización, funciones, marco legal, sistemas de información y control, etc.). El archivo permanente se actualizará con la información que se obtenga al ejecutar una auditoría o al dar seguimiento a las recomendaciones correspondientes. FASE III.- EVALUACIÓN DEL CONTROL INTERNO Se deberá evaluar el sistema de control interno para determinar la naturaleza, alcance y oportunidad de los procedimientos que habrán de aplicarse para lograr el objetivo de la auditoría. En el estudio y evaluación del sistema de control interno se examinarán principalmente

los controles que contribuyan la salvaguarda de los recursos, la exactitud y

confiabilidad de los registros y la observancia de la normatividad aplicable. El alcance y profundidad del estudio y evaluación del sistema de control interno permitirán orientar los objetivos de la auditoría y la confiabilidad de dicho sistema. Evidencia de Auditoría Todos los resultados y recomendaciones de la auditoría deberán sustentarse en evidencia suficiente y competente. La evidencia obtenida en la auditoría deberá documentarse debidamente en los papeles de trabajo, principalmente con el objeto de:

➢ Contar con una fuente de información para sustentar los informes de auditoría y, en su caso, efectuar aclaraciones con el ente auditado u otras partes interesadas.

➢ Verificar que se hayan observado las normas de auditoría y demás normatividad aplicable.

➢ Facilitar la planeación, ejecución y supervisión de la auditoría. ➢ Dejar constancia del trabajo realizado para futura consulta y referencia.

FASE IV.- ANÁLISIS DE RIESGOS Y CONTROLES Vulnerabilidades o puntos débiles de la información

Análisis de Riesgo Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser aprovechadas por amenazas, provocando impactos en los negocios de la organización. El proceso de análisis busca identificar los riesgos a los cuales los activos se encuentran expuestos. El primer paso en el análisis de riesgos es identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información. Esto permite la realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente. De esta forma se puede realizar un plan estratégico basado en la importancia y el impacto de las acciones que beneficien la seguridad de la información de la compañía. Surge principalmente por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones. Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, - qué tan importante es para el negocio en comparación con el resto de los activos de la empresa - para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario aplicando la relación costo-beneficio. Como tercer paso se debe realizar un análisis técnico de seguridad para recolectar la información sobre la forma en que los activos: fueron configurados, la estructura en la red de comunicación, y la forma en que son administrados por sus responsables. Al

realizar el estudio técnico y como cuarto paso se debe hacer un análisis de seguridad física para identificar en el entorno físico las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. En este punto están incluidos el factor humano responsable de la manipulación y uso de la información, las posibilidades de acceso y su correcto uso. Una vez realizados los cuatro pasos se cuenta con la información y las herramientas necesarias para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno en general. A partir de este momento es posible establecer políticas de orden preventivo, correctivo, y de detección para la corrección de los problemas ya detectados, que garanticen que las vulnerabilidades encontradas en el estudio no se conviertan en amenazas . Ámbitos del análisis de riesgos.

GESTIÓN DE RIESGOS Al iniciar las actividades de una empresa sus directivos o dueños deben tener en cuenta que el riesgo estará presente en todo momento de su desarrollo, debido a diferentes factores como lo son: intensos cambios del entorno, la intensificación de la competencia, las reducciones de las barreras de entrada, y obviamente la parte tecnológica que va avanzando a pasos agigantados. Para minimizar estos diferentes factores es que hace un tiempo se viene incorporando a las entidades la “Gestión de Riesgo", la que en nuestro país no está implantada en todos los sectores. La Gestión de Riesgos es un proceso efectuado por el Consejo de administración de una entidad, su dirección y todo su restante personal, diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. CLASES DE RIESGOS

➢ Riesgos de relación: Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información para la toma de decisiones.

➢ Riesgos de utilidad: Estos riesgos se enfocan en tres diferentes niveles de riesgo: · Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.

CONTROLES: Son el conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza

conforme a los programas adoptados, órdenes impartidas y principios admitidos.

FASE V.- SELECCIÓN DE TÉCNICAS Y HERRAMIENTAS DE AUDITORIA DE SISTEMAS Las técnicas son los procedimientos que se usan en el desarrollo de un proyecto de auditoría informática. Estas son algunas de las técnicas más comunes y aceptadas: • Análisis y diseño estructurado • Gráficas de Pert • Gráficas de Gantt • Documentación • Programación estructurada • Modulación de datos y procesos • Entrevistas Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas, checklist, trazas y software de interrogación. FASE VI. - PROGRAMA DE AUDITORIA El equipo de Auditoría elabora un programa específico de auditoría por cada revisión comprendida en el Programa General de Auditoría: Todos los programas específicos serán firmados por el director de Área respectivo. En dichos programas se indica lo siguiente: ente, sistema por auditar; clave de la auditoría, fechas de inicio y término, tipo, objetivo y fases; fechas de inicio y término de cada fase; cantidad de días requeridos; nombres de los participantes, líder del proyecto y total de días de la revisión. Por lo anterior, el Programa Específico de Auditoría se integra conforme a una secuencia lógica, acorde con las fases de la revisión, y en él, se indica la oportunidad y el tiempo requerido para llevarlo a cabo. Para designar al personal que llevará cabo los trabajos de planeación, se tomará en cuenta el grado de experiencia y capacidad profesional de los auditores que participarán en la revisión, se fijarán las cargas de trabajo de modo que no resulten excesivas para el personal ni le permitan permanecer ocioso, y se determinarán los recursos técnicos y materiales requeridos. La planeación de la auditoría no debe tener un carácter rígido. El auditor debe estar preparado para modificar el programa de trabajo cuando en el desarrollo de éste se encuentre con circunstancias no previstas, y cuando los resultados del trabajo hagan

necesario variar o ampliar el programa establecido previamente. Por tanto, la planeación no debe entenderse únicamente como una etapa inicial anterior a la ejecución del trabajo, sino que debe continuar durante el desarrollo de la auditoría. FASE VII.- PRUEBAS Y PAPELES DE TRABAJO Los papeles de trabajo son el conjunto de documentos que contienen la información obtenida por el auditor en su revisión, así como los resultados de los procedimientos y pruebas de auditoría aplicados; con ellos se sustentan las observaciones, recomendaciones, opiniones y conclusiones contenidas en el informe correspondiente. Los papeles de trabajo cumplen principalmente los siguientes objetivos:

➢ Registrar de manera ordenada, sistemática y detallada los procedimientos y actividades realizados por el auditor.

➢ Documentar el trabajo efectuado para futura consulta y referencia. ➢ Proporcionar la base para la rendición de informes. ➢ Facilitar la planeación, ejecución, supervisión y revisión del trabajo de

auditoría. ➢ Minimizar esfuerzos en auditorías posteriores. ➢ Dejar constancia de que se cumplieron los objetivos de la auditoría y de que

el trabajo se efectuó de conformidad con las Normas de Auditoría y demás normatividad aplicable.

➢ Estudiar modificaciones a los procedimientos y al programa de auditoría para próximas revisiones.

PRUEBAS Con base en el resultado del examen y evaluación del sistema de control interno, se determinarán la naturaleza, alcance y oportunidad de las pruebas que se aplicarán para la obtención de evidencia apropiada. Las cuales pueden ser: Pruebas clásicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realización de estas pruebas. Pruebas de cumplimiento son los procedimientos que un auditor aplica para recabar evidencia de que el sistema de control interno funciona o no, la cual servirá de apoyo para emitir una evaluación final. Pruebas sustantivas: Aportan al auditor informático suficientes evidencias para que se pueda realizar un juicio imparcial. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifica asimismo la exactitud, integridad y validez de la información obtenida.

FASE VIII. EVALUACIÓN DE HALLAZGOS En el apartado de resultados, se exponen los hallazgos que resultan de aplicar pruebas de auditoría, se formulan las recomendaciones y, en su caso, la promoción de acciones correspondientes. Los resultados de auditoría deberán ser relevantes en cuanto a monto, incidencia, objetivos y metas del sujeto a revisión, y habrán de ser congruentes con el objetivo y el alcance de la revisión correspondiente, conforme a las leyes, reglamentos, decretos, acuerdos y demás normatividad aplicable al ente auditado. En los resultados, no se deben incluir descripciones largas y detalladas, ya que el lector perderá la visión del conjunto, además, los comentarios no le servirán para formarse un criterio objetivo sobre una situación específica. Para precisar un resultado de auditoría, es necesario que el auditor identifique los siguientes atributos: 1. Criterio 2. Condición 3. Causa 4. Efecto 5. Recomendación Cuando estos atributos no se identifican claramente, el resultado se convierte en un conjunto de datos sin sentido que poco o nada aportan al informe de auditoría. En cambio, si los atributos se precisan, el lector del informe de auditoría comprenderá la posición asumida por los auditores. FASE IX. INFORME DE AUDITORIA Al término de cada auditoría, deberá presentarse el informe correspondiente, en el cual deberán exponerse todos los resultados y recomendaciones que deban

3. CAUSA

Origen de la condición

(acción u omisión que origina

la observación o resultado;

puede derivarse de una

deficiencia de control

ATRIBUTOS DE LOS

HALLAZGOS DE AUDITORÍA

1. CRITERIO Lo que debería ser

(según leyes,

reglamentos, decretos, acuerdos, manuales,

procedimientos, prácticas recopiladas en

descriptivas, normas aplicables, etc.)

2. CONDICIÓN Lo que es

(representado por la

observación o resultado)

4. EFECTO La diferencia y significado entre lo que es y lo

que debería ser (consecuencia

financiera o administrativa)

5. RECOMENDACIÓN Acciones necesarias

para prevenir y corregir la causa (para evitar

la recurrencia de deficiencias y la

inobservancia de normas)

comunicarse. La información deberá sustentarse en evidencia suficiente y competente, y presentarse con toda independencia, objetividad e imparcialidad. Los informes deberán contener como mínimo:

1. Los antecedentes que determinaron la revisión.

2. El objetivo y alcance de la revisión.

3. En su caso, las circunstancias que hayan limitado el alcance de la revisión.

4. Los resultados de la revisión.

5. Las recomendaciones que procedan como resultado de la auditoría. Los informes de auditoría deberán estar sustentados en evidencia suficiente, competente y pertinente de los hechos observados; su redacción habrá de ser clara, concisa y precisa, de acuerdo con las Normas y Criterios para la Redacción de Informes, el Procedimiento para la Revisión y Autorización del Informe Final de Auditoría, la Guía para la Presentación de Informes y la Guía para la Confronta de Resultados de Auditoría. METODOLOGÍA 3:

Fase I: Conocimientos del Sistema: Aspectos Legales y Políticas Internos. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Características del Sistema Operativo. Organigrama del área que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditoría realizadas anteriormente Características de la aplicación de computadora Manual técnico de la aplicación del sistema Funcionarios (usuarios) autorizados para administrar la aplicación Equipos utilizados en la aplicación de computadora Seguridad de la aplicación (claves de acceso) Procedimientos para generación y almacenamiento de los archivos de la aplicación. Fase II: Análisis de transacciones y recursos: Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos

en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. Análisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. Análisis de los recursos Identificar y codificar los recursos que participan en el sistema Relación entre transacciones y recursos. Fase III: Análisis de riesgos y amenazas: Identificación de riesgos Daños físicos o destrucción de los recursos Pérdida por fraude o desfalco Extravío de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupción de las operaciones del negocio Pérdida de integridad de los datos Ineficiencia de operaciones Errores .Identificación de las amenazas sobre los equipos, sobre documentos fuente, sobre programas de aplicaciones Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento. Fase IV: Análisis de controles: Los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles administrativos Fase V: Evaluación de Controles: Objetivos de la evaluación, Verificar la existencia de los controles requeridos, Determinar la operatividad y suficiencia de los controles existentes, Plan de pruebas de los controles, Incluye la selección del tipo de prueba a realizar. Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. Pruebas de controles Análisis de resultados de las pruebas. Fase VI: El Informe de auditoría: Informe detallado de recomendaciones, Evaluación de las respuestas, Informe resumen para la alta gerencia. Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. Fase VII: Seguimiento de las Recomendaciones Informes del seguimiento Evaluación de los controles implantados METODOLOGÍA 4:

4.1 Estudio preliminar

Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios.

4.2 Revisión y evaluación de controles y seguridades

Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, Revisión de procesos históricos, Revisión de documentación y archivos, entre otras actividades.

4.3 Examen detallado de áreas críticas

Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

4.4 Comunicación de resultados

Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría • Objetivos • Alcance

• Estructura Orgánico-Funcional del área informática Configuración del Hardware y software instalado

• Opinión: con relación a la suficiencia del control interno del sistema evaluado

• Hallazgos

• Recomendaciones