INFORME DE AUDITORIA DE SISTEMAS 1. DEFINICION:

Transcripción

1 INFORME DE AUDITORIA DE SISTEMAS 1. DEFINICION: La elaboración del informe de auditoría sistemas es el punto final del proceso de captación y tratamiento de la información obtenida del sistema auditado. Esta información ha de ser suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un diagnóstico y realizar unas recomendaciones. 2. CARACTERISTICAS DEL INFORME DE AUDITORIA DE SISTEMAS En la relación del informe,el auditor señala los resultados de su investigación,sus evaluaciones, hallazgos, aportaciones y conclusiones sobre el trabajo realizado; también,también señala las técnicas,herramientas,métodos y procedimientos que utilizo en la obtención de datos,las observaciones e interpretaciones de los fenómenos y hecho evaluados que le sirvieron de sustento en la elaboración de documentos de situaciones encontradas o relevantes que informa, así como todas las demás aportaciones con las cuales da su sello personal al informe presentado. Evidentemente,el informe de una auditoria de sistemas computacionales es producto de la experiencia y conocimientos del auditor que lo presenta ;por esta razón, además de servir para señalar las observaciones, desviaciones y resultados encontrados,este documento también sirve para que el auditor exhiba los conocimientos,técnicas y procedimientos que utilizo para evaluar el área de sistemas,asimismo, en su redacción muestra su forma de ser y de actuar profesionalmente,así como su cultura. De hecho, esto también se juzga en la presentación del informe de auditoria; no solo el resultado, sino quien y como lo presenta.por eso es muy importante conocer las características fundamentales de la elaboración del informe de la auditoria. Para contribuir a incrementar la calidad en la presentación del informe de auditoria,misma que se puede hacer extensiva a cualquier otro tipos de trabajo profesionales,e incluso personales o escolares,a continuación presentamos algunas de la principales características de la redacción del informe de auditoria,las cuales ayudaran al auditor de sistemas computacionales a mejorara su elaboración. 2.1 CARACTERISTICAS FUNDAMENTALES:

2 Inicialmente, se pueden identificar dos características fundamentales en los informes de auditoria de sistemas, las cuales siempre se refieren al contenido del informe y a la forma de presentarlo; dichas características son las siguientes A. Característica de fondo. Estas características se refieren al cuidado que debe tener el auditor de sistemas al revisar que el contenido total del informe de auditoria sea acorde con lo que realmente tiene que señalar acerca de la revisión efectuada, refiriéndose exclusivamente al contenido del informe; para ello debe tomar e cuenta los siguientes aspectos: * Que la información que contiene el documento sea veraz, confiable y oportuna y sin distorsiones ni tendencias que demeriten el trabajo realizado. * Que el uso de la terminología sea exacto y objetivo, para que se entiendan e interpreten las desviaciones reportadas tal y como se quisieron plasmar. * Que el contenido del informe sea congruente con lo observado, sin inventar, distorsionar o modificar lo encontrado en la evaluación. * Que permita mostrar la situación real del área auditada, a fin de identificar y solucionar lo encontrado en la evaluación. * Que permita mostrar, con su simple lectura, la situación real del área auditada, a fin de solucionar la problemática señalada. * Que su contenido abarque todo lo que se debe informar del área auditada, sin abundar en explicaciones inútiles, pero sin ser parco en lo que se presenta.

3 * Que el lector capte inmediatamente la problemática que reporta el auditor, así como la opinión que plasma respecto al funcionamiento del área de sistemas o de sistemas auditados. B. Característica de forma. Se refiere a la manera en que el auditor debe presentar el informe, en cuanto al estilo de redacción, contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra, ortografía, sintaxis, gramática y demás componentes del lenguaje, y en si de todo lo relacionado con la presentación del documento. Al redactar dicho informe, el auditor debe considerar los siguientes aspectos: Que esté redactado en forma concisa, clara, sencilla y amena, sin exceso de tecnicismo, pero sin omitirlos cuando sean necesarios, a fin de que su lectura sea comprensible. Que al redactarlo se eviten la redundancia, repeticiones y reiteraciones inútiles que solo abultan y entorpecen la lectura. Que la forma de presentar el informe sea profesional, mecanografiado en forma impecable y con el contenido exacto que debe este tipo de documentos. Que su redacción sea impecable en cuanto ortografía y puntuación Que el contenido sea acorde a las necesidades y exigencias de la empresa auditora 2.2 CARACTERISTICAS DE LA PRESENTACION DEL INFORME Claridad Confiabilidad

4 Propiedad Concisión Sencillez Acertividad Ilación Tono y fuerza Oportunidad Exactitud Imparcialidad Objetividad Congruencia Familiaridad Veracidad

5 Efectividad Positividad 2.3 CARACTERISTICAS IMPORTANTES PARA EL LECTOR DEL INFORME DE AUDITORIA Que el informe tenga familiaridad Que el contenido del informe sea coloquial Que el contenido del informe sea variado Que se entregue y comente oportunamente Que su lectura sea sencilla Que su contenido esté fundamentado Que su redacción sea clara Que la información contenida sea contundente Que este redactado en un estilo impersonal Que su contenido esté sintetizado

6 Que su contenido sea ameno y entendible Que sea enfático en las situaciones reportadas 3. PROCEDIMIENTOS PARA ELABORAR EL INFORME DE AUDITORIA DE SISTEMAS En el informe de auditoría se reportan las situaciones encontradas durante la evaluación pero también se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Sin embargo la elaboración del informe, el cual es el punto más importante de la auditoria de sistemas, es uno de los aspectos más difíciles para los auditores debido a que requiere procedimientos complicados, propios de las auditorias los cuales se tienen que llevar a cabo mediante una secuencia como lo que se propone en la figura. En ella se describe un ordenamiento general de realización del informe el cual va desde la aplicación de los instrumentos de recopilación hasta la presentación del informe a los directivos de la empresa. Está claro que el producto final y el más importante de una auditoria de sistemas es la elaboración correcta del informe, ya que en este se presentan los resultados obtenidos durante la evolución de la gestión administrativa del centro de cómputo o de cualquier otro aspecto relacionado con los sistemas. 3.1 PASOS PARA ELABORAR DICHO INFORME SE COMPONE DE: Aplicar instrumentos de recopilación

7 De acuerdo con el programa para la auditoria de sistemas, el auditor aplica los instrumentos, técnicas, procedimientos y herramientas que diseño en la etapa de planeación con el propósito de realizar la evaluación a los sistemas, a las áreas de centros de cómputo o a cualquier otro aspecto. Con la aplicación de estos instrumentos, el auditor detecta las posibles desviaciones a la actividad que se está evaluando y de acuerdo con sus conocimientos y experiencias las analiza y las registra en el formato de situaciones encontradas que analizaremos continuación. INSTRUMENTOS DE RECOPILACION: Este tiene como objetivo identificar los principales instrumentos técnicas, herramientas y métodos utilizados en la recopilación de información: Las cuales se detallan a continuación: a) Entrevista b) Cuestionarios c) Encuestas d) Observación e) Inventarios f) Muestreo g) Experimentación Al utilizara estas herramientas, métodos y procedimientos en auditoria de sistemas lo que hace es utilizar lo mejor de ellas para adecuarlas a las necesidades especificas de la evaluación requerida. IMPORTANCIA DEL USO DE HERRAMIENTAS COMPUTADORIZADAS EN LA AUDITORÍA Las herramientas computadorizadas de apoyo a la auditoría se suelen clasificar en dos categorías genéricas, a saber: técnicas y herramientas

8 Podemos decir de estos que las: Técnicas: extracción y análisis de datos, detección de fraude, monitoreo continuo, valoración de la seguridad de la red, control de comercio electrónico, evaluación del control interno y papeles de trabajo automatizados. Herramientas: procesadores de texto, hojas electrónicas, software especializado de auditoría, correo electrónico, diagramas de flujo, bases de datos, administración de datos y groupware, administración de la auditoría y administración de riesgo Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión Con la aplicación de los instrumentos diseñados en la etapa de planeación, el auditor identifica aquellas posibles desviaciones que encuentra durante su evaluación y hace un análisis comparativo de la operación normal contra la esperada. Una vez hecho este análisis, entonces puede definir aquellas situaciones encontradas en su evaluación. Las desviaciones que reporta el auditor tienen características especiales, las cuales debes plasmar por escrito en un documento de carácter formal, al que llamaremos formato de situaciones encontradas. Además como requerimiento ineludible, dicho reporte debe estar perfectamente elaborado, en cuanto a su redacción, claridad, oportunidad y otras características propias del informe de auditoría que analizaremos en el apartado correspondiente. Está claro que la principal función del auditor es reportar todas las desviaciones que observo durante la auditoria de sistemas, para la cual puede utilizar el formato que más le plazca y de la manera en que se acostumbre reportar dichas observaciones en la empresa en donde se realiza la auditoria; sin embargo a continuación sugerimos la adopción de un formato muy fácil de elaborar por la simplicidad y la sencillez para plasmar esas desviaciones. Este es el formato de situaciones encontradas el cual contiene las siguientes columnas las situaciones, las causas, las soluciones, los responsables de la solución y las fechas de la solución

9 Comentar las situaciones encontradas con los auditados Una vez identificadas las situaciones encontradas, es responsabilidad del encargado de la auditoria que el auditor o supervisor (que puedes ser el propio responsable de la auditoria) comenten cada una de esas desviaciones con el personal responsable de la operación, sistema o función auditada. Es indispensable que cada una de estas desviaciones sean discutidas con las empleados funcionarios o usuarios que fueron auditados, ya que de alguna manera estos son responsables de que se presenten dichas situaciones ( o cuando al menos están involucrados en ellos) el propósito de informarles es que ratifiquen o rectifiquen el origen de tales desviaciones; además también le sirve al auditor para complementar la redacción de las situaciones que reporta con ello se busca que estas sean las mas claras posibles y mas entendidas a fin de que se reporten exactamente como quieren señalar cada desviación. La auditoria no es una cacería d brujas para cortar las cabezas de los auditados; es una revisión para encontrar posibles desviaciones en su actividad cotidiana y es deber del auditor comentarlas con ellos para resolver de común acuerdo. Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones Como lo señalamos en el punto anterior la necesidad de comentar las desviaciones con los responsables de la operación, también remarcaremos que de estos comentarios se puede obtener de manera más fidedigna y confiable las causas que generan cada una de las desviaciones a fin de reportarlas en el informe de auditoría lo más apegado posible a la realidad. Está claro que al conocer las desviaciones que se le imputan, el auditado tratara de defenderse, señalando las causas que originaron cada una de las desviaciones encontradas con ello el auditor puede corroborar o rectificar las causas que había planteado además le permite obtener, de manera directa y en voz de los involucrados las posibles soluciones a estas desviaciones incluso hasta el responsable de llevarlas a cabo.

10 Este es el verdadero trabajo del auditor, reportar las desviaciones que encontró durante su evaluación, encontrar las causas que las originan y acordar las posibles colusiones conjuntamente con el auditado. Así al es como se entiende y debe entenderse la función de la auditoria de sistemas Cuando se da esta retroalimentación con el personal auditado, de ellos mismos se puede relacionar a la posible responsabilidad de la solución y la fecha compromiso que se puede llegar a solucionar cada una de las desviaciones presentadas. Analizar, depurar y corregir las desviaciones encontradas Una vez que se comentaron las desviaciones con los auditados y se obtuvieron sus causas y posibles soluciones el responsable de la auditoria de sistemas será el encargado de analizar las desviaciones vigilando que cada una de este perfectamente plasmado y correctamente redactado en el formato de situaciones encontradas. La redacción y presentación de estas desviaciones debe hacerse los mas correctamente posible sin admitir ni el mas mínimo error de ortografía, redacción tipografía. Esta es la principal responsabilidad del encargado de la auditoria de sistemas vigilar el correcto reporte de las situaciones encontradas. Cada auditor elabora un borrador o mecanografiadas, las observaciones que observo durante su evaluación y al mismo tiempo es responsable de comentarlas con el personal auditado para obtener de ellos sus causas y soluciones. Una vez que fueron comentadas y en su caso corroboradas o rectificados, entonces entrega un informe al responsable de la auditoria quien será el encargado de analizar cada una de estas desviaciones, a fin de redactar mejor concretadas y a darles una estructura jerárquica de presentación en un informe global de situaciones relevantes encontradas durante la evaluación de os sistemas. Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes. Una vez que el responsable de la auditoria de los sistemas haya supervisado que el informe de desviaciones encontradas este correctamente elaborado, debe analizar toda las desviaciones reportadas, a fin de escoger las que considere las mas importantes para reportarlas en el formato

11 de situaciones relevantes el propósito es enfatizar lo que considera como lo mas importantes de la evaluación practicada a fin que los directivos conozcan los aspectos mas relevantes. Las situaciones que se reportan como las más relevantes se deben redactar tal como fueron reportadas en el formato de situaciones relevantes (se sugiere que siempre sea así). Sin modificarse (es propiamente una copia fiel de estos). Esta la más conveniente para evitar confusiones de interpretación de error mecanográficos o a cualquier otra alteración que desea reportar como relevante. Además así corrobora que las desviaciones fueron comentadas con el personal auditado. Con esto no habrá lugar para ninguna mala interpretación ni evasión de responsabilidades cuando el informe de situaciones relevantes sea comentado con los directivos del área de sistemas, además será más fácil mecanografiar dicho informe. Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones. Así como las situaciones encontradas se comentaron con los auditados, también las situaciones relevantes se deben comentar con los directivos del área de sistemas a fin estos las conozcan, el personal auditado puede, a juicio de los directivos, estar presente para cualquier posible aclaración sobre lo informado. Esto es lo más recomendable. El responsable de la auditoria debe encabezar la presentación de este informe al directivo de mayor jerarquía del área de sistemas. Por lo general estas reuniones consideradas como relevantes; aunque también se pueden presentar las llameas situaciones encontradas. Además, si el encargado de la auditoria lo considera pertinente, cada auditor puede presentar el informe de la parte que le toco evaluar, o puede hacerlo una sola persona en representación del responsable de la evaluación. Todo se hace d acuerdo con el estilo y costumbre de realizar estas presentaciones. También es decisión del encargado que cada auditor aclare las dudas de los participantes en esta reunión. En esta reunión se presentan los resultados obtenidos en la auditoria de sistemas y el informe a los directivos del área auditada se debe hacer en forma abierta y preferentemente en presencia de todo el personal auditado; esto obedece a que aun con sus causas y soluciones. Aunque esto no es muy usual, ya que se debe tomar en cuenta que los problemáticas, situaciones, incidencia,

12 desviaciones u observaciones encontradas durante la auditoria y reportadas en el formato de situaciones relevantes, ya fueron comentadas con cada uno de los auditados. No obstante, como es natural, en estas reuniones muchos de los auditados trataran de evadir o justificar su responsabilidad en las desviaciones e incluso en algunos casos extremos, pueden hasta negar la existencia o conocimiento de la situación que se les imputa. Recordemos que esté personal esta ante su jefe y difícilmente aceptara sus errores públicamente. Como resultado de esta reunión, se pueden elaborar las modificaciones que cada caso requieran, de ser necesario, se puede convocar a una nueva reunión para presentar las situaciones relevantes, pero no para comentar con los auditados las situaciones encontradas. Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen del auditor El siguiente paso es que el auditor responsable de la auditoria depure cada una de las situaciones relevantes reportadas, con el fin de concentrarlas en el llamado informe final de auditoría. Debido a que le informe es para el área directiva de la empresa, no debe exceder de dos o tres hojas. En este informe el auditor solo debe señalar lo más relevante de la evaluación, incluyendo su opinión. La elaboración del informe es el verdadero trabajo del responsable de auditoria, debido a que en este documento es donde realmente se muestra la importancia de su actividad, al señalar en que situación estaba el área de sistemas ante la evaluación practicada por los auditores a su cargo; además debe emitir una opinión autorizada sobre el funcionamiento del centro de computo, sus sistemas de información, el cumplimiento del personal y usuarios o sobre cualquier otro aspecto relacionado con los sistemas de la empresa auditada. Debemos aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del lenguaje que se maneja en los sistemas de la institución; por lo tanto, el informe final debe ser lo mas sencillo, claro, comprensible para ellos, procurando evitar, al máximo posible, el uso de términos demasiados

13 técnicos y desconocidos para personas ajenas a la informática. Solo se deben destacar los aspectos más importantes del área, desde el punto de vista de los directivos y no del personal que maneja los sistemas. Presentar el informe y dictamen final a los directivos de la empresa El último paso del informe de auditoría de sistemas es la presentación oficial del informe (informe final de auditoría), lo cual se puede hacer de dos maneras, ya sea en forma directa, mediante una reunión ejecutiva con los directivos de la empresa, o por envió formal del informe final de la auditoria al directivo mayor de la firma. Este y es el informe final de la auditoría practicada y, por lo tanto, no se debe admitir ningún comentario adicional que pudiera modificar lo ahí presentado; ya que es el producto final de la auditoria, y por lo tanto como crear expectativas de duda sobre la veracidad y confiabilidad de su contenido. Por lo general, a esta presentación solamente asisten el cuerpo directivo de la empresa auditada y el cuerpo ejecutivo de la empresa encargada de realizar la auditoria; aunque nada simple que estén presentes tanto el personal del área d sistemas auditada, como los auditores participantes. En el caso de una auditoría interna, solo asisten el auditor y su cuerpo ejecutivo. 4. ESTRUCTURA DEL INFORME DE AUDITORIA DE SISTEMAS Aunque hay muchas formas de presentar el siguiente informe de auditoría de sistemas, de acuerdo con las preferencias de la empresa o del auditor que realiza la auditoria. Este es el documento final, de carácter formal, en el que se presentan por escrito todos los aspectos importantes que fueron catalogados como deficiencias de las operaciones auditadas, así como el cumplimiento de las funciones y de los resultados obtenidos con las actividades evaluadas durante la auditoria. El auditor plasma su dictamen y opinión personal en este documento y lo sustenta con documentos de apoyo y los papeles de trabajo en los que va haciendo las anotaciones de las técnicas, métodos y procedimientos que utilizo durante el desarrollo del trabajo.

14 En el informe de auditoría, el cual es un documento en el que se hace la presentación formal de los resultados obtenidos durante la auditoria, debe contener como mínimo lo siguiente: o Oficio de Presentación o Introducción o Dictamen de la auditoria o Situaciones relevantes o Situaciones detectadas o Anexos o Confirmaciones en papeles de trabajo 4.1 DESARROLLO DE LA ESTRUCTURA DEL INFORME DE AUDITORIA DE SISTEMAS OFICIO DE PRESENTACION Es la primera parte del informe de auditoría y es un documento de carácter oficial que sirve de presentación del informe, mediante este documento se pone a consideración de los directivos de la empresa el resultado de la auditoría practicada al área de sistemas. El contenido y presentación de dicho documento varían de una institución a otra, pero en esencia este documento debe ser elaborado en la papelería oficial de la empresa y debe contener como mínimo los siguientes aspectos: Logotipo y nombre de la empresa Fecha de informe Funcionario que recibe el informe Empresa o área auditada

15 Periodo de evaluación Contenido o cuerpo del oficio Responsable de emitir el informe Firma autógrafa del responsable INTRODUCCION Es la parte del informe donde el responsable de la auditoría hace la presentación formal de su trabajo; en este apartado se manifiesta el objetivo de la auditoría, las razones que motivaron a llevarla a cabo y, si es el caso, los fundamentos que apoyen su realización, en algunas ocasiones también se pueden indicar la metodología y las herramientas utilizadas en la evaluación de los sistemas, aunque esto último no es forzoso. Debemos señalar que no existen reglas específicas para elaborar esta introducción; sin embargo, se puede establecer como única regla que su redacción debe ser impecable y debe tener una excelente presentación, ya que es la primera parte que se lee del informe de auditoría. La introducción es frecuentemente la invitación a seguir leyendo el resto del informe; sin embargo, cuando esta parte está mal redactada, crea rechazo casi inmediato para seguir adelante con la lectura. Debido a lo anterior, a continuación presentamos una serie de sugerencias que ayudarán al auditor y al responsable del informe a mejorar la elaboración de dicha introducción. Debemos aclarar que los puntos que analizaremos a continuación no son apartados de la introducción, y sólo se presentan para que el lector los identifique, pero no se deben anotar en el informe: o Aspectos generales o Prólogo o Objetivo o Justificación

16 4.1.3 INFORME CORTO DE LA AUDITORIA (DICTAMEN) Tal vez ésta sea la parte más importante de una auditoría de sistemas computacionales y, en muchas ocasiones, lo que más esperan los directivos de la empresa o del área auditada, debido a que es una opinión profesional respecto al comportamiento de los sistemas. Evidentemente, el dictamen está apoyado en la experiencia y conocimientos del auditor en las áreas de auditoría y sistemas, así como en la confianza del uso de las herramientas e instrumentos apropiados. Cada empresa de auditoría o auditor que elabora un dictamen debe emitir su opinión de acuerdo con su costumbre, experiencia o según los requisitos de la empresa auditada; sin embargo, por la importancia que tiene este informe en el área de sistemas, o en cualquier otra área, a continuación presentaremos un formato de dictamen y algunas recomendaciones para emitirlo de una mejor manera. Es el documento de carácter formal donde el auditor plasma su opinión profesional respecto al comportamiento de los sistemas y debe cumplir los siguientes requisitos: o Logotipo de identificación o Nombre de la empresa o Fecha de emisión del dictamen o Ejecutivo receptor del dictamen o Breve introducción al dictamen o Contenido del informe de auditoría, jerarquizando situaciones por importancia de mayor a menor o de menor a mayor o Cronología de ocurrencia de las situaciones que se reportan o Áreas de trabajo o Áreas Administrativas o Procedimiento de operación o actividad o Simple listado sin ningún orden específico o Dictamen y recomendación del auditor

17 o Responsable de emitir el dictamen SITUACIONES RELEVANTES Son formatos de presentación de los aspectos más relevantes y de mayor peso encontrados durante la evaluación. Parte fundamental del informe de auditoría son los formatos de situaciones relevantes;" éstos son los documentos oficiales donde el responsable de la auditoría reporta las desviaciones que, según su criterio, son las más importantes encontradas durante el desarrollo de la auditoría. Estos formatos se anexan para posibles aclaraciones y consultas de las desviaciones que se reportan en el dictamen; aunque, cabe recordar, el auditor debió comentar este documento con los directivos del área de sistemas, como indicamos al principio. Formato de situaciones relevantes Este documento es una réplica simplificada del formato anterior, sólo que en éste únicamente se anotan las situaciones consideradas como relevantes, resultado del análisis al documento anterior, es decir, sólo se incluyen aquellas observaciones que a juicio del auditor o del responsable de la auditoría son realmente importantes para el desarrollo de las actividades del área de sistemas evaluada. Debemos insistir que en este documento sólo se presentan las situaciones más significativas detectadas durante la evaluación. Es recomendable que las situaciones relevantes incluidas en este documento sean la mismas que las establecidas en el formato de las situaciones detectadas, incluso con las mismas palabra; pero aquí no deben aparecer a mano sino impecablemente mecanografiadas. También se sugiere seguir el mismo orden planteado en el documento anterior. A continuación presentamos una propuesta del formato de situaciones relevantes, el cual servirá de base para las siguientes aplicaciones de

18 auditoría de sistemas que haremos. Este formato, que también se elabora en forma individual, tiene tres columnas básicas en las cuales se anotan, exclusivamente en computadora o a máquina, los siguientes aspectos: * Las situaciones relevantes, que son lo que más se destacó en el documento anterior y que se determinó como lo más importante de destacar, según las pruebas, procedimientos y técnicas utilizados para hacer la evaluación. * Las causas, que son los motivos de las desviaciones. * Las posibles soluciones, que son las posibles soluciones para las desviaciones SITUACIONES DETECTADAS Presentación de todas las desviaciones encontradas durante la auditoria, con las causas reales que las provocaron y sus posibles soluciones. Como parte complementaria del formato anterior, también se puede integrar en el informe de auditoría de sistemas computacionales el formato de situaciones encontradas, que es donde se concentran todas las desviaciones encontradas durante la evaluación. Su inclusión en el dictamen es a criterio del responsable de la auditoría, debido a que sería muy improbable que los receptores del informe final, generalmente altos funcionarios de la empresa, tomen en cuenta el análisis de este documento. Además, este formato dio origen al de situaciones relevantes y este último dio pie a la elaboración del dictamen de auditoría. Por ello se consultaría muy esporádicamente. Formato de situaciones encontradas

19 Este documento, que es uno de los documentos nías importantes para oí desarrollo de cualquier auditoría de sistemas, es un formato especial para la recopilación de situaciones o desviaciones encontradas, el cual está formado por una serie de hojas (formatos individuales) en las cuales el auditor anota en manuscrito o tipografía todas las desviaciones que encuentra durante su evaluación. Este formato, en forma individual, tiene seis columnas básicas en las que se anotan los siguientes asuntos: La referencia: es un número consecutivo, combinado o marca especial, mediante el cual se identifica la situación a tratar. Las situaciones detectadas: específicamente, es la descripción de lo que se encontró en un determinado punto de la evaluación, según las pruebas, procedimientos o técnicas de evaluaciones utilizadas para hacer la revisión; cada una de estas desviaciones es parte importante del documento. Las causas: es la presentación de los motivos e imputaciones que originaron la desviación y puede ser una sola causa o varias las que ocasionaron esta desviación, todas se anotan, a criterio del auditor. Las posibles soluciones: son sugerencias del auditado o del auditor para solucionar las desviaciones reportadas. Casi siempre corresponde una solución para cada una de las causas reportadas. Fecha de compromiso: es el período o la fecha tentativa para implantar la solución acordada. Se anota una fecha para cada solución propuesta. Responsables de las soluciones: son los funcionarios, empleados o cualquier persona responsable de implantar las soluciones. También se acostumbra anotar un responsable por cada solución, aunque a veces parezca repetirse el mismo responsable.

20 4.1.6 ANEXOS Cuadros, estadísticas, acta o cualquier otro documento que sirva de soporte para reafirmar las desviaciones presentadas. El auditor puede obtener otro tipo de información que puede llegar a ser útil para realizar la evaluación: Resultados del procesamiento de datos. Descripción de puestos, funciones y actividades. Resultados de pruebas y cálculos de procesamientos que se efectúan en el sistema. Copias de formatos y licencias de programas y paqueterías. Copias de resguardos de equipos y mobiliario Mapas de distribución de redes, instalaciones, equipos, muebles y sistemas de información. Mapas de rutas de evacuación y seguridad del área de sistemas. Bitácoras de reportes y reportes de servicios de mantenimiento preventivo y correctivo. Resultados de inventarios y pruebas de la arquitectura de los sistemas. Resultados de diseños, análisis, codificación, pruebas y liberación de sistemas.

21 Copias de programas fuente, objeto, y codificación de los sistemas desarrollados en la empresa. Resultados de cotizaciones y estudios de mercado para adquisiciones de hardware, software, mobiliario y consumibles de sistemas. Diagramas de sistemas de programación y desarrollo de sistemas CONFIRMACIONES EN PAPELES DE TRABAJO Son pruebas documentadas que sirve de soporte para sustentar las desviaciones, causas u otros aspectos relevantes encontrados. La evidencia y los papeles de trabajo constituyen el soporte fundamental de los hallazgos detectados por el auditor, de ahí la importancia que reviste la suficiencia, relevancia y competencia de la evidencia así como la calidad y claridad de los Papeles de Trabajo, atendiendo a que la información de aquí se recoge está escrita siempre a terceros que son los clientes de nuestro servicio. 4.2 FORMATOS PARA EL INFORME DE AUDITORIA DE SISTEMAS Existen muchas formas de desviaciones que se detectan en una auditoria de sistemas, que se presentan de acuerdo a las experiencias, conocimientos y necesidades del responsable en hacer la auditoria. Además existen empresas que realizan un trabajo de auditoria, ellos tienen establecidas sus propias formas de reportar las observaciones, estandarizando así la forma de elaborar su informe de auditoria. Podemos tomar de ejemplo dos formatos de auditoria que son mas funcionales, por la forma que ayudan al auditor a reportar las situaciones encontradas en la auditoria, con la finalidad de que la persona lectora entienda lo que se esta informando en estos documentos.

22 Estos facilitaran: la forma de reportar las desviaciones observadas en la evaluación. para enseñar a los auditores principiantes como elaborar informes de auditoria, pues son fáciles de llenar y comprender. Los siguientes formatos son: Formatos de situaciones encontradas Formatos de situaciones relevantes FORMATOS DE SITUACIONES ENCONTRADAS: Este documento que es uno de los más importantes para el desarrollo de cualquier auditoria de sistemas, es un formato especial para la recopilación de situaciones o desviaciones encontradas, esta formada por una serie de hojas (formatos individuales) en las cuales el auditor anota en manuscrito, todas las desviaciones que encuentre durante su evaluación: Este formato, en forma individual tiene seis columnas básicas en las que se anotan los siguientes asuntos: a) REFERENCIA: Es un numero consecutivo, combinado o marca especial mediante el cual se identifica la situación a tratar. b) LAS SITUACIONES DETECTADAS: es la descripción de lo que se encontró en un determinado punto de la evaluación. según las pruebas, procedimientos o técnicas de evaluación, utilizados para hacer la revisión, estos son parte importante del documento. c) LAS CAUSAS: es la presentación de los motivos que originan la desviación y puede ser una sola causa o varias las que ocasionaron estas desviaciones, todos se anotan a criterio del auditor d) LAS POSIBLES SOLUCIONES: Son las sugerencias del auditor para solucionar las desviaciones

23 Reportadas casi siempre corresponde una solución para cada una de las causas reportadas. e) FECHA DE COMPROMISO: Es el periodo para implantar la solución acordada. Se anota una fecha para cada solución propuesta. f) RESPONSABLE DE LAS SOLUCIONES: son los funcionarios, o persona responsable de implanta las soluciones. Se acostumbra a notar a un responsable por cada solución, aunque a veces parezca repetirse el nombre de la misma persona responsable. [pic] IDENTIFICACION (EN LA PARTE SUPERIOR IZQUIERDA DEL FORMATO) Es el nombre donde se anota la empresa auditora, ya sea el de la empresa que hace la auditoria. Si es necesario que lleve el logotipo de auditoría, cargado en la parte superior izquierda. ÁREA AUDITADA (EN LA PARTE CENTRAL DEL FORMATO) Es el área donde se anota el área de informática, sección o unidad administrativa del sistema evaluada. Lo que se pretende con esta identificación es que se tenga bien claro cuál es el ambiente de trabajo donde se presentaron las desviaciones. FECHA DE EVELUACION (EN LA PARTE SUPERIOR DERECHA) En este recuadro se anota la fecha en que se presentan la evaluación, con el formato dia, mes y año. EN LA PARTE INFERIOR DEL FORMATO:

24 Quien elaboro (Nombre y firma) Quien aprobó (Nombre y firma) FORMATOS DE SITUACIONES RELEVANTES Es la parte fundamental del informe de auditoria, estos documentos oficiales donde el responsable de la auditoria reporta desviaciones que según criterio, son los mas importantes encontradas durante el desarrollo de la auditoria. SÓLO PRESENTAN LAS SITUACIONES MÁS SIGNIFICATIVAS DETECTADAS DURANTE LA EVALUACIÓN Continuación dicho formato contiene: IDENTIFICACION AREA AUDITADA FECHA DE EVALUACION NUMERO DE REFERENCIA SITUACIONES RELEVANTES CAUSAS DE LA DESVIACION SOLUCIONES PROPUESTAS. CAPITULO III CASO PRÁCTICO Nº 1

25 [pic] AUDITORIA INFORMATICA ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003, aprobada mediante Resolución de Contraloría N CG del 15 de Diciembre del OBJETIVOS Y ALCANCE OBJETIVO GENERAL Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones OBJETIVOS ESPECIFICOS Evaluar el diseño y prueba de los sistemas del área de Informática Determinar la veracidad de la información del área de Informática Evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento básico del área de Informática Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs. Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo.

26 1.2. ANTECEDENTES La convención Nacional el 29 de Diciembre de 1857 aprueba la ley que es promulgada por el libertador Ramón Castilla disponiendo que el Dpto. de Moquegua, conformando por 04 provincias: Tacna, Arica, Tarapacá y Moquegua, entre otros departamentos., procedan a constituir juntas electorales en las capitales de departamentos., provincias y distritos, para q se elijan las primeras Municipalidades establecidas por la constitución. En la Capital de la Provincia de Moquegua, debían elegirse 11 Municipalidades, en el resto de la Provincia (Torata, Omate, Ubinas, Carumas, Puquina, Iloe Ichuña) el número de Municipalidades variaban de 3 a 5 miembros. Anteriormente, el gobierno local de la provincia de Mariscal Nieto Moquegua ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya construcción data de 1799 y que fue donada a la Municipalidad de Moquegua el 05 de Setiembre de Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una infraestructura moderna ubicada en la calle Ancash N ENFOQUE A UTILIZAR La presente acción de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadística e Informática, responsable de normar, supervisar y evaluar los métodos, procedimientos y técnicas estadísticas e informáticas utilizados por los órganos del Sistema INEI (Instituto Nacional de Estadística e Informática), Normas Internacionales de Auditoria (NIA); habiéndose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. La presente Auditoria Informática se realizara en la Municipalidad Provincial de Mariscal Nieto, ubicada en el Distrito de Moquegua, Provincia Mariscal Nieto Departamento de Moquegua, siendo el área a examinarse la de Informática RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A EXAMINAR Periodo de Gestión

27 Apellidos Nombres Cargo Del Al Domicilio Cervantes Games, Iván Jefe Av. Balta N 232 Manchiria Ceballos, Victoria Planillas Calle Lima Nº 44 Velásquez Zapata, Sonia Secretaria Calle Moq.N 145 Gamez Villa, Celia Secretaria Calle Lima N CRONOGRAMA DE TRABAJO PROGRAMA DE AUDITORIA EMPRESA: Municipalidad Provincial Mariscal Nieto FECHA: HOJA N FASE ACTIVIDAD HORAS ESTIMADAS I VISITA PRELIMINAR Solicitud de Manuales y Documentaciones. Elaboración de los cuestionarios..recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos. 8 HS. II DESARROLLO DE LA AUDITORIA Aplicación del cuestionario al personal. Entrevistas a líderes y usuarios más relevantes de la dirección. Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluación de la estructura orgánica: departamentos, puestos, funciones, autoridad y responsabilidades. Evaluación de los Recursos Humanos y de la situación Presupuestal y Financiera: desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos.

28 Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema. Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo. 32 HS. III REVISION Y PRE INFORME Revisión de los papeles de trabajo. Determinación del Diagnostico e Implicancias. Elaboración de la Carta de Gerencia. Elaboración del Borrador. 16 HS. IV INFORME Elaboración y presentación del Informe. 4 HS EJECUCION DE LA REVISION ESTRATEGICA CONOCIMIENTO INICIAL DE LA ENTIDAD Anteriormente, el gobierno local de la provincia de Mariscal Nieto Moquegua ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya construcción data de 1799 y que fue donada a la Municipalidad de Moquegua el 05 de Setiembre de Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una infraestructura moderna ubicada en la calle Ancash N AUTORIDADES DE LA MUNICIPALIDAD PROVINCIAL DE MARISCAL NIETO NOMBRE CARGO

29 Dr. Vicente Antonio Ceballos Salinas Dr. Javier Flores Arocutipa Mag. Hilda Guevara Gomez Ing. Oscar Paredes Vargas Mag. Victor Cornejo Rodriguez Alcalde Vicerrector Decana de la Facultad de Ciencias de la Salud Decano de la Facultad de Ingeniería Decano de Cs.Jurídicas, Empresariales y Pedagógicas PRINCIPALES ACTIVIDADES: _ Acordar su régimen de Órgano Interior _ Aprobar su presupuesto _ Aprobar sus Bienes y Rentas _ Crear, modificar, suprimir o examinar sus contribuciones, atribuciones y derecho, conforme a Ley. _ Organizar, Reglamentar y Administrar sus servicios públicos locales. _ Contratar con otras entidades públicas y no públicas, preferentemente locales, la atención de los servicios que no administraron directamente. _ Planificar el desarrollo de sus pueblos y ejecutar los planes correspondientes. _ Examinar el cumplimiento de sus propias Normas, a través de sus propios medios o con el auxiliar de las fuerzas policiales. _ Celebrar contratos con otros municipios para organizar servicios comunes. _ Promover y organizar la participación de los vecinos en el desarrollo comunal FUNCIONES GENERALES Planificar, ejecutar e impulsar, a través de los órganos correspondientes, el conjunto de acciones destinadas a proporcionar al ciudadano, el ambiente adecuado para las satisfacciones de sus necesidades viales de vivienda, salubridad, abastecimiento, educación, recreación, transporte y comunicación.

30 Formular el plan de desarrollo distrital en concordancia con las necesidades y requerimientos de la población organizada y los planes de desarrollo nacional y regional. Conducir los programas de acondicionamiento territorial, vivienda y seguridad colectiva, conforme lo establece la ley orgánica de municipalidades, velando por su ejecución. La base normativa empleada está compuesta por las Normas Internacionales de Auditoría (NIA s) 1001 Sistemas de Microcomputadoras, 1002 Sistemas de Microcomputadoras en Línea, 1003 Sistemas de Bases de Datos, 1008 Evaluación de Riesgos y Control Interno y el marco COBIT SISTEMAS Y CONTROLES IDENTIFICADOS a) Control de Actividades y Operaciones. La Municipalidad Provincial de Mariscal Nieto ha formulado el Reglamento deorganización y Funciones (ROF), Asimismo la entidad ha formulado el Manual de Organización y Funciones. b) Controles de Confiabilidad y Validez de la Información. _ Las funciones y responsabilidades de cada funcionario y/o directivo están establecidas en el Reglamento General Interno, Reglamento de Organización y Funciones (ROF) OFICINA DE PLANEACION Y PRESUPUESTO AREA DE CÓMPUTO E INFORMATICA MISION El área de Computo e informática de la municipalidad Provincial de Mariscal Nieto Moquegua, tiene por misión normar el adecuado uso y aprovechamiento de los recursos informáticos; la optimización de las actividades, servicios procesos y acceso inmediato a información para la toma de decisiones, mediante el desarrollo, implantación y supervisión del correcto funcionamiento de los sistemas y comunicaciones, así como la adquisición y control de la plataforma física de computo.

31 VISION: El Área de cómputo e informática, de la Municipalidad Provincial Mariscal Nieto capaz de liderar el desarrollo informático, asegurando un marco transparente para el acceso a los ciudadanos a la información SITUACION ACTUAL Ubicación: El área de cómputo e informática orgánicamente depende de la oficina de planificación y presupuesto, asumiendo la responsabilidad de dirigir los procesos técnicos de informática Recursos Humanos: Actualmente en el área de cómputo e informática labora una sola persona quien cumple las funciones de administración, capacitación, soporte y procesamiento de datos. Recursos informáticos existentes: Servidores (Windows 2000 Server) 3 Computadoras Personales 15 Impresoras OBJETIVOS: El área de Cómputo e informática tiene los siguientes objetivos Sectoriales: _ Apoyar a las Municipalidades Distritales de la Provincia de Mariscal Nieto. _ Estandarizar y Uniformizar información relevante referente a los gobiernos locales _ Brindar un mejor servicio a los usuarios de Moquegua, a través de una página Web OBJETIVOS ESPECIFICOS (PRESUPUESTADOS):

32 _ Equipamiento de la gestión Municipal. _ Optimizar las aplicaciones existentes a satisfacción de la municipalidad. _ Digitalización de Partidas de Nacimiento, Matrimonio y Defunción _ Brindar acceso a Internet _ Diseño y elaboración de páginas Web. _ Alojamiento y Mantenimiento de la Pagina Web. 2. JUSTIFICACIÓN Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situación informática de la empresa Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información. Descubrimiento de fraudes efectuados con el computador Falta de una planificación informática Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción 2.1. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMÁTICA: Síntomas de descoordinación y desorganización: _ No coinciden los objetivos del área de Informática y de la propia Institución.

33 _ Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante Síntomas de mala imagen e insatisfacción de los usuarios: _ No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. _ No se reparan las averías de hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente Síntomas de debilidades económico financieras: _ Incremento desmesurado de costes. _ Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). _ Desviaciones Presupuestarias significativas. _ Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición) Síntomas de Inseguridad: Evaluación de nivel de riesgos _ Seguridad Lógica _ Seguridad Física _ Confidencialidad _ Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales. AUDITORÍA FISICA

34 1. Alcance de la Auditoria Organización y cualificación del personal de Seguridad. Remodelar el ambiente de trabajo. Planes y procedimientos. Sistemas técnicos de Seguridad y Protección. 2. Objetivos _ Revisión de las políticas y Normas sobre seguridad Física. _ Verificar la seguridad de personal, datos, hardware, software e instalaciones _ Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático INFORME DE AUDITORIA 1. Identificación del informe Auditoria física. 2. Identificación del Cliente El área de Informática 3. Identificación de la Entidad Auditada Municipalidad Provincial Mariscal Nieto 4. Objetivos _ Verificar la estructura de distribución de los equipos. _ Revisar la correcta utilización de los equipos _ Verificar la condición del centro de cómputo.

35 5. Observaciones _ Falta de presupuesto y personal. _ Falta de un local más amplio _ No existe un calendario de mantenimiento _ Falta de ventilación. _ Faltan salida al exterior _ Existe salidas de emergencia. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de cómputo de acuerdo a las normas y demás disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoría. El Departamento de centro de cómputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad. 8. Recomendaciones Reubicación del local Implantación de equipos de última generación Implantar equipos de ventilación Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina periódico. Capacitar al personal.

36 9. Fecha Del Informe PLANEAMIENTO EJECUCION INFORME al al al Identificación Y Firma Del Auditor APELLIDOS Y NOMBRES MAMANI CUTIPA WILY CARGO AUDITOR SUPERIOR AUDITORIA DE LA OFIMATICA 1. Alcance de la Auditoria. Planes y procedimientos Políticas de Mantenimiento Inventarios Ofimáticos Capacitación del Personal 2. Objetivos de la Auditoria. Realizar un informe de Auditoría con el objeto de verificar la existencia de controles preventivos, detectivos y correctivos, así como el cumplimiento de los mismos por los usuarios. INFORME DE AUDITORIA 1. Identificación del informe Auditoria de la Ofimática