2.5 INFORME DE LA AUDITORIA

DEFINICIÓN 1

"Es un medio formal para comunicar los objetivos de la Auditoría, el cuerpo de las normas de Auditoría, el alcance de la Auditoría, los hallazgos y conclusiones"

DEFINICIÓN 2

"Es el documento que refleja los objetivos, alcances, observaciones, recomendaciones y conclusiones del proceso de evaluación relacionados con las áreas de informática"

La elaboración del informe representa el momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculación con el factor de riesgo, tarea eminentemente de carácter profesional y ético, según el leal saber y entender del Auditor Informático.

FORMATO● No existe un formato específico.

● Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido.

● El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI

El Informe de Auditoría deberá ser:

- Claro- Adecuado- Suficiente- Comprensible

● El formato del Informe debe reflejar una presentación lógica y organizada.

● El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas.

REQUISITOS DEL INFORME

Los requisitos de un Informe de Auditoría son:

1- Ser veraz2- Estar documentado formalmente3- Mostrar las observaciones (debilidades) encontradas4- Tener recomendaciones y soluciones para cada observación5- Reflejar las áreas de oportunidad y cursos de acción

DESARROLLO DEL INFORME

Los puntos esenciales de un Informe de Auditoría son:

1- Identificación del InformeEl título del Informe deberá identificarse como objeto de distinguirlo de otros informes

2- Identificación del ClienteDebe identificarse a los destinatarios y a las personas que efectúen el encargo

3- Identificación de la Entidad auditadaIdentificación de la entidad objeto de la Auditoría Informática

4- Objetivos de la Auditoría InformáticaDeclaración de los objetivos de la Auditoría para identificar su propósito, señalando los objetivos incumplidos.

5- Normativa aplicativa y excepcionesIdentificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la Auditoría

6- Alcance de la AuditoríaConcretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información..., señalando limitaciones del alcance y restricciones del auditado

7- Conclusiones: Informe corto de opinión

El Informe debe contener uno de los siguientes tipos de opinión:

opinión favorable: es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional

opinión con salvedades: se reitera lo dicho en la opinión favorable al respecto de las salvedades cuando sean significativas en relación con los objetivos de auditoría, describiéndose con precisión la naturaleza y razones

opinión desfavorabe: es aplicable en el caso de identificación de irreguilaridades y de incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de la AI

opinión denegada: puede tener su origen en las limitaciones al alcance de auditoría, irregularidades, y al incumplimiento de normativa legal y profesional

resumen: consiste en una opinión personal de lo llevado a cabo

8- Resultado: Informe largo y otros informesEste tipo de informe permite saber más.Las soluciones previsibles se orientam hacia un Informe por cada objetivo de la AI

9- Informe previo : Este tipo de informe permite tener información de referencia

10- Fecha del Informe: Permite conocer la magnitud del trabajo y sus implicaciones

11- Identificación y firma del Auditor

12- Distribución del Informe: Se define quienes podrán hacer uso del Informe

Conclusiones: Es un juicio de valor u opinión personal con justificación

MODELO DE UN INFORME DE AUDITORIA

Fecha del Informe:

NOMBRE DE LA ENTIDAD

Auditoría de ........

Objetivo...........

Lugar de la Auditoría...........

Grupo de Trabajo de Auditoría...........

Fecha de Inicio de la Auditoría...........

Tiempo estimado del proceso de revisiónX hs

Fecha de Finalización de la Auditoría...........

Herramientas utilizadas...........

Alcance...........

Procedimientos a aplicar...........

INFORME DE DEBILIDADES DETECTADAS

EJEMPLO

SITUACIÓN PLANTEADA

● En una “Compañía de Seguros” se llevó a cabo la “Auditoría de una Base de Datos”. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa.

● Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorización otorgada por el DBA (Administrador de la BD).

Se observa que:

● La BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence.

● El personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día.

● Hasta el momento, la BD cuenta con más de 2 millones de registros.