UNIVERSIDAD NACIONAL DE UCAYALIFacultad de Ing. De Sistemas e Ing. Civil

Escuela Pro. De Ing. De Sistemaswww.unu.edu.pe

CursoCurso :: Auditoria de SistemasAuditoria de Sistemas

CapituloCapitulo :: El Informe.El Informe.

DocenteDocente :: Ing. Franklin Calle Zapata Ing. Franklin Calle Zapata fcallez@gmail.com

GrupoGrupo :: 0404

IntegrantesIntegrantes :: Lachi Cárdenas, Antony Martin(Líder) Lachi Cárdenas, Antony Martin(Líder) zmartin24@gmail.com 99% 99%

Villacorta Izquierdo, Carlos Villacorta Izquierdo, Carlos humbertovillacorta@gmail.comhumbertovillacorta@gmail.com 99%99%

Pozo Ruiz, Carlos AntonioPozo Ruiz, Carlos Antonio 99% 99%

Carbajal Pastor, Miguel Ángel Carbajal Pastor, Miguel Ángel m.carbajal.p@gmail.comm.carbajal.p@gmail.com 99% 99%

FechaFecha :: 13/09/0813/09/08

Auditoria de Sistemas

1. Introducción2. Objetivos3. Normas4. La Evidencia5. Las Irregularidades6. La Documentación7. El Informe8. ESTANDARES DE AUDITORIA DE SISTEMAS

DEFINIDOS POR LA ISACA - COBIT ( Control Objectives for Information and related Technology

9. Conclusiones.

El Informe de Auditoria

• El informe de Auditoria Informática es el objeto de la Auditoria Informática.

• El contexto en el cual se desenvuelve hoy su practica es muy cambiante, las tecnologías de información dominan de modo imparable las relaciones humanas presentando un ciclo de vida cada vez mas corto.

• Desfase entre las expectativas de los usuarios y los Informes de Auditoria.

La complejidad de los sistemas de información crece con sus prestaciones y características.

Dependencia de los sistemas y necesidad mas marcada de expertos eficientes (no infalibles) en Auditoria Informática.

La informática es muy joven, por tanto la Auditoria informática lo es mas.

Se tratara de fijar en este capitulo la practica de Auditoria Informática en función del Informe. Para ello se repasara aspectos previos fundamentales, como son las normas, el concepto de evidencia en Auditoria, la documentación y finalmente el informe, sus componentes, características y tendencias detectadas como también algunas conclusiones .

El Informe de Auditoria

Conocer cuales son los pasos a seguir para elaborar un informe formal luego de haber realizado una auditoria.

Conocer cuales son las normas legales que respaldan a la estructura de un informe.

Familiarizarse con la forma de documentar los resultados obtenidos.

Conocer algunas normas y la forma como definen su modelo de informe.

El Informe de Auditoria

En 1996 la Unión europea publicó el Libro Verde de la Auditoria, dedicado al papel, la posición y la responsabilidad del Auditor Legal. Su contenido afecta a la Auditoria informática.

En principio el libro acepta las Normas Internacionales IFAC para su adaptación adecuada a la Unión Europea.

Otra fuente de Normas Internacionales es ISACF, ya más especifica de Auditoria Informática.

La normativa española oficial que afecta, en mayor o menor medida, a la Auditoria Informática es:

ICAC: Normas Técnicas de Auditoria: punto 2.4.10, Estudio y Evaluación del Sistema de Control Interno.

AGENCIA DE PROTECCION DE DATOS: Instrucción relativa a la prestación de servicios sobre solvencia patrimonial y créditos, Norma Cuarta: Forma de Comprobación.

La Auditoria Informática no esta muy desarrollada y, por añadidura, se encuentra en un punto crucial para la definición del modelo en que deberá implantarse y practicarse.

El Informe de Auditoria

La Evidencia es la base razonable de la opinión del auditor informático, es decir el informe de Auditoria Informática.La Evidencia tiene una serie de calificativos a saber:La Evidencia Relevante, que tiene una relación lógica con los objetivos de la auditoria

La Evidencia Fiable, que es valida y objetiva aunque, con nivel de confianza

La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.

La evidencia Adecuada, que es de tipo cualitativo para afectar las conclusiones del auditor

En principio, las pruebas son de cumplimiento o sustantivas.La opinión deberá estar basada en evidencias justificadas, si es preciso con evidencia adicional

LAS PRUEBAS DE CUMPLIMIENTO

Una prueba de cumplimiento es una prueba que reúne evidencia de auditoria para indicar si un control funciona efectivamente y logra sus objetivos.

El DISEÑO DE LAS PRUEBAS DE CUMPLIMIENTO

Diseñamos pruebas de cumplimiento para reunir evidencias de funcionamiento efectivo, controles interno , debemos enfocarnos :• Se ejecutaron los procedimientos previstos? • Se ejecutaron adecuadamente? • Fueron ejecutados por alguien que cumple con los requisitos de segregación de funciones?

TIPOS DE PRUEBA DE CUMPLIMIENTO Existen prueba de :

Detalles Indagación Observación

Desviación del Cumplimiento

Las desviaciones nos permiten soportarnos para determinar si se deposita confianza en los controles internos.

Antes de comenzar a probar los controles en los cuales se depositará confianza, debemos definir aquello que se constituirá una desviación de cumplimiento.

Se entiende por desviación de cumplimiento a todo procedimiento que de acuerdo con las normas establecidas debe efectuarse y no se efectúa.

Ejemplo. Pude existir entonces que no se ha realizado un asiento contable o que el mismo este mal hecho , el cual el mismo debería estar bajo a supervisión del encargado del departamento contable

La determinación del desvío nada tiene que ver con el valor monetario dado que el propósito de la prueba de cumplimiento es reunir evidencia respecto del cumplimiento de un control y no sobre el intercambio en particular

Tales desvíos se producen por :

Desviación del Cumplimiento

Tales desvíos se producen por : Errores humanos Cambio de personal y falta de familiaridad del mismo Fluctuaciones temporales en el volumen de transacciones.

Pruebas Substanciales

Una prueba sustantiva es un procedimiento diseñado para probar el valor monetario de saldos o la inexistencia de errores monetarios que afecten la presentación de los estados financieros. Dichos errores (normalmente conocidos como errores monetarios) son una clara indicación de que los saldos de las cuentas pueden estar desvirtuados. La única duda que el auditor debe resolver, es de sí estos errores son suficientemente importantes como para requerir ajuste o su divulgación en los estados financieros

Deben ejecutarse para determinar si los errores monetarios han ocurrido realmente.

Una vez valorados los resultados de las pruebas se obtienen conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de comentarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la posible solución.

El Informe de Auditoria

Las Irregularidades, o sea, los fraudes y los errores.

En las organizaciones y las empresas, la dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores: La responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección.

Es Pues indudablemente necesario diseñar pruebas anti fraude que lógicamente incrementaran el coste de la auditoria, previo análisis de riesgos.

Por prudencia y actitud, convendrá aclarar al máximo –de ser posible- si el informe de auditoria es propiamente de auditoria y no de consultoría o asesoría informática, o de otra materia afín o próxima.

Aunque siempre debe prevalecer el deber de secreto profesional del auditor.Conviene recordar que en el caso de detectar fraude durante el proceso de auditoria se procede actuar en consecuencia , con la debida prudencia, sobre todo si afecta a los administradores de la organización , Objeto de la Auditoria. Ante un caso así conviene consultar a la comisión Deontológico profesional , al asesor jurídico y leer detenidamente las normas profesionales el código penal y otras disposiciones

El Informe de Auditoria

• En el argot de auditoria se conoce como papeles de trabajo la “totalidad de los documentos preparados o recibidos por el auditor , de manera que en conjunto, constituye un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que a debido tomar para llegar a formarse su opinión”.

• El informe de auditor tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata previa supervisión.

• No debemos omitir la característica registral del informe , tanto en su parte cronológica como en la organización, con procedimientos de archivo, búsqueda, custodia y conservación de su documentación cumpliendo toda la norma legal y profesional.

Los trabajos utilizados, en el curso de una labor, de otros auditores externos, así como de los auditores internos , forman parte de la documentación.

Además , se incluirán: el contrato cliente/auditor informático y la carta

propuesta del auditor informático. Las declaraciones de la dirección. los contratos o equivalentes, que afectan al sistema de

información. el informe sobre terceros vínculos. Conocimiento de la actividad del cliente.

El Informe de Auditoria

Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculación con el factor riesgo.

También es cuestión previa decidir si el informe es largo o, por el contrario, corto.

En lo referente a su redacción , el informe deberá ser claro, adecuado, suficiente y comprensible.

Los puntos esenciales, genéricos y mínimos del informe de auditoria informática, son los siguientes: 1. Identificación del informe.2. Identificación del cliente.3. Identificación de la entidad auditora.4. Objetivos de la auditoria informática.

5. Normas aplicada y excepciones.6. Alcance de la auditoria.7. Conclusiones: informe corto de opinión.El informe debe contener uno de los siguientes tipos de opinión:

favorable o sin salvedades, con salvedades, desfavorables o adversa, y denegada.I. Opinión favorableII. Opinión con salvedades III. Opinión desfavorableIV. Opinión denegada V. Resumen

8. Resultados : informe largo y otros informes.9. Informes previos.10. Fecha del informe.11. Identificación y firma del auditor.12. Distribución del informe.

El Informe de Auditoria

Cobit: Cada estándar se define para una audiencia en particular : el

"COSO" fue diseñado para la Gerencia; el "SAC" para los auditores internos; los SAS 55 y SAS 78 para los auditores externos, y finalmente el "COBIT" enfocado principalmente para los auditores de sistemas de información

Es una metodología de control interno en el ambiente de tecnología informática y sistemas de información,

Quienes han adoptado COBIT?Muchas organizaciones en el ámbito nacional e internacional ya han adoptado el COBIT como una de las mejores prácticas. Sin intención de ser exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo: Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los EE.UU., entre otras

Fuente :Marcelo Héctor González, ASS, CISA - ISACA Chapter Buenos Aires.

CONTENIDO Y FORMATO DEL INFORME :1. Relación con las normas.2. Necesidad de esta guía.3. Reporte Propósito y contenido del reporte

1. Partes interesadas.2. Estilo y contenido.3. Establecimiento de objetivos4. Restricciones en la distribución.5. Hallazgos significativos a ser reportados.6. Conclusión.7. Requisitos8. Presentación lógica para su entendimiento.9. Consideraciones de eventos subsecuentes

4. Ética y estándares profesionales.1. Identificación de los estándares

5. Actividades de seguimiento.6. Fecha efectiva.

Fuente :http://www.isacachile.cl/mambo2 - Isaca Chile

• Antes de redactar el informe de auditoria, se debe de tener en cuenta que el asunto este muy claro, no por la expectativas, sino porque cada termino tiene un contenido usual muy concreto.

• Al aplicar criterios en términos de probabilidad, hay que evitar la predisposición a algún posible tipo de manipulación.

• Es importante emitir el informe de auditoria informática de acuerdo con la aplicación de la Auditoria Informática.

• El informe de auditoria informática no viene a ser mas que los objetivos de la auditoria informática propiamente dicha.

Auditoria de Sistemas