Universidad Don BoscoUniversidad Don BoscoFacultad de IngenieríaFacultad de IngenieríaEscuela de Ingeniería en Computación (EIC)Escuela de Ingeniería en Computación (EIC)

AUDITORÍA DE SISTEMAS

Milton Narváez (milton.narvaez@udb.edu.sv)Universidad Don Bosco

15 de mayo de 2013

UNIDAD UNIDAD VI. DICTAMEN DE VI. DICTAMEN DE AUDITORÍA AUDITORÍA DE DE SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN

UNIDAD VI. DICTAMEN DE AUDITORÍA DE UNIDAD VI. DICTAMEN DE AUDITORÍA DE SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN

CONTENIDO

6.1. Procedimiento para elaborar el informe de ASI

6.2. Características de forma y de fondo del informe de ASI

6.3. Estructura del informe

6.4. Formatos del informe

6.5. Divulgación del Informe6.5. Divulgación del Informe

6.6. Presentación del informe final

Aula virtual UDB:http://moodle.udb.edu.sv/ead/sistema/

COMPETENCIAS DESEABLESPlaneación estratégicaEjecución de procesosComunicación efectivaMejora continua

UNIDAD VI. DICTAMEN DE AUDITORÍA DE UNIDAD VI. DICTAMEN DE AUDITORÍA DE SISTEMAS DE INFORMACIÓNSISTEMAS DE INFORMACIÓN

Aula virtual UDB:http://moodle.udb.edu.sv/ead/sistema/

IntroducciónIntroducción

Una vez se ha detectado loshallazgos u observaciones, esobligación del auditor comentarla deforma directa y abierta con losresponsables asignados, a fin deque conozcan, acepten, aclaren,complementes y/o modifiquen concomplementes y/o modifiquen condetalles y pruebas.

Un informe final con su dictamen uopinión sobre los resultados deberánser superado por las áreasinvolucradas de la organización, enel tiempo según la importancia yexigencia de cada observación.

6.1. Procedimiento para elaborar el 6.1. Procedimiento para elaborar el informe de ASIinforme de ASI

1ra. Etapa.Planeación dela auditoría

2da. Etapa.Ejecución de la

ME

TOD

OLO

GÍA

Ejecución de laauditoría

3ra. Etapa.Dictamen de laauditoría

ME

TOD

OLO

GÍA

D.1. Analizar la información y elaborar uninforme de situaciones detectadasD.2. Elaborar el dictamen finalD.3. Presentar el informe de auditoría

6.1. Procedimiento para elaborar el 6.1. Procedimiento para elaborar el informe de ASIinforme de ASI

El informe de auditoría de sistemaspuede definirse como undocumento formal y oficial queutiliza el auditor para informar porescrito y de manera oportuna,precisa, completa, sencilla y clara,sobre los resultados que obtuvosobre los resultados que obtuvodespués de haber aplicado lastécnicas, métodos y procedimientosapropiados al tipo de revisión querealizó, para fundamentar con ellossu opinión respecto a la auditoríarealizada y estar en condiciones depoder emitir un dictamen correctosobre el comportamiento de latecnología de información

El informe de auditoría debe contener, como mínimo, las siguientes secciones:a) Carta ejecutiva (oficio de presentación).b) Presentación del informe (introducción al informe,

contenido del informe, listado de observaciones,

6.1. Procedimiento para elaborar el 6.1. Procedimiento para elaborar el informe de ASIinforme de ASI

contenido del informe, listado de observaciones, recomendaciones, responsable).

6.2. Características de forma y de fondo 6.2. Características de forma y de fondo del informe de ASIdel informe de ASI

La evidencia o el área de actividad es la informaciónespecífica, sujeta al reporte del auditor de SI yprocedimientos relacionados. Puede incluir conceptoscomo el diseño o la operación de controles internos ycumplimiento con prácticas privadas o estándares o leyesespecíficas y regulaciones.específicas y regulaciones.

El compromiso de reportes sobre atestados, es uncompromiso donde un auditor de SI examina lasaseveraciones de la gerencia relacionadas con unaevidencia en particular o la evidencia sujeta a estudiodirectamente. El reporte del auditor de SI consiste en unaopinión sobre alguno de los siguientes temas:

La evidencia . Estos reportes relacionan directamente a laevidencia más que a la aseveración. En algunas situaciones lagerencia no podrá realizar una aseveración sobre la evidenciadel compromiso. Un ejemplo de esta situación, es cuando losservicios de TI los brinda un tercero. La gerencia no podrá haceruna aseveración de manera ordinaria sobre controles en los queun tercero es responsable. Entonces, un auditor de SI debe

6.2. Características de forma y de fondo 6.2. Características de forma y de fondo del informe de ASIdel informe de ASI

un tercero es responsable. Entonces, un auditor de SI deberealizar un reporte directamente de la evidencia y no de laaseveración.

La aseveración de la gerencia sobre la efectividad de losprocedimientos de control.

Un compromiso de reportes de evaluación , donde un auditorde SI genera una opinión de una evidencia en particular. Estoscompromisos pueden incluir reportes de controlesimplementados por la gerencia y sobre su efectividad operativa.

6.3. Estructura del informe6.3. Estructura del informe

Un reporte de un auditor de SI sobre la efectividad de losprocedimientos de control debe incluir lo siguiente:a) Títulob) Interesadosc) Descripción del alcance de la auditoría, incluyendo:

• Identificación o descripción del área de actividad• Identificación o descripción del área de actividad• Criterio utilizado como la base para la conclusión del

auditor de SI• Una declaración de que el mantenimiento de una

estructura de control interno efectiva, incluyendoprocedimientos de control para el área de actividad,es la responsabilidad de la gerencia.

d) Donde el compromiso sea un compromiso atestado,una declaración identificando la fuente de larepresentación de la gerencia acerca de la efectividadde los procedimientos de control.

e) Una declaración de que el auditor de SI ha realizado elcompromiso para expresar la opinión de la efectividadde los controles internos.

6.3. Estructura del informe6.3. Estructura del informe

de los controles internos.f) Identificación del propósito para el cual el reporte del

auditor de SI ha sido preparado y aquellos autorizadospara revisarla y una declaración de responsabilidad porel uso para cualquier otro propósito o por cualquier otrapersona.

g) Descripción del criterio o descripción de la fuente delcriterio.

h) Declaración de que la auditoría ha sido conducida deacuerdo con los Estándares de Auditoría SI.

i) Detalles que explican aún más acerca de las variables queafectan el aseguramiento provisto y otra informaciónapropiada.

j) Donde sea apropiado, un reporte separado debe incluirrecomendaciones para acciones correctivas e incluirrespuesta de la gerencia.

6.3. Estructura del informe6.3. Estructura del informe

respuesta de la gerencia.k) Un párrafo detallando el por qué de las limitaciones

inherentes de cualquier control interno, atestados fallidosdebido a errores o fraudes que ocurran y no seandetectados. Adicionalmente, el párrafo debe declarar que lasproyecciones de cualquier evaluación de control internosobre reportes financieros de períodos futuros están sujetosal riesgo de que el control interno se vuelva inadecuado porcambios en las condiciones o que el nivel de cumplimientocon las políticas o procedimientos pueda deteriorarse.

l) Una opinión de expresión acerca de si, en lo querespecta a materiales, el diseño y la operación de losprocedimientos de control en relación con el área deactividad fueron efectivos

m) La firma del auditor de SI.n) La dirección del auditor de SI.

6.3. Estructura del informe6.3. Estructura del informe

n) La dirección del auditor de SI.o) La fecha del reporte de auditoría de SI. En muchas

instancias, la fecha del reporte se basa en estándaresprofesionales aplicables. En otras instancias, la fechadel reporte debe ser basada en la conclusión deltrabajo de campo.

6.4. Formatos del informe6.4. Formatos del informe

Los informes de auditoría interna se distribuirán a los miembros de la alta dirección para su examen.

Los informes de auditoría interna estarán disponibles para su consulta por los miembros de la alta dirección.

6.5. Divulgación del Informe6.5. Divulgación del Informe

Los proyectos de informes, los documentos de trabajo y los informes sobre las investigaciones no serán divulgados.

6.6. Presentación del informe final6.6. Presentación del informe final

Para lograr mejores resultados en la elaboración del informe, elauditor debe tomar en cuenta las siguientes características:•Claridad,•Efectividad,•Confiabilidad,•Positividad,•Positividad,•Propiedad,•Sintaxis,•Concisión,•Sencillez,•Asertividad,•Exactitud,•Familiaridad y•Veracidad.

Fuentes de consultaFuentes de consulta

Muñoz Razo, Carlos (2002). Auditoría en Sistemas Computacionales ,Primera Edición, Editorial Pearson Prentice Hall, México.

Information Systems Audit and Control Association - ISACA (2002). Guíade Auditoría de SI (Sistemas de Información). Reportes. Doc umentoG20. www.isaca.org.

Universidad Piloto de Colombia. Auditoría y Seguridad Informática .Universidad Piloto de Colombia. Auditoría y Seguridad Informática .Consultado de internet, en el URL:http://auditoriaupc.wikispaces.com/INTRODUCCION. Consultado el 15 demayo de 2013.

Milton Narváez (milton.narvaez@udb.edu.sv)Universidad Don Bosco

15 de mayo de 2013

“El éxito no se consigue pisando a los demás. En e s la ayuda mutua donde reside el secreto. Si piensas en

llegar solo, te quedarás solo y sin llegar”(Jorge Alvarez)