UNIVERSIDAD NACIONAL DE UCAYALI Facultad de Ing. De Sistemas e Ing UNIVERSIDAD NACIONAL DE UCAYALI Facultad de Ing. De Sistemas e Ing. Civil Escuela Pro. De Ing. De Sistemas www.unu.edu.pe Curso : Auditoria de Sistemas Capitulo : El Informe. Docente : Ing. Franklin Calle Zapata fcallez@gmail.com Grupo : 04 Integrantes : Lachi Cárdenas, Antony Martin(Líder) zmartin24@gmail.com 99% Villacorta Izquierdo, Carlos humbertovillacorta@gmail.com 99% Pozo Ruiz, Carlos Antonio 99% Carbajal Pastor, Miguel Ángel m.carbajal.p@gmail.com 99% Fecha : 13/09/08

Auditoria de Sistemas Informe de Auditoria

Contenido Introducción Objetivos Normas La Evidencia Las Irregularidades La Documentación El Informe ESTANDARES DE AUDITORIA DE SISTEMAS DEFINIDOS POR LA ISACA - COBIT ( Control Objectives for Information and related Technology Conclusiones.

Introducción El Informe de Auditoria

Introducción El informe de Auditoria Informática es el objeto de la Auditoria Informática. El contexto en el cual se desenvuelve hoy su practica es muy cambiante, las tecnologías de información dominan de modo imparable las relaciones humanas presentando un ciclo de vida cada vez mas corto. Desfase entre las expectativas de los usuarios y los Informes de Auditoria.

Introducción La complejidad de los sistemas de información crece con sus prestaciones y características. Dependencia de los sistemas y necesidad mas marcada de expertos eficientes (no infalibles) en Auditoria Informática. La informática es muy joven, por tanto la Auditoria informática lo es mas. Se tratara de fijar en este capitulo la practica de Auditoria Informática en función del Informe. Para ello se repasara aspectos previos fundamentales, como son las normas, el concepto de evidencia en Auditoria, la documentación y finalmente el informe, sus componentes, características y tendencias detectadas como también algunas conclusiones .

Objetivos El Informe de Auditoria

Objetivos Conocer cuales son los pasos a seguir para elaborar un informe formal luego de haber realizado una auditoria. Conocer cuales son las normas legales que respaldan a la estructura de un informe. Familiarizarse con la forma de documentar los resultados obtenidos. Conocer algunas normas y la forma como definen su modelo de informe.

Normas El Informe de Auditoria

Normas En 1996 la Unión europea publicó el Libro Verde de la Auditoria, dedicado al papel, la posición y la responsabilidad del Auditor Legal. Su contenido afecta a la Auditoria informática. En principio el libro acepta las Normas Internacionales IFAC para su adaptación adecuada a la Unión Europea. Otra fuente de Normas Internacionales es ISACF, ya más especifica de Auditoria Informática.

Normas La normativa española oficial que afecta, en mayor o menor medida, a la Auditoria Informática es: ICAC: Normas Técnicas de Auditoria: punto 2.4.10, Estudio y Evaluación del Sistema de Control Interno. AGENCIA DE PROTECCION DE DATOS: Instrucción relativa a la prestación de servicios sobre solvencia patrimonial y créditos, Norma Cuarta: Forma de Comprobación. La Auditoria Informática no esta muy desarrollada y, por añadidura, se encuentra en un punto crucial para la definición del modelo en que deberá implantarse y practicarse.

Evidencias El Informe de Auditoria

Evidencias La Evidencia es la base razonable de la opinión del auditor informático, es decir el informe de Auditoria Informática. La Evidencia tiene una serie de calificativos a saber: La Evidencia Relevante, que tiene una relación lógica con los objetivos de la auditoria La Evidencia Fiable, que es valida y objetiva aunque, con nivel de confianza La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor. La evidencia Adecuada, que es de tipo cualitativo para afectar las conclusiones del auditor En principio, las pruebas son de cumplimiento o sustantivas. La opinión deberá estar basada en evidencias justificadas, si es preciso con evidencia adicional

Evidencias LAS PRUEBAS DE CUMPLIMIENTO Una prueba de cumplimiento es una prueba que reúne evidencia de auditoria para indicar si un control funciona efectivamente y logra sus objetivos. El DISEÑO DE LAS PRUEBAS DE CUMPLIMIENTO Diseñamos pruebas de cumplimiento para reunir evidencias de funcionamiento efectivo, controles interno , debemos enfocarnos : Se ejecutaron los procedimientos previstos? Se ejecutaron adecuadamente? Fueron ejecutados por alguien que cumple con los requisitos de segregación de funciones?

Evidencias TIPOS DE PRUEBA DE CUMPLIMIENTO Existen prueba de : Detalles Indagación Observación

Evidencias Desviación del Cumplimiento Las desviaciones nos permiten soportarnos para determinar si se deposita confianza en los controles internos. Antes de comenzar a probar los controles en los cuales se depositará confianza, debemos definir aquello que se constituirá una desviación de cumplimiento. Se entiende por desviación de cumplimiento a todo procedimiento que de acuerdo con las normas establecidas debe efectuarse y no se efectúa. Ejemplo. Pude existir entonces que no se ha realizado un asiento contable o que el mismo este mal hecho , el cual el mismo debería estar bajo a supervisión del encargado del departamento contable La determinación del desvío nada tiene que ver con el valor monetario dado que el propósito de la prueba de cumplimiento es reunir evidencia respecto del cumplimiento de un control y no sobre el intercambio en particular Tales desvíos se producen por :

Evidencias Desviación del Cumplimiento Tales desvíos se producen por : Errores humanos Cambio de personal y falta de familiaridad del mismo Fluctuaciones temporales en el volumen de transacciones.

Evidencias Pruebas Substanciales Una prueba sustantiva es un procedimiento diseñado para probar el valor monetario de saldos o la inexistencia de errores monetarios que afecten la presentación de los estados financieros. Dichos errores (normalmente conocidos como errores monetarios) son una clara indicación de que los saldos de las cuentas pueden estar desvirtuados. La única duda que el auditor debe resolver, es de sí estos errores son suficientemente importantes como para requerir ajuste o su divulgación en los estados financieros Deben ejecutarse para determinar si los errores monetarios han ocurrido realmente. Una vez valorados los resultados de las pruebas se obtienen conclusiones que serán comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de corroborar los resultados. Por último, el auditor deberá emitir una serie de comentarios donde se describa la situación, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la posible solución.

Irregularidades El Informe de Auditoria

Las Irregularidades Las Irregularidades, o sea, los fraudes y los errores. En las organizaciones y las empresas, la dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores: La responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección. Es Pues indudablemente necesario diseñar pruebas anti fraude que lógicamente incrementaran el coste de la auditoria, previo análisis de riesgos. Por prudencia y actitud, convendrá aclarar al máximo –de ser posible- si el informe de auditoria es propiamente de auditoria y no de consultoría o asesoría informática, o de otra materia afín o próxima. Aunque siempre debe prevalecer el deber de secreto profesional del auditor. Conviene recordar que en el caso de detectar fraude durante el proceso de auditoria se procede actuar en consecuencia , con la debida prudencia, sobre todo si afecta a los administradores de la organización , Objeto de la Auditoria. Ante un caso así conviene consultar a la comisión Deontológico profesional , al asesor jurídico y leer detenidamente las normas profesionales el código penal y otras disposiciones

La Documentación El Informe de Auditoria

La Documentación En el argot de auditoria se conoce como papeles de trabajo la “totalidad de los documentos preparados o recibidos por el auditor , de manera que en conjunto, constituye un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que a debido tomar para llegar a formarse su opinión”. El informe de auditor tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata previa supervisión. No debemos omitir la característica registral del informe , tanto en su parte cronológica como en la organización, con procedimientos de archivo, búsqueda, custodia y conservación de su documentación cumpliendo toda la norma legal y profesional.

La Documentación Los trabajos utilizados, en el curso de una labor, de otros auditores externos, así como de los auditores internos , forman parte de la documentación. Además , se incluirán: el contrato cliente/auditor informático y la carta propuesta del auditor informático. Las declaraciones de la dirección. los contratos o equivalentes, que afectan al sistema de información. el informe sobre terceros vínculos. Conocimiento de la actividad del cliente.

El Informe El Informe de Auditoria

El Informe Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculación con el factor riesgo. También es cuestión previa decidir si el informe es largo o, por el contrario, corto. En lo referente a su redacción , el informe deberá ser claro, adecuado, suficiente y comprensible. Los puntos esenciales, genéricos y mínimos del informe de auditoria informática, son los siguientes: Identificación del informe. Identificación del cliente. Identificación de la entidad auditora. Objetivos de la auditoria informática.

El Informe Normas aplicada y excepciones. Alcance de la auditoria. Conclusiones: informe corto de opinión. El informe debe contener uno de los siguientes tipos de opinión: favorable o sin salvedades, con salvedades, desfavorables o adversa, y denegada. Opinión favorable Opinión con salvedades Opinión desfavorable Opinión denegada Resumen Resultados : informe largo y otros informes. Informes previos. Fecha del informe. Identificación y firma del auditor. Distribución del informe.

ESTANDARES DE AUDITORIA DE SISTEMAS DEFINIDOS POR LA ISACA - COBIT ( Control Objectives for Information and related Technology El Informe de Auditoria

ESTANDARES DE AUDITORIA DE SISTEMAS DEFINIDOS POR LA ISACA Cobit: Cada estándar se define para una audiencia en particular : el "COSO" fue diseñado para la Gerencia; el "SAC" para los auditores internos; los SAS 55 y SAS 78 para los auditores externos, y finalmente el "COBIT" enfocado principalmente para los auditores de sistemas de información Es una metodología de control interno en el ambiente de tecnología informática y sistemas de información,

ESTANDARES DE AUDITORIA DE SISTEMAS DEFINIDOS POR LA ISACA - COBIT ( Control Objectives for Information and related Technology Quienes han adoptado COBIT? Muchas organizaciones en el ámbito nacional e internacional ya han adoptado el COBIT como una de las mejores prácticas. Sin intención de ser exhaustivo, sólo mencionaré las que desde hace tiempo lo vienen haciendo: Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva Federal de los Estados Unidos de América; Daimler-Chrysler en Alemania y los EE.UU., entre otras Fuente :Marcelo Héctor González, ASS, CISA - ISACA Chapter Buenos Aires.

Formato del Informe Relación con las normas. Necesidad de esta guía. CONTENIDO Y FORMATO DEL INFORME : Relación con las normas. Necesidad de esta guía. Reporte Propósito y contenido del reporte Partes interesadas. Estilo y contenido. Establecimiento de objetivos Restricciones en la distribución. Hallazgos significativos a ser reportados. Conclusión. Requisitos Presentación lógica para su entendimiento. Consideraciones de eventos subsecuentes Ética y estándares profesionales. Identificación de los estándares Actividades de seguimiento. Fecha efectiva. Fuente :http://www.isacachile.cl/mambo2 - Isaca Chile

Conclusiones Antes de redactar el informe de auditoria, se debe de tener en cuenta que el asunto este muy claro, no por la expectativas, sino porque cada termino tiene un contenido usual muy concreto. Al aplicar criterios en términos de probabilidad, hay que evitar la predisposición a algún posible tipo de manipulación. Es importante emitir el informe de auditoria informática de acuerdo con la aplicación de la Auditoria Informática. El informe de auditoria informática no viene a ser mas que los objetivos de la auditoria informática propiamente dicha.

Gracias por su atención Auditoria de Sistemas Gracias por su atención