El informe de auditoría

1. Caratula, conteniendo la identificación del informe, periodo, y empresa

evaluada motivo de la evaluación.
2. Cabecera con el logo de la empresa auditora (parte superior izquierda), pie de
página con la fecha de presentación del informe (parte inferior derecha)
0. Identificación del informe: un nombre que lo identifique de otros informes.
1. Identificación del cliente: destinatarios y personas que solicitan la auditoría.
2. Identificación de la entidad auditada: organización/entidad/área objeto de la
auditoria de sistemas.
3. Objetivos de la auditoria de sistemas: identificar el propósito de la auditoria.
Para el caso, se deberá indicar todos los objetivos de acuerdo a la metodología
desarrollada en clase, teniendo en cuenta que no todos los objetivos se han
desarrollado.
4. Normativa aplicada: identificar las normas legales y profesionales. Ejemplo:
Normas profesionales – Normas legales – COBIT 4.1, etc.
5. Alcance de la auditoria: Naturaleza y extensión del trabajo, a saber:
a.Área de la organización: Ejemplo: Departamento de TI - UNT
b.Periodo de la auditoria: Ejemplo: 01/10/08 al 8/10/08
0.Sistemas/áreas a auditar: Ejemplo: Auditoria integral
a.Herramientas utilizadas: Describir las herramientas utilizadas en el
proceso de auditoria
b.Limitaciones al alcance: Ejemplo: No se audita el contenido de las
tablas, sino su diseño y estructura en cuanto a la normalización de
datos según el modelo de Boyce Codd.
c.Restricciones del objeto auditado: Ejemplo: No existen. Se provee todo
el sistema en su versión de fuentes, ejecutables, ayudas y accesorios.-
9. Informe corto – Resultados – Dictamen – Opiniones – Párrafos de salvedades y
énfasis de ser necesarios. Se deben colocar todas las observaciones
agrupadas por objetivos principales y sus respectivas recomendaciones
resumidos, además por cada objetivo se debe emitir una opinión.
Teniendo en cuenta los resultados producto del desarrollo de los objetivos, los
auditores deberán emitir una:
a. Opinión favorable: opinión calificada sin salvedades, limpia, clara y
precisa. No tiene limitaciones de alcance y sin incertidumbre. Están
acordes con la normativa legal y profesional.- Deben ser expresadas en
lenguaje coloquial, sin ambigüedades y medible en todos sus términos.
Ejemplos: Las tablas del SGBD están normalizadas y respetan el
modelo de Boyce Codd. // El código fuente del sistema de cuentas
corrientes de clientes, respeta los principios de automatismo y
determinismo.
0. Opinión con salvedades: opiniones favorables, pero que se afectan por
las siguientes circunstancias:
i. Limitaciones al alcance del trabajo realizado, restricciones por
parte del área auditada, por ejemplo.
ii. Incertidumbre que no permite una previsión razonable.
0.Irregularidades significativas
i.Incumplimiento de la normativa legal y profesional.
Ejemplos: Las tablas del SGBD están normalizadas y respetan el
modelo de 3era FN. No obstante, en el manual de diseño de bases de
datos del sistema, se exige el modelado de los datos según el modelo
de 5ta forma normal de Boyce Codd. // El código fuente del sistema de
cuentas corrientes de clientes respeta el principio de automatismo, mas
no asi el de determinismo. En un 20% el sistema no se comporto
determinísticamente ante un mismo lote de prueba.-
 Consideraciones: Este tipo de opinión puede generar para cada caso
una o más recomendaciones del auditor informático.-

Como serian las recomendaciones de las opiniones con salvedades

arriba informadas?

c. Opinión desfavorable: Esta opinión se aplica en casos de:

i.Identificación de irregularidades
ii.Incumplimiento de la normativa legal que
afectan
significativamente los objetivos de la auditoria informática.
Deben tener una reseña detallada en el informe largo.
iii. Incumplimiento de la normativa profesional: que afectan
significativamente los objetivos de la auditoria informática.
Deben tener una reseña detallada en el informe largo.

Ejemplo: El motor de bases de datos identificado como Informix

V2.0 no posee licencias habilitantes. // Los profesionales de
sistemas de la organización no poseen títulos habilitantes ni
matricula profesional.-

Consideraciones: Este tipo de opinión puede generar para cada caso

una o más recomendaciones del auditor de sistemas.- Como serian las
recomendaciones de las opiniones con salvedades arriba informadas?

d. Opinión denegada: Tienen su origen por:

i. Limitaciones al alcance
ii. Incertidumbres significativas que no permiten al auditor formar
una opinión
0.Irregularidades
i.Incumplimiento de normativa legal y profesional

Ejemplo: No se audito la normalización de tablas según el modelo

de Boyce Codd, debido a que fue denegado el acceso al
diccionario de datos del sistema. // No se audito el perfil
profesional de los especialistas de sistemas por negativa de
entrevistas y pruebas de aptitud profesional y desempeño.-

Consideraciones: Este tipo de opinión puede generar para cada caso

una o más recomendaciones del auditor informático.- Como serian las
recomendaciones de las opiniones con salvedades arriba informadas?

10. Resultados: Informe largo e informes anexos: Es una ampliación de todas y

cada una de las opiniones del punto anterior.- Los usuarios, no hay duda,
desean saber mas y quieren transparencia como valor añadido. El limite lo
determinan los papeles de trabajo o documentación del a auditoria de
sistemas, pero deben considerarse los siguientes aspectos:
a.Secreto de la organización: verticalistas (iglesia, FFAA, etc)
b.Secreto profesional
c. ...entre otros....
Algunas organizaciones públicas-gubernamentales y privadas solicitan
informes adicionales. Ej. Bancos, Bolsa de comercio, etc.
11. Informes previos: Considerando que el informe de auditoria informática es parte
de un informe de conjunto o bien ya existen otros informes de auditoria que
resultan significativos al informe actual.-
 La detección de irregularidades significativas (fraudes por ejemplo) requiere de
una actuación inmediata según las normas legales y profesionales. Recordar la
responsabilidad civil del auditor informático.-
12. Fecha del informe: muy importante, ya que permite la cuantificación de los
honorarios, cumplimiento de los tiempos con el cliente y la magnitud del trabajo
y sus aplicaciones. Debe considerarse:
a.Fecha de inicio
b.Fecha de finalización
c. Fecha de cierre del ejercicio económico ( en caso de organizaciones
que lo requieren como obligatorio)
Nota: estas fechas deben ser concordantes con el plan de trabajo
propuesto antes de realizar la auditoria.-
13. Identificación y firma del auditor: Aspecto formal y esencial del informe. Tanto
de ser individual como grupal (socios legalmente comprometidos)
14.Distribución del informe: Hace referencia a quien o quienes podrán hacer uso
del informe, los usos concretos que tendrá, ya que los honorarios deben tener
relación con la responsabilidad civil.
15.Anexos: Documentación y otros papeles de trabajo
a.Contrato cliente/auditor
b.Propuesta del auditor
c.Identificación del auditor. Presentación y CV de ser requerido
d.Declaraciones de la dirección
e.Otros contratos que afecten al sistema de información
0.Asesoría jurídica del cliente
f.Informes sobre terceros vinculados
g.Conocimiento de la actividad del cliente
i. Evidencia
i.Relevante
ii.Fiable
0.Suficiente
i.Adecuada
Ejemplo: Código fuente, modelo de datos, diccionario de datos,
pantallas del sistema, entre otros..
16. Anexos adicionales que no forman parte del informe final, pero que si forman
parte del trabajo para el curso de auditoría:
a. Plan de auditoría completo
b. Programa de auditoría completo
c. Papeles de trabajo desarrollados de acuerdo a los objetivos
propuestos
d. Evidencias adicionales utilizadas para desarrollar el trabajo asignado e.
CD/DVD conteniendo toda los documentos en formato digital y sin claves