Informe de AuditoraIntroduccin "Es un medio formal para comunicar los objetivos de la Auditora, el cuerpo de las normas de Auditora, el alcance de la Auditora, y los hallazgos y conclusiones" "Es el documento que refleja los objetivos, alcances, observaciones, recomendaciones y conclusiones del proceso de evaluacin relacionados con las reas de informtica" La elaboracin del informe representa el momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor de riesgo, tarea eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. No existe un formato especfico. Existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI El Informe de Auditora deber ser: - claro - adecuado - suficiente - comprensible El formato del Informe debe reflejar una presentacin lgica y organizada. El informe debe incluir suficiente informacin para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas. Requisitos del Informe Los requisitos de un Informe de Auditora son: 1- Ser veraz 2- Estar documentado formalmente 3- Mostrar las observaciones (debilidades) encontradas 4- Tener recomendaciones y soluciones para cada observacin 5- Reflejar las reas de oportunidad y cursos de accin Desarrollo del Informe Los puntos esenciales de un Informe de Auditora son: 1- Identificacin del Informe El ttulo del Informe deber identificarse como objeto de distinguirlo de otros informes 2- Identificacin del Cliente Debe identificarse a los destinatarios y a las personas que efecten el encargo 3- Identificacin de la Entidad auditada Identificacin de la entidad objeto de la Auditora Informtica 4- Objetivos de la Auditora Informtica Declaracin de los objetivos de la Auditora para identificar su propsito, sealando los objetivos incumplidos. 5- Normativa aplicativa y excepciones Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la Auditora 6- Alcance de la Auditora Concretar la naturaleza y extensin del trabajo realizado: rea organizativa, perodo de

auditora, sistemas de informacin..., sealando limitaciones del alcance y restricciones del auditado 7- Conclusiones: Informe corto de opinin El Informe debe contener uno de los siguientes tipos de opinin: Opinin favorable: es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional Opinin con salvedades: se reitera lo dicho en la opinin favorable al respecto de las salvedades cuando sean significativas en relacin con los objetivos de auditora, describindose con precisin la naturaleza y razones Opinin desfavorable: es aplicable en el caso de identificacin de irregularidades y de incumplimiento de la normativa legal y profesional, que afecten significativamente a los objetivos de la AI Opinin denegada: puede tener su origen en las limitaciones al alcance de auditora, irregularidades, y al incumplimiento de normativa legal y profesional Resumen: consiste en una opinin personal de lo llevado a cabo 8- Resultado: Informe largo y otros informes Este tipo de informe permite saber ms. Las soluciones previsibles se orientan hacia un Informe por cada objetivo de la AI 9- Informe previo Este tipo de informe permite tener informacin de referencia 10- Fecha del Informe Permite conocer la magnitud del trabajo y sus implicaciones 11- Identificacin y firma del Auditor 12- Distribucin del Informe Se define quienes podrn hacer uso del Informe Conclusiones Es un juicio de valor u opinin personal con justificacin Modelo de un Informe de Auditora Fecha del Informe: NOMBRE DE LA ENTIDAD: Auditora de Informatica Objetivo ........... Lugar de la Auditora ........... Grupo de Trabajo de Auditora ........... Fecha de Inicio de la Auditora ........... Tiempo estimado del proceso de revisin X hs

Fecha de Finalizacin de la Auditora ........... Herramientas utilizadas ........... Alcance ........... Procedimientos a aplicar ........... Informe de debilidades detectadas Situacin actual Comentario Comentario de la Gerencia

CONCLUSIONES ........... Ejemplo de un Informe de Auditora Situacin planteada En una Compaa de Seguros se llev a cabo la Auditora de una Base de Datos. Esta BD operativa es utilizada por todos los sistemas existentes en la empresa. Se cuenta con una BD Oracle 7.3 instalada en un Server, al cual tienen acceso 40 terminales. Existen desarrolladores y usuarios finales que acceden a la misma por medio de la autorizacin otorgada por el DBA (Administrador de la BD). Se observa que: - la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence - el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del da. - hasta el momento, la BD cuenta con ms de 2 millones de registros.

INFORME DE AUDITORIA Fecha del Informe: 12 / 06 / 2000 Seguros S.A

Nombre de la Entidad:

AUDITORIA DE UNA BASE DE DATOS Objetivo Controlar la definicin y existencia de los objetos necesarios para la normal utilizacin de una BD y para mejorar su performance. Lugar de la Auditora: rea de Sistemas Grupo de Trabajo de Auditora: Lic. Jorge Gorostiza Lic. Gustavo Barrientos

Fecha de Inicio de la Auditora: 12 / 05 / 2000 Tiempo estimado del proceso de revisin: 30 hs Fecha de Finalizacin de la Auditora: 19 / 05 / 2000 Herramientas utilizadas - Metodologa de auditora de objetivos de control - Utilitarios estndar Alcance Controlar la definicin y existencia de todos los objetos que son necesarios en la BD y que son utilizados por los distintos sistemas de la empresa. Procedimientos a aplicar: Objetos Las tablas definidas en el diseo coinciden con las fueron creadas en la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de las columnas? Estn definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente? Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida? La BD tiene vistas (views) respecto de algunas tablas? Para mejorar el performance del sistema, el DBA defini que sean necesarios segn los casos? Existe documentacin actualizada respecto del diseo e implementacin de la BD?

Datos Con qu frecuencia se realiza una copia de resguardo (backup) respecto de la BD? Cada cunto tiempo se realiza una actualizacin de los datos existentes?

Usuarios Cuntos usuarios tienen acceso a la BD? Cuntos usuarios actan como desarrolladores respecto de la BD? Cuntos usuarios son usuarios finales de la BD? Cules son los roles y privilegios establecidos por el DBA? Todos los usuarios tienen definido un rol determinado?

Informe de las debilidades detectadas Situacin Actual Recomendacin Comentario de la Gcia de Sistemas

No existen ndices que permitan mejorar el performance del sistema

Crear los ndices que correspondan de acuerdo con las aplicaciones que fueron desarrolladas.

De acuerdo (Sr. Gte de Sistemas)

Se realiza una copia diaria de resguardo (backup)

Debido al caudal de informacin que De acuerdo maneja la empresa, se sugiere (Sr. Gte de realizar 2 backups diarios, uno a Sistemas) mitad del da y otro al final del da.

CONCLUSIONES El equipo de auditores considera que la empresa NO realiza las tareas de actualizacin y mantenimiento necesarias, las cuales son esenciales para el normal funcionamiento de la misma y para el cumplimiento de los objetivos establecidos en las distintas reas de la empresa. Casos Prcticos Estos casos tienen como finalidad, la elaboracin de un "Informe de Auditora" teniendo en cuenta las situaciones planteadas. Caso 1 En una Empresa alimenticia se llev a cabo la Auditora de una Planificacin, la cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo. Se cuenta con un equipo de desarrollo formado por 32 personas, el cual est dividido por proyectos. La empresa, en este momento, est desarrollando 4 proyectos. Cada proyecto est formado por 4 programadores, 2 analistas programadores, 1 analista funcional y 1 lder de proyecto. Cada profesional actualiza diariamente la planificacin requerida por la empresa. Se observa que: - no todos los miembros del equipo de desarrollo estn informados de sus roles, responsabilidades respectivas y del tiempo asignado a c/u de ellos - existen pocos hitos o puntos de control en el desarrollo de los proyectos - los tiempos estimados no se corresponden con los costos calculados Caso 2 En un Banco se llev a cabo la Auditora de una Etapa de Anlisis, la cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo. Un equipo de 10 analistas funcionales se ocupa de llevar a cabo lo siguiente: 1Anlisis de requisitos del sistema 2Especificacin funcional del sistema En el Anlisis de requisitos del sistema se identificarn los requisitos del nuevo sistema. Se incluirn tanto los requisitos funcionales como los no funcionales, distinguiendo para c/u de ellos su importancia y prioridad. Luego, se determinarn las posibles soluciones alternativas que satisfagan esos requisitos y se elegir la ms adecuada. En la Especificacin funcional del sistema se elaborar una especificacin funcional detallada del sistema que sea coherente con lo que se espera de l. Se observa que: - no todas las especificaciones funcionales y anlisis de requisitos del sistema tienen un formato determinado - existen especificaciones funcionales que no fueron actualizadas y otras estn incompletas - no todo el equipo de desarrollo est actualizado de los cambios efectuados Caso 3 En una Empresa petrolera se llev a cabo la Auditora de una Etapa de Diseo, la cual es utilizada por el Lder del proyecto para evaluar el desarrollo del mismo. Un equipo de 12 analistas funcionales se ocupa de llevar a cabo el Diseo tcnico y las Especificaciones tcnicas de los sistemas. La empresa cuenta con un formato determinado respecto de las especificaciones, es decir cmo se deben documentar.

Se observa que: - no todas las especificaciones tcnicas del sistema tienen un formato determinado - existen especificaciones tcnicas que no fueron actualizadas y otras estn incompletas - no existe una vinculacin entre lo llevado a cabo en la etapa de anlisis y lo realizado en la etapa de diseo - no todo el equipo de desarrollo est actualizado de los cambios efectuados Caso 4 En una Empresa de Telefona se llev a cabo la Auditora de una Etapa de Construccin, la cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo. Un equipo de 30 programadores se ocupa de llevar a cabo la codificacin de los sistemas en desarrollo. Cada programador tiene asignado un tiempo de desarrollo y un mdulo de un determinado componente, el cual ser visto y probado por el Analista funcional que corresponda. Se observa que: - no se desarrollaron todos los componentes de la aplicacin - que no se probaron todos los componentes y que no existen los informes de prueba correspondientes - los usuarios no participaron en la prueba de los componentes - no existen los objetos necesarios en la BD para la ejecucin de los componentes Caso 5 En una Empresa de Telefona Celular se llev a cabo la Auditora de una Etapa de Implantacin, la cual es utilizada por el Director del proyecto para evaluar el desarrollo del mismo. Un equipo de 20 programadores se ocupa de llevar a cabo la prueba de los sistemas en desarrollo. Cada programador se ocupa, entre otras cosas, de probar aplicaciones y de emitir un informe en base a los resultados obtenidos de la prueba. En caso de encontrar fallas, el programador informar en qu sistema existen los inconvenientes. El Analista funcional decidir quin resuelve las fallas encontradas. La aprobacin final de una aplicacin se registra en un documento. Se observa que: - no todas las componentes cumplen las especificaciones funcionales llevadas a cabo - los resultados de las pruebas no son los correctos - no existe un documento de conformidad de los usuarios hacia el equipo de desarrollo respecto de lo realizado hasta el momento - la BD no cuenta con todos los objetos necesarios para la prueba de los sistemas Caso 6 En una Empresa Proveedora de Internet se llev a cabo la Auditora del Mantenimiento de Software, la cual es utilizada por el equipo del proyecto para evaluar el desarrollo y/o mantenimiento del mismo. Un equipo de 10 programadores se ocupa de llevar a cabo las siguientes tareas: deteccin y correccin de errores, actualizacin / cambio del software desarrollado y actualizacin / cambio de los paquetes de software. Se observa que: - este equipo no documenta las modificaciones llevadas a cabo ni los cambios realizados - la deteccin de errores no es dada a conocer para as prevenir futuros problemas