INFORME
TECNICO
Es el resultado de la información,
estudios, investigación y análisis efectuados por los auditores durante la
realización de una auditoría, que de forma normalizada expresa por escrito su
opinión sobre el área o actividad auditada en relación con los objetivos
fijados, señalan las debilidades de control interno, si las ha habido, y
formula recomendaciones pertinentes para eliminar las causas de tales
deficiencias y establecer las medidas correctoras adecuadas.
Importancia y
Relevancia del Informe
- El producto que vende Auditoría son sus informes.
- Se remiten a las más altas autoridades de la organización.
- Es el medio de que se vale Auditoría para dar a conocer su opinión. Es su vehículo de comunicación.
- Ponen de manifiesto si los auditores tienen una visión gerencial de las áreas auditadas o carecen de ella. Si están realmente capacitados.
- Son representativos de la calidad de la Auditoría Interna en cuanto a: formación profesional, cultura, estilo, corrección en el lenguaje escrito, etc.
- Cada informe es una carta de presentación de la Auditoría, los errores de concepto, la falta de oportunidad de las recomendaciones y la deficiente redacción pueden producirse en cualquier auditoría y es algo que debe evitarse.
PRECAUCIONES BÁSICAS
La minuciosidad y el examen de los
informes de auditoría una vez redactados y listos para ser distribuidos, exigen
un cuidadoso procedimiento de CONTROL DE CALIDAD que elimine
errores y fallos de cualquier clase y evite apresuramientos e improvisaciones
Precauciones básicas
·
Revisar cifras y datos detenidamente.
·
Corregir estilo y eliminación de faltas de ortografía, de impresión, etc.
·
Leerlo por auditores que no hayan intervenido en la auditoría.
·
Comprobar la pertinencia de las opiniones y recomendaciones.
·
Verificar su fundamentación documental y racional.
Para tener en cuenta
El informe de Auditoría refleja,
condensa y divulga la opinión de los Auditores y sus recomendaciones y es la
prueba elocuente de su calidad y de su acierto o de sus carencias en el trabajo
realizado.
Comunicación
del Resultado
Los Auditores Internos deben reportar
los resultados de su trabajo de auditoría:
1.
Se debe emitir un informe escrito y firmado, cada vez que concluya un examen de
auditoría. Pueden haber informes parciales.
2.
Los Auditores Internos deberán discutir sus conclusiones y recomendaciones a un
nivel adecuado dentro de la organización / área / unidad auditada, antes de
emitir su reporte escrito final.
3.
Los reportes deberán ser objetivos, claros, concisos, constructivos y
oportunos.
4.
Los reportes deberán contener el objeto, alcance y resultados del trabajo
realizado, en lo aplicable, la opinión del auditor.
5.
Los reportes pueden incluir recomendaciones de mejoras potenciales y un
satisfactorio reconocimiento de la ejecución de acciones correctivas.
6.
Pueden ser incluidos los puntos de vistas de los auditados respecto de
conclusiones o recomendaciones del auditor.
7.
El responsable superior del Departamento de Auditoria Interna deberá revisar y
aprobar el reporte final de auditoria antes de su emisión y deberá decidir a
quién se le distribuirá dicho informe.
Alcances a
los Requisitos del Informe
·
Los reportes deberán ser objetivos, claros, concisos, constructivos y
oportunos.
·
Los reportes son constructivos si son reales, imparciales y están libres de
distorsión, debiendo figurar sin prejuicios las observaciones, conclusiones y
recomendaciones.
·
Los informes son claros cuando son fácilmente comprensivos y lógicos. La
claridad puede mejorarse evitando el lenguaje técnico innecesario y
proporcionando suficiente información de apoyo.
·
Los informes concisos van a los hechos y evitan detalles innecesarios,
expresando las ideas con el menor número de palabras posibles.
·
Los informes constructivos son los que como resultado de su contenido y tono,
ayudan al auditado y a la organización y conducen a realizar las mejoras
necesarias.
·
Los informes son oportunos cuando se emiten sin retrasos indebidos y permiten
una rápida acción efectiva.
DETALLES A TENER EN CUENTA
·
Presentación impecable.
·
Redacción correcta.
·
Fácil lectura y manejo.
·
Estructurado.
·
Breve y medular.
Presentación
Impecable
·
Formato estándar, titulado, referenciado, limpio, sin correcciones ni faltas o
errores de impresión o de ortografía que serían imperdonables.
·
El destinatario del informe asociará la calidad del informe con la calidad de
la auditoria. Los errores que se le "escapen" al Auditor darán a
lugar a pensar otros descuidos durante el transcurso de la auditoría.
·
El responsable último del informe es siempre el directivo superior de
Auditoría. Para éste es obligatorio dar lectura completa y detenida del
informe. Con su firma asume la responsabilidad total del contenido del informe.
Redacción
Correcta
- De los informes deben suprimirse las afirmaciones contundentes, las expresiones agresivas o hirientes, la ironía y el sarcasmo y las alusiones personales. La redacción debe ser clara y culta a la vez, sin términos repetitivos, evitar frases hechas. Debe transmitirse al lector lo que realmente se quiere y hay que decirlo sin posibles confusiones o malas interpretaciones.
- Evitar frases atribuibles a otras profesiones que puedan dar lugar a problemas legales; ejemplo: "Se ha comprobado fehacientemente...".
- La finalidad del informe es que su cumplan sus recomendaciones y a ello hay subordinar cualquier otro fin.
Fácil lectura
y Manejo
- Los informes que no sean manejables (excesivamente voluminosos), van a ser muy difíciles que se lean y un informe que no se lea por el destinatario carece de valor. Los informes se hacen para los destinatarios no para satisfacer al auditor.
- Para que los informes interesen han de atraer inmediatamente la atención del lector. A ello contribuirá que su lectura sea lo más cómoda y rápida posible.
- Con independencia de su contenido, han de ser impresos con letra lo suficientemente grande. Frases y párrafos cortos y espaciados. Evitar párrafos interminables.
- Apartados y epígrafes adecuadamente titulados
Estructura
Normalizada
Índice
- Descripción del contenido del informe capítulos, epígrafes y sub-epígrafes con número de pagina asociado.
Párrafo Introductorio
- Naturaleza de la auditoría
- Período cubierto
- Tiempo dedicado al trabajo de campo
- Personal asignado al Auditoría
Alcance
- El alcance está determinado por los objetivos y procedimientos empleados en la auditoría y concreta la amplitud y profundidad de los trabajos.
Resumen de Aspectos Principales
- Aspectos sustantivos tratados en el informe, síntesis de hallazgos
Hallazgos y Recomendaciones
- Por aspectos individuales
*Encabezado
*Hallazgo
*Recomendación
La cobertura previa de los hallazgos
proveerá una base para la conclusión o recomendación. La idea de conclusión es
de posición final, hecho importante que no involucra una recomendación.
La conclusión más sólida es aquella
que el auditado está de acuerdo con lo que se le planteó y aceptó tomar medidas
correctivas.
Las conclusiones aceptadas sirven
para informar a la autoridad superior respecto del problema y su solución. De
otro modo, la conclusión se refiere al reconocimiento del problema por parte
del auditado quién se ha comprometido al estudio de su solución.
También puede ser necesario una
recomendación relativa a lo que el auditor considere de hacer el auditado, aun
cuando este no esté se encuentre en desacuerdo.
Otras recomendaciones implican la
necesidad de involucrar un más alto nivel de autoridad que el auditado. En este
caso se puede incorporar la posición del auditado.
*Comentarios del Auditado
En este párrafo se consigna la
reacción del auditado respecto de los hallazgos, conclusiones y/o
recomendaciones de auditoría.
Cuando existen diferencias de opinión
o circunstancias atenuantes, el informe de auditoría incluirá los comentarios
del auditado
Carta Conductora
- El informe se hace llegar a través de una carta denominada "conductora" dirigida a la autoridad superior con copia al auditado y otros que excepcionalmente se estimaran necesarios. Esta carta incluye un párrafo referido a la apreciación del auditor asignado respecto de la cooperación y asistencia recibida durante el curso de la auditoría.
Breve y
Medular
- Se debe procurar que los informes sean lo más breve, cortos y reducidos que sea posible, para lo cual el informe no debe incluir información confusa, larga, tediosa y documentación como prueba. Dichas pruebas se deben mantener en el soporte o archivo del informe junto con los correspondientes PPTT (papeles de trabajo).
EL INFORME TECNICO DE
AUDITORIA es un medio formal para
comunicar los objetivos de la Auditoría, el cuerpo de las normas de Auditoría,
el alcance de la Auditoría, y los hallazgos y conclusiones"
"Es el documento que
refleja los objetivos, alcances, observaciones, recomendaciones y conclusiones
del proceso de evaluación relacionados con las áreas de informática"
La elaboración del informe
representa el momento adecuado de separar lo significativo de lo no
significativo, debidamente evaluados por su importancia y vinculación con
el factor de riesgo, tarea eminentemente de carácter profesional y ético, según
el leal saber y entender del Auditor Informático.
No existe un formato
específico.
Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI
Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido. El orden y la forma del Informe puede variar de acuerdo con la creatividad y estilo de los AI
El Informe de Auditoría
deberá ser:
- claro
- adecuado
- suficiente
- comprensible
- claro
- adecuado
- suficiente
- comprensible
El formato del Informe
debe reflejar una presentación lógica y organizada.
El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas.
El informe debe incluir suficiente información para que sea comprendido por los destinatarios esperados y facilitar las acciones correctivas.
Requisitos del Informe
Los requisitos de un
Informe de Auditoría son:
1- Ser veraz
2- Estar documentado formalmente
3- Mostrar las observaciones (debilidades) encontradas
4- Tener recomendaciones y soluciones para cada observación
5- Reflejar las áreas de oportunidad y cursos de acción
1- Ser veraz
2- Estar documentado formalmente
3- Mostrar las observaciones (debilidades) encontradas
4- Tener recomendaciones y soluciones para cada observación
5- Reflejar las áreas de oportunidad y cursos de acción
Desarrollo del Informe
Los puntos esenciales de
un Informe de Auditoría son:
1- Identificación del
Informe
El título del Informe deberá identificarse como objeto de disitnguirlo de otros informes
El título del Informe deberá identificarse como objeto de disitnguirlo de otros informes
2- Identificación del
Cliente
Debe identificarse a los destinatarios y a las personas que efectúen el encargo
Debe identificarse a los destinatarios y a las personas que efectúen el encargo
3- Identificación de la
Entidad auditada
Identificación de la entidad objeto de la Auditoría Informática
Identificación de la entidad objeto de la Auditoría Informática
4- Objetivos de la
Auditoría Informática
Declaración de los objetivos de la Auditoría para identificar su propósito, señalando los objetivos incumplidos.
Declaración de los objetivos de la Auditoría para identificar su propósito, señalando los objetivos incumplidos.
5- Normativa aplicativa
y excepciones
Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la Auditoría
Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la Auditoría
6- Alcance de la
Auditoría
Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información..., señalando limitaciones del alcance y restricciones del auditado
Concretar la naturaleza y extensión del trabajo realizado: área organizativa, período de auditoría, sistemas de información..., señalando limitaciones del alcance y restricciones del auditado
7- Conclusiones:
Informe corto de opinión
El Informe debe contener
uno de los siguientes tipos de opinión:
opinión favorable: es el
resultado de un trabajo realizado sin limitaciones de alcance y sin
incertidumbre, de acuerdo con la normativa legal y profesional
opinión con salvedades: se reitera
lo dicho en la opinión favorable al respecto de las salvedades cuando sean
significativas en relación con los objetivos de auditoría, describiéndose con
precisión la naturaleza y razones
opinión desfavorabe: es
aplicable en el caso de identificación de irreguilaridades y de incumplimiento
de la normativa legal y profesional, que afecten significativamente a los
objetivos de la AI
opinión denegada: puede
tener su origen en las limtaciones al alcance de auditoría, irregularidades, y
al incumplimiento de normativa legal y profesional
resumen: consiste
en una opinión personal de lo llevado a cabo
8- Resultado: Informe
largo y otros informes
Este tipo de informe permite saber más.
Las soluciones previsibles se orientam hacia un Informe por cada objetivo de la AI
Este tipo de informe permite saber más.
Las soluciones previsibles se orientam hacia un Informe por cada objetivo de la AI
9- Informe previo
Este tipo de informe permite tener información de referencia
Este tipo de informe permite tener información de referencia
10- Fecha del Informe
Permite conocer la magnitud del trabajo y sus implicaciones
Permite conocer la magnitud del trabajo y sus implicaciones
11- Identificación y
firma del Auditor
12- Distribución del
Informe
Se define quienes podrán hacer uso del Informe
Se define quienes podrán hacer uso del Informe
Conclusiones
Es un juicio de valor u opinión personal con justificación
Es un juicio de valor u opinión personal con justificación
Modelo de un Informe de Auditoría
Fecha del Informe:
NOMBRE DE LA ENTIDAD
Auditoría de ........
Objetivo
...........
...........
Lugar de la Auditoría
Grupo de Trabajo de
Auditoría
Fecha de Inicio de la
Auditoría
Tiempo estimado del
proceso de revisión X hs
Fecha de Finalización de
la Auditoría
Herramientas utilizadas
Alcance
Procedimientos a aplicar
Informe de debilidades
detectadas
Situación
actual |
Comentario
|
Comentario de la Gerencia
|
CONCLUSIONES
...........
...........
Ejemplo de un Informe de
Auditoría
Situación planteada
En una “Compañía de Seguros” se llevó
a cabo la “Auditoría de una Base de Datos”. Esta BD operativa es
utilizada por todos los sistemas existentes en la empresa.
Se cuenta con una BD Oracle 7.3
instalada en un Server, al cual tienen acceso 40 terminales. Existen
desarrolladores y usuarios finales que acceden a la misma por medio de la
autorización otorgada por el DBA (Administrador de la BD).
Se observa que:
- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence
- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día.
- hasta el momento, la BD cuenta con más de 2 millones de registros.
- la BD tiene los siguientes objetos definidos: tablas, views (vistas) y sequence
- el personal a cargo del mantenimiento de la BD realiza 1 copia de resguardo al final del día.
- hasta el momento, la BD cuenta con más de 2 millones de registros.
EJEMPLO DE INFORME
INFORME DE
AUDITORIA
Fecha del Informe: 12 / 06 / 2000
Nombre de la Entidad:
Seguros S.A
AUDITORIA
DE UNA BASE DE
DATOS
Objetivo
Controlar la definición y existencia
de los objetos necesarios para la normal utilización de una BD y para mejorar
su performance.
Lugar de la Auditoría: Area de Sistemas
Grupo de Trabajo de Auditoría: Lic. Jorge Gorostiza
Lic. Gustavo Barrientos
Lic. Gustavo Barrientos
Fecha de Inicio de la Auditoría: 12 / 05 / 2000
Tiempo estimado del proceso de
revisión: 30 hs
Fecha de Finalización de la Auditoría: 19 / 05 / 2000
Herramientas utilizadas
-
Metodología de auditoría de objetivos de control
- Utilitarios estándar
- Utilitarios estándar
Alcance
Controlar la definición y existencia
de todos los objetos que son necesarios en la BD y que son utilizados por los
distintos sistemas de la empresa.
Procedimientos a aplicar:
Objetos
- ¿Las tablas definidas en el diseño coinciden con las fueron creadas en
la BD teniendo en cuenta nombres de las tablas, columnas y tipos de datos de
las columnas?
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?
- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?
- ¿La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?
- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?
- ¿Están definidas las claves primarias (PK) y claves externas (FK) de c/ tabla existente?
- ¿Existen las secuencias (sequences) correspondientes a la clave primaria (PK) de c/ tabla definida?
- ¿La BD tiene vistas (views) respecto de algunas tablas?
- Para mejorar el performance del sistema, ¿el DBA definió que sean necesarios según los casos?
- ¿Existe documentación actualizada respecto del diseño e implementación de la BD?
Datos
- ¿Con qué frecuencia se realiza una copia de resguardo (backup) respecto de la
BD?
- ¿Cada cuánto tiempo se realiza una actualización de los datos existentes?
- ¿Cada cuánto tiempo se realiza una actualización de los datos existentes?
Usuarios
- ¿Cuántos usuarios tienen acceso a la BD?
- ¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
- ¿Cuántos usuarios son usuarios finales de la BD?
- ¿Cuáles son los roles y privilegios establecidos por el DBA?
- ¿Todos los usuarios tienen definido un rol determinado?
- ¿Cuántos usuarios actúan como desarrolladores respecto de la BD?
- ¿Cuántos usuarios son usuarios finales de la BD?
- ¿Cuáles son los roles y privilegios establecidos por el DBA?
- ¿Todos los usuarios tienen definido un rol determinado?
Informe de las debilidades
detectadas
Situación Actual
|
Recomendación
|
Comentario de la Gcia de Sistemas
|
No existen índices que permitan
mejorar el performance del sistema
|
Crear los índices que correspondan
de acuerdo con las aplicaciones que fueron desarrolladas.
|
De acuerdo
(Sr. Gte de Sistemas) |
Se realiza una copia diaria de
resguardo (backup)
|
Debido al caudal de información que
maneja la empresa, se sugiere realizar 2 backups diarios, uno a mitad del día
y otro al final del día.
|
De acuerdo
(Sr. Gte de Sistemas) |
CONCLUSIONES
El equipo de auditores considera que
la empresa NO realiza las tareas de actualización y mantenimiento necesarias,
las cuales son esenciales para el normal funcionamiento de la misma y para el
cumplimiento de los objetivos establecidos en las distintas áreas de la
empresa.
No hay comentarios:
Publicar un comentario