Sistemas de Informacin para la Gestin / Informtica

Unidad 6: Auditora de los Sistemas de Informacin

Auditora: Conceptos
Control Interno Conjunto de mtodos coordinados y medidas adoptadas dentro de una organizacin con el fin de: Salvaguardar activos,

Asegurar la confiabilidad y correccin de los datos contables y extracontables

Promover la eficacia y eficiencia de las operaciones Promover la adhesin a las polticas vigentes

Auditora: Conceptos
El Control Interno se instrumenta a partir de: a) Funciones Preventivas Polticas Gerenciales Misiones y Funciones Esquemas de organizacin Normas y procedimientos Polticas de personal Etc. b) Funciones de Control/Verificacin La funcin de lnea, en todos sus niveles (control operativo) La funcin staff (auditora)

Auditora: Conceptos Componentes de un Sistema de Control RT7 CECyT

Sistema Operante

Caracterstica o Condicin Controlada

Sensor

Grupo Activante

Grupo de Control

Auditora: Conceptos

Auditora
Es una funcin de control independiente del sistema controlado, que en forma sistemtica y organizada debe: Comparar la caracterstica o condicin controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor. Determinar los desvos, e Informar a quien ordena o contrata la auditora, que jerrquicamente debe estar por encima del sistema auditado.

Auditora: Conceptos

Concepto Moderno de Auditora

La Auditora ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinacin hacia deteccin de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio

Auditora de Sistemas de Informacin

Concepto Proceso formal llevado adelante por especialistas en auditora y en informtica a efectos de verificar y asegurar que los recursos y procesos involucrados en la construccin y explotacin de los sistemas de informacin cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

Auditora de Sistemas de Informacin: Conceptos Objeto de la Auditora de Sist.de Informacin

El mbito de la ASI se refiere al entorno informtico correspondiendo entenderse por tal a todo lo que conforma:

Tecnologa Informtica (Oferta) Hardware y Software Tecnologa de Comunicaciones y Base de datos Metodologa para la construccin de aplicaciones.

APLICACIONES
Sistemas de Informacin (Demanda) Necesidades de Informacin Requerimientos del Negocio

Auditora de Sistemas de Informacin: Conceptos

Principales Areas de Actividad de la A.S.I.
Auditora de la direccin (Plan Estratgico de Sistemas)
Auditora del desarrollo (gestin de proyecto) Auditora de la Adquisicin Auditora Seguridad (Seguridad Fsica, Seguridad Lgica, Evaluacin de Riesgos, Plan de Contingencias) Auditora de la explotacin y Mantenimiento (Utilizacin de sistemas, puesta en marcha, cambios de programas)

Auditora de Sistemas de Informacin: Conceptos

Principales Funciones de la A.S.I.
Evaluacin y verificacin de controles y procedimientos relacionados con
la funcin de informtica Verificacin del uso eficiente de los SI. Desarrollo de las actividades del rea de auditora informtica de acuerdo a estndares normativos. Evaluacin de las reas de riesgo y en consecuencia planificacin de las tareas del rea. Realizar el monitoreo permanente de las actividades del rea. Realizar el monitoreo de la seguridad. Monitoreo de la aplicacin de procedimientos. Realizar una adecuada informacin y seguimiento de las observaciones realizadas.

Auditora de Sistemas de Informacin: Conceptos

Sensor
Unidad de medida, el estndar o la norma con la cual voy a medir o comparar el sistema de informacin. Normas internas: Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogramas, flujogramas, organigramas, documentacin de sistemas, etc. Profesionales: Informe 6 Area de Auditora del CECyT: Pautas para el Examen de Estados Contables en un Contexto Computadorizado Organismos de Control: Comunicacin A 2659 del Banco Central de la Repblica Argentina Pautas de Control Interno para Sistemas Computadorizados y Tecnologa de Informacin de la SIGEN (Sindicatura Gral.de la Nacin) Internacionales C.O.B.I.T Objetivos de control para la informacin y la tecnologa Relacionada, desarrollado por la I.S.A.C.A. Asociacin de Auditora y Control de Sistemas de Informacin. Normas externas:

Auditora de Sistemas de Informacin: Conceptos

Sensor
Criterio del Auditor:

Es el menos recomendable y en general el ms utilizado.

La principal crtica que se le puede hacer como sensor es la falta de objetividad, ya que es la opinin del auditor sobre lo que debera ser, y por lo general suele ser muy discutida, salvo casos de observaciones muy evidentes, o una muy buena fundamentacin del criterio utilizado.

Auditora de Sistemas de Informacin: Conceptos Sensor: Estructura del Informe 6 CECYT

1 Introduccin: Objetivos y Alcances, Descripcin del Ambito Computadorizado Impacto de la Computacin en las Actividades de Control 2 - Evaluacin de las actividades de control Descripcin de los controles Metodologa Relevamiento general Relevamiento detallado Evaluacin de las actividades relevadas Prueba y evaluacin del funcionamiento. Tcnicas.

Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe 6 CECYT
3 - Determinacin de la naturaleza, extensin y oportunidad de los procedimientos a aplicar para obtener elementos de juicio vlidos y suficientes Conceptos Generales Calidad de los Controles Posibilidades de Utilizar el Computador Ventajas de Utilizar el Computador
4 Cuestionario de Actividades de Control de Sistemas Computadorizados Recursos Afectados (Medios fsicos, soporte lgico, RRHH, instalaciones, documentacin, archivos de datos y programas) Mtodos de Operacin (en lotes, en lnea diferido, en tiempo real, servicio de computacin. Desarrollo y Mantenimiento del Sistema

Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Control OBjectives for Information and Relatives Technologies I.S.A.C.A. ( Information System Audit Control Association)

Establece una gua metodolgica estndar para la evaluacin y comprobacin de actividades de Control Interno, en el campo especfico.

Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.
Marco Conceptual La informacin, cumple con los procesos de negocios, siguiendo criterios de: Calidad: Eficacia y Eficiencia Seguridad: Confidencialidad, Integridad y Disponibilidad Confianza: Cumplimiento de disposiciones y confiabilidad. Utilizando los recursos de la tecnologa informtica: Datos, Aplicaciones, Tecnologa, Instalaciones y Personal. Las actividades de los procesos informticos, se analizan por dominios: Planificacin y organizacin, Adquisicin e implementacin, Entrega y soporte y Monitoreo.

Auditora de Sistemas de Informacin: Conceptos

Sensor: Estructura del Informe C.O.B.I.T.

Requerimientos de la informacin del negocio: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Auditora de Sistemas de Informacin: Conceptos

Sensor: COBIT Anlisis por Dominios

Auditora de Sistemas de Informacin: Conceptos Sensor: COBIT Anlisis por Dominios

Planificacin y organizacin: Definir un plan estratgico, Determinar la arquitectura de la informacin, Definir la direccin tecnolgica, Definir la organizacin y las relaciones, Administrar la inversin, Comunicar los objetivos y la direccin de la gerencia, Administrar los recursos humanos, Asegurar el cumplimiento de los requisitos externos, Evaluar el riesgo, Administrar proyectos Administrar la calidad. Adquisicin e implementacin: Identificar soluciones, Adquirir y mantener software de aplicaciones, Adquirir y mantener la infraestructura tecnolgica, Desarrollar y mantener procedimientos, Instalar y acreditar sistemas, Administrar cambios.

Auditora de Sistemas de Informacin: Conceptos

Sensor: COBIT Anlisis por Dominios
Entrega y Soporte: Definir niveles de servicio, Administrar servicios de terceros, Administrar la performance y la capacidad, Asegurar un servicio contnuo, Asegurar la seguridad de los sistemas, Identificar y atribuir costos, Educar y capacitar a los usuarios, Administrar la configuracin, Administrar problemas e incidentes, Administrar datos, Administrar instalaciones y Administrar operaciones. Monitoreo: Monitorear el proceso, Evaluar el Control Interno, Obtener un aseguramiento independiente y Proveer una auditora independiente

Anlisis de Riesgos
Riesgo de Auditora
Es el riesgo que tiene un auditor como consecuencia de no haber detectado durante la revisin practicada las fallas o irregularidades que, al ser conocidas, le hubieran hecho modificar el dictmen del informe y las recomendaciones asociadas.
La auditora debe ser planeada y para ello es imprescindible una debida evaluacin y categorizacin de riesgos para priorizar los casos asignar recursos y aplicar los procedimientos de auditora ms convenientes.

Anlisis de Riesgos
Componentes del riesgo de Auditora
Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc. Est fuera de poder ser controlado por el auditor como para poder eliminarlo. Riesgo de Control: son los que resultan de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna.

Est fuera de poder ser controlado por el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo.
Riesgo de Deteccin: son los que resultan de un deficiente planeamiento y/o ejecucin de la auditora, sea tanto en la evaluacin y categorizacin de los riesgos, como en la seleccin y/o aplicacin de los procedimientos de auditora. Es del mbito y tarea exclusiva del auditor.

Anlisis de Riesgos
Evaluacin y Categorizacin del Riesgo
Es la actividad que tiene como propsito medir el nivel de riesgo que presenta cada caso objeto de auditora. Es altamente subjetiva. Depende del criterio, capacidad y experiencia del auditor. Constituye la base del plan de actividades, determinando el alcance y oportunidad de la revisin, as como tambin del procedimiento de auditora a emplear. Existen mtodos para reducir el nivel de subjetividad en la evaluacin y categorizacin de los riesgos. Los mtodos establecen pautas y procedimientos para la evaluacin.

Anlisis de Riesgos
Metodologa de Anlisis
Pautas de Nivel Macro Apoyan la fase del planeamiento que hace a un plan global del mbito informtico, determinando los sistemas y/o reas de mayor riesgo Pautas de Nivel Micro Se orientan a un subsistema o tarea puntual, que debieran mitigar o eliminar los riesgos y determinar los procedimientos de auditora.

Anlisis de Riesgos
Nivel Macro
Identificar los factores de Riesgo
Sistema de Control Nivel de Sensibilidad - Complejidad Cambios Materialidad

Definir la importancia de los factores

(Apertura en cuanto a parmetros)

Puntuacin de cada factor

(al ser evaluados en sus parmetros)

Calcular y Evaluar Factores de Riesgo de cada proyecto de auditora Determinar las prioridades de los proyectos en base a los riesgos Proyectos priorizados conforme a los resultados obtenidos

Anlisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parmetros o Indicadores Reflejan la opinin acerca del funcionamiento del sistema de control interno en el rea o sistema considerado Un buen recurso para su tratamiento lo constituye el considerar determinados indicadores como ser: Participacin de los niveles gerenciales en la poltica de seguridad Polticas de seguridad del entorno informtico Separacin de funciones y controles Nivel de cumplimiento de las normas y procedimientos Oportunidad en la deteccin de errores Oportunidad en la solucin de problemas Experiencia del personal (analistas, programadores, operadores, usuarios) Nivel de confiabilidad de los sistemas Grado de sensibilidad de las reas y/o sistemas considerados en cuanto a su gravitacin en os objetivos del ente o bien en cuanto a la adaptacin de los mismos frente a las variantes del entorno. Un buen recurso para su tratamiento lo constituye la disponibilidad de estadsticas que reflejen el comportamiento de indicadores como ser: Probabilidad de ocurrencia de errores Quejas de usuarios y del pblico Porcentajes de errores Porcentaje de decisiones errneas Grado de sensibilidad del sistema respecto a variables exgenas

Sistema de Control

Nivel de Sensibilidad

Anlisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parmetros o Indicadores Persigue evaluar el nivel potencial de errores que se pueden producir como consecuencia de las variables interactuantes, como ser: Naturaleza de las actividades Nivel de actividad Alcance y grado de automatizacin Entorno funcional y tecnologa utilizada Modalidad operativa (centralizada, descentralizada, distribuda, en lnea, en tiempo real, etc.) Desarrollo y mantenimiento de sistemas Dispersin geogrfica, conexiones locales y/o remotas Cambios y su reiteracin en el tiempo que se producen respecto a aspectos organizacionales, estructurales, de personal, sistemas de informacin, etc. Entre los indicadores estn: Nivel y frecuencia de rotacin del personal Frecuencia de reestructuraciones Nivel de crecimiento/reduccin de personal Cantidad de modificaciones e implantacin de nuevos sistemas Importancia del proyecto en trmino de magnitudes: costo, personas, recursos. A mayor materialidad, mayores riesgos

Complejidad

Cambios

Materialidad

Anlisis de Riesgos Nivel Macro

Ejemplo Evaluacin Factores de Riesgo
Factor de Riesgo Sistema de Control Polticas de seguridad del entorno informtico Nivel de cumplimiento de las normas y procedimientos Pronta deteccin de errores Pronta solucin de desvos Experiencia de los programadores Nivel de confiabilidad de los sistemas Sensibilidad Probabilidad de ocurrencia de errores Queja de usuarios Errores de Criterio al toma decisiones Nivel de errores del sistema de autorizacin del SI Grado de sensibilidad por variables exgenas Cambios Frecuencia de rotacin del personal Frecuencia de reorganizaciones estructurales Nivel de crecimiento y rotacin del personal Criterios funcionales y modalidades operativas Implantacin de nuevos Sistemas Nivel de modificaciones a sistemas y programas Complejidad Naturaleza de las actividades Nivel de Actividad Entornos Funcionales Modalidad Operativa Desarrollo y Mantenimiento de Sistemas Alcance de la automatizacin Materialidad Total Ponderacin
Importancia Puntuacin Ponderacin 5 0 0

0,75 1 0,75 0,75 0,5 1,25 2 0,5 0,4 0,4 0,4 0,3 3 0,6 0,6 0,15 0,9 0,6 0,15 4 0,6 0,8 0,6 0,6 0,6 0,8 1

Anlisis de Riesgos
Nivel Micro
La evaluacin a nivel Micro se utiliza para:
Diseo de controles para los SI Comparar controles que presentan distintos tipos de Software Auditora de Sistemas Consiste en: Desarrollar los objetivos del control Establecer prioridades de seguridad y confiabilidad Seleccionar salvaguardas y controles para mitigar o eliminar las amenazas, y por lo tanto la prdida o exposicin resultante.

Anlisis de Riesgos
Nivel Micro: Proceso de Evaluacin
ETAPA 1 Definicin del Objeto a auditar

Identificacin de Amenazas Posibles Qu?

Determinacin de Zonas y Puntos de Control Dnde?

Vinculaciones de Amenazas y Puntos de control

ETAPA 2

Determinacin de la frecuencia de riesgo

Con qu asiduidad?

ETAPA 3

Estimacin de la exposicin (prdida)

Magnitud de la prdida

ETAPA 4

Amenazas vs.Objetivos de Control

Definicin de Objetivos especficos de control

Qu Hacer?

ETAPA 5

Seleccin de salvaguardas/controles

Cmo se satisfacen los objetivos de control?

ETAPA 6

Justificacin de Controles

Costo/Beneficio

NO
OK?

SI

Disear Implantar Revisar

Etapas para el Desarrollo de la Auditora

PLANIFICACION

Etapas clave Conocimiento del negocio Evaluar Riesgos Controles Fsicos y Lgicos Controles gerenciales

Estrategia de Auditora

Auditora de Sistemas de Informacin: Conceptos

Principales Areas de Actividad de la A.S.I.
Auditora de la direccin (Plan Estratgico de Sistemas)
Auditora del desarrollo (gestin de proyecto) Auditora de la Adquisicin Auditora Seguridad (Seguridad Fsica Plan de Contingencias, evaluacin de riesgos, seguridad lgica) Auditora de la explotacin y Mantenimiento (Utilizacin de sistemas, puesta en marcha, cambios de programas)

Revisiones de Auditora
Auditora del Plan Estratgico de Sistemas

Objetivo de Control El Plan de sistemas contempla las necesidades organizaciones y el crecimiento del negocio y se encuentra adecuadamente aprobado por la direccin y es peridicamente revisado ante cambios en la planificacin de la organizacin.

Riesgos Asociados Los sistemas no responden a las necesidades de la organizacin. Inflexibilidad de los sistemas ante nuevos requerimientos organizacionales. Desvinculacin entre los distintos sistemas. Comportamiento desordenado y errtico en el desarrollo y adquisicin de aplicaciones. Desconocimiento de la existencia o alcance del plan por parte de las distintas reas organizacionales. La asignacin de recursos no es la adecuada dado la dimensin del proyecto.

Verificaciones a Realizar Existencia de un plan formalizado y aprobado por el nivel mximo de la organizacin. Verificacin de la actualizacin peridica del plan. Revisin de la documentacin del directorio (actas de reuniones, instrucciones de la direccin, existencia de un responsable de la formulacin, etc. Los cambios de los proyectos impactan en el plan de sistemas.

Revisiones de Auditora Auditora del Impacto sobre el Negocio

Objetivo de Control El proyecto se encuentra dentro del marco del plan de negocios de la empresa. Riesgos Asociados Los sistemas no responden a las necesidades del negocio. Verificaciones a Realizar El plan estratgico de sistemas es coordinado con el plan de negocios.

Las especificaciones establecidas contemplan los factores esenciales del negocio.

La habilidades propias del negocio no se encuentran apoyadas por los nuevos sistemas.

En la documentacin de los requerimientos se identifican las habilidades principales que distinguen a la empresa.

El sistema tiene la capacidad de adaptarse a nuevas reglas del negocio.

El sistema se muestra inflexible ante nuevos cambios.

Se ha previsto que el o los sistemas sean parametrizables y flexibles para adaptarse a los cambios.

Se ha medido adecuadamente el impacto del proyecto en el negocio

El negocio se ve seriamente cuestionado ante el fracaso del proyecto de sistemas.

Se ha previsto el alcance e impacto del proyecto como as tambin las consecuencias del fracaso del mismo.

Revisiones de Auditora Auditora del Desarrollo, Compra o Implementacin de SI

Adquisicin de Software: Actividades a Auditar

Revisin del requerimiento

Revisin de la especificacin

Revisin Proceso seleccin

Revisin Proceso de customizacin

Revisin de pruebas e instalacin

Revisin de la Entrega

Revisiones de Auditora Auditora del Desarrollo, Compra o Implementacin de SI

Ejemplo de Plan para Revisin de Requerimientos
Objetivo de Control Se han establecido en forma clara todos los requerimientos de todos los usuarios. Riesgos Asociados El sistema no contempla todas las necesidades de los sectores usuarios. Algunos aspectos funcionales no se encuentran soportados. Las necesidades de informacin de los niveles directivos no se encuentran totalmente cubiertas. El sistema no contempla aspectos de control interno. El sistema no contempla aspectos legales o normativos propios de la actividad de la organizacin. Verificaciones a Realizar Existe un documento adonde se establecen cuales son los usuarios que representan a cada sector. Existe un documento donde se establece como se realizar el contacto con los reas usuarias. Se ha analizado el sistema actual y se han identificado las fortalezas y debilidades del mismo. Existe un documento donde se establecen los requerimientos funcionales de control, legales y de informacin. Dicho documento fue aceptado por las reas intervinientes.

Revisiones de Auditora Auditora del Desarrollo, Compra o Implementacin de SI

Ejemplo de Plan para Revisin de la Instalacin

Objetivo de Control La instalacin del Hardaware necesario se cumpliment en tiempo y forma. La instalacin de software de base se cumplimento en tiempo y forma Todos los parmetros de funcionamiento se encuentran adecuadamente definidos.

Riesgos Asociados Existen demoras en la implementacin debido a que el hardaware no est disponible en tiempo y forma establecidos. Existe demoras en la instalacin debido a que no se ha realizado la instalacin del software de base o el mismo est mal instalado. Existen parmetros no definidos que provocan el mal funcionamiento del sistema. La definicin de los parmetros no es la adecuada y provoca el malfuncionamiento del sistema.

Verificaciones a Realizar Se ha establecido un plan de instalacin del hardware acorde con los tiempos establecidos para el proyecto. Se ha establecido un plan de instalacin del software de base y se han contemplado los requerimientos establecidos por el proveedor. Los parmetros han sido adecuadamente establecidos y los usuarios participan en su definicin. Se ha realizado la capacitacin suficiente para la adecuada definicin de los parmetros.

Revisiones de Auditora Auditora del Procesamiento de la Informacin

Aspecto Segregacin de Funciones Riesgo Personas no autorizadas pueden tener acceso a funciones de procesamiento de transacciones, permitindoles leer, ingresar, modificar o eliminar datos o ingresar transacciones no autorizadas para su procesamiento. Problemas Inadecuada separacin de funciones dentro del Dpto.de Sistemas Inadecuada ubicacin del rea de Seguridad Informtica Inadecuado esquema de seguridad lgicaperfiles de usuarios Problemas con la puesta en funcionamiento de nuevas versiones Falta de controles de edicin y validacin (tipos de campos, campos faltantes, lmites y validacin) Inadecuada codificacin Falta de controles por lotes Inexistencia de aviso de rechazo Identificacin inadecuada de datos rechazados Inexistencia de reportes de excepcin Falta de seguimiento de datos rechazados Duplicacin del procesamiento Falta de controles operativos Falta de informes de problemas de proceso Problemas de reenganche de procesos Problemas de administracin de procesos (secuencia)

Ingreso de Datos

Los datos ingresados pueden ser imprecisos, incompletos o ingresados ms de una vez

tems rechazados o en suspenso

Los datos rechazados y las partidas en suspenso pueden ser no identificadas, analizadas y corregidas

Procesamiento Las transacciones ingresadas para su procesamiento pueden perderse o ser procesadas incorrectamente

Revisiones de Auditora Auditora del Plan de Continuidad del Negocio

Aspectos a Auditar
Plan de Contingencia Integridad (completo) Divulgacin Actualizacin Plan de Recuperacin

Informe de Auditoras de Sistemas de Informacin

Objetivos del Informe de Auditora
Objetivo
Informar

Propsito
Brindar conocimientos oportunos y apropiados

Medios
Clara y comprensible identificacin de dificultades y oportunidades de mejora

Persuadir

Lograr aceptacin y Real y persuasivo respaldo de las respaldo de las conclusiones y evidencia de su acciones importancia

Obtener Resultados

Originar Cursos de Accin

Propsitos claros , prcticos y constructivos para realizar los cambios necesarios

Informe de Auditoras de Sistemas de Informacin Estructura del Informe de Auditora

Introduccin Se indica: Objetivo, Alcance y Posicin de la auditora frente al objeto auditado

Resultados

Se indica: Evidencias y hallazgos claves obtenidos durante la revisin, que sean significativos y que sirvan de base para las conclusiones
Se expone: el diagnstico en funcin de los resultados obtenidos. Ordenar: problema y causalidad (causa-efecto) Incluir siempre opinin del personal auditado. Cursos de accin que se estimen pertinentes. Importante: participacin del personal auditado Incluir: El detalle que respalda los hallazgos y explica el mtodo empleado.

Conclusiones

Recomendaciones Anexos

Informe de Auditoras de Sistemas de Informacin

Pautas para desarrollar el Informe de Auditora
Aspecto (Qu) Directo Caracterstica (Cmo)
Ttulo Informativo Priorizar lo importante Oraciones concluyentes sin enunciaciones elpticas Seleccionar y presentar los temas de mayor importancia Acompaar resmenes de documentacin respaldatoria Realizar una redaccin precisa Llevar convencimiento con la informacin que se expone Desarrollar las consecuencias de las situaciones descriptas Propender a una razonable interpretacin de los hechos y exponer las causas no los sntomas Presentar una visin del conjunto balanceando lo positivo y lo negativo Trasuntar confianza en el auditado para solucionar el o los problemas Para lograr la pronta solucin de los problemas Anticipar informes en casos de gravedad Resmenes para los niveles superiores Exposicin que potencie la interpretacin (relaciones %, tablas, grficos) Atractivos (presentacin, distinta tipografa para resaltar temas) Recomendaciones prcticas, factibles y especficas Descripcin de los cursos de accin a tomar

Preciso

Persuasivo Prudente y Constructivo

Oportuno Expuesto conforme al destinatario Orientado a Resultados

Para Pensar

Un buen Auditor es:

Quin ms problemas detecta?

o

Quin logra soluciones para los problemas detectados?

Bibliografa
Material de la Ctedra Alberto R Lardent Sistemas de Informacin para la Gestin Empresaria Procedimiento, Seguridad y AuditoraPrentice HallBrasil 2001

Informe 6 CECYT FACPCE

Informe COBIT (ISACA)