Trabajo semana 3 Curso 313609 del SENA-
Control interno en los sistemas informáticos
Control interno en los sistemas informáticos
INTRODUCCION
A finales del siglo XX, los Sistemas
Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización
empresarial, los Sistemas de Información de la empresa.
Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide
por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoría Informática.
El auditor informático ha de velar
por la correcta utilización de los amplios recursos que la empresa pone en
juego para disponer de un eficiente y eficaz Sistema de Información. Claro
está, que para la realización de una auditoría informática eficaz, se debe
entender a la empresa en su más amplio sentido, ya que una Universidad, un
Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa
Pública.
AUDITORÍA
INFORMÁTICA
La Auditoría Informática la podemos
definir como el conjunto de procedimientos y técnicas para evaluar y controlar
un sistema informático con el fin de constatar si sus actividades son correctas
y de acuerdo a las normativas informáticas y generales prefijadas en la
organización.
La Auditoría Informática deberá
comprender no sólo la evaluación de los equipos de cómputo, de un sistema o
procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.
La Auditoría del Sistema de
Información en la empresa, a través de la evaluación y control que realiza,
tiene como objetivo fundamental mejorar la rentabilidad, la seguridad y la
eficacia del sistema mecanizado de información en que se sustenta.
La auditoría informática siempre
llegará a una conclusión cuando los medios asignados sean suficientes y las
acciones sean posibles. La auditoría informática debe ser completa en su
finalidad, ya que basta una laguna para que deje de estar garantizada la
solidez de todo el control.
Pese a la apariencia de complejidad
de la auditoría informática apreciamos cómo el buen uso del ordenador proporciona una mayor garantía y fiabilidad
que cuando éste no es utilizado.
Normas
Las normas de auditoría son los requisitos
mínimos de calidad relativos a la personalidad del auditor, al trabajo que
desempeña y a la información que rinde como resultado de este trabajo. Las
normas de auditoría se clasifican en:
Normas
personales: son cualidades que el
auditor debe tener para ejercer sin dolo una auditoría, basado en sus
conocimientos profesionales así como en un entrenamiento técnico, que le
permita ser imparcial a la hora de dar sus sugerencias.
Normas
de ejecución del trabajo:
son la planificación de los métodos y procedimientos, tanto como papeles de
trabajo a aplicar dentro de la auditoría. Normas
de información: son el resultado que el auditor debe entregar a los
interesados para que se den cuenta de su trabajo, también es conocido como
informe o dictamen.
MEDIOS DISPONIBLES Y
ESPECÍFICOS DE AUDITORÍA
MEDIOS
TÉCNICOS
1) Equipo
físico y locales:
Ø
Aspectos a tener en cuenta:
1.− Los equipos físicos y locales han de adaptarse a la finalidad, es
decir, a las aplicaciones, tanto cualitativas como cuantitativas.
2.− Dada la evolutividad de los
objetivos el equipo físico debe ser también evolutivo sin dejar de resultar
adecuado y modular.
3.− Cada componente del equipo
físico debe formar parte de un todo homogéneo.
4.− Otros criterios de elección son
la fiabilidad del material y la rapidez de las restauraciones.
5.− Para garantizar la consecución de la finalidad se hace necesario
garantizar la seguridad del hardware. Es conveniente disponer de un plan
preventivo y curativo para garantizar esa seguridad.
El
plan preventivo debe prever
catástrofes generales (incendio, inundación,...) así como otros sucesos (cortes
de fluido eléctrico, aumentos de tensión, presencia de polvo,...). El plan curativo está formado por
soluciones de emergencia en circunstancias diversas. Resulta fundamental la salvaguarda en lugares distintos de un número
suficiente de generaciones de ficheros, de programas y su modo de empleo.
6.− Una documentación actualizada y
disponible debe describir las
características técnicas del equipo físico.
2) Software
básico.
Constituye una parte creciente del
coste de un sistema. Tiene una importancia primordial en la seguridad de las
operaciones pero a medida que va creciendo más compleja es su evaluación.
Ø
Aspectos a tener en cuenta:
1.−El software básico se adapta a
las finalidades siempre y cuando permita una correcta utilización del hardware
con el lenguaje y en el modo de explotación elegidos para ejecutar las
aplicaciones.
El software posee muchas
posibilidades pero lo más interesante a nivel práctico es la posibilidad de
poder incorporarse en gran parte al equipo físico.
2.−La evolutividad del software
exige una transparencia de su dependencia con respecto a las aplicaciones del
equipo físico.
Los límites de las posibilidades del
software deben encontrarse bastante alejados, así como los obstáculos no deben
ser tan rígidos. Tanto las opciones del
software como sus modificaciones futuras deben anotarse dentro de un estudio
como ya ocurre con el hardware.
3.−Los componentes del software
básico deben estar adaptados entre sí y con la configuración del equipo físico
siempre en función de la finalidad. Por otro lado, también ha de adaptarse a
los medios humanos, tanto para aquellos que desarrollan las aplicaciones como
también para los que las usan.
4.−La fiabilidad del software básico
se consigue mediante el registro de las anomalías para su posterior análisis y
rectificación por el constructor aunque el software debe emplear ayudas para
diagnóstico de fallos. Resulta esencial
que el software permita implantar los puntos de enlace eficazmente utilizables
mediante la re-inicialización en la eventualidad de un mal funcionamiento, como
una adecuada recuperación de los ficheros. En definitiva, la fiabilidad de
una base de datos está señalada en su sistema de gestión.
5.−Para la seguridad del software
básico se requiere una protección contra los accesos prohibidos, especialmente
en el modo interactivo y en un sistema de base de datos. Se aconseja la protección de los programas y datos temporales alojados
en la memoria central, así como recomendable la rápida destrucción de ficheros
con información confidencial.
Las distintas protecciones del
software deben registrar el intento de acceso ilegal. Aunque resulta difícil
obtener una protección eficaz contra el acceso no autorizado en pequeños
sistemas, debiendo colocar los ficheros en soportes que sólo se manejen a la
hora de su empleo.
6.−Resulta importante que el
software contenga una documentación completa y actualizada que le sirva de
referencia al usuario.
MEDIOS
HUMANOS
Ø
Aspectos a tener en cuenta:
1.− Las personas tienen su propia
finalidad la cuál tratan de satisfacer, así, en una empresa se ha de respetar
la realización de los objetivos definidos, sin quedar bloqueado por la
reticencia de rutina y por la hostilidad particular.
2.− Es necesario un reparto de las responsabilidades de forma arborescente,
cada equipo ha de contar con un escaso número de miembros, incluso resulta
aconsejable una rotación de las responsabilidades.
3.− Se requiere buenas relaciones
entre los miembros del personal, lo que cada uno hace debe ser conocido
globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser
un trabajo organizado y revisado racionalmente. También es importante una formación y una información suficiente para
que el personal tenga una visión bastante amplia de los problemas y de las
interrelaciones.
4.− Se ha de proceder a una verificación de las informaciones transmitidas
y tratadas por cada miembro del personal. Las comprobaciones deben ser tales
que se detecte con rapidez el error humano y se rectifique antes de que se
produzcan grandes consecuencias. La documentación e información recíprocas
deben ser suficientes para que nadie resulte insustituible.
5.− La seguridad comienza por la selección del personal y continúa por el
control mutuo en la realización de las tareas más importantes; así, es preciso
precaverse contra un posible sabotaje directo o indirecto.
6.− Sin información no hay motivación, por tanto, los fines y métodos
adoptados han de ser comprendidos y aceptados, a la vez que la formación del
personal es en sí mismo una finalidad.
MEDIOS
FINANCIEROS
La elección de los medios
financieros ha de considerarse de forma global. No sólo consiste en determinar
qué equipos físicos, programas o realizaciones cuestan más o menos, sino
también abarca otros aspectos, además del económico, tales como: fiabilidad, velocidad
de procesamiento, rentabilidad, etc.
Ø
Aspectos a tener en cuenta:
1.− La adecuación de los medios financieros a la finalidad se mide por la
proporción entre los gastos exigidos y los resultados (financieros o no)
obtenidos. Los métodos de control de gestión y contabilidad presupuestaria
clásicos sirven para prever y posteriormente controlar la adecuación a los
objetivos.
La evolutividad implica un
presupuesto no sólo flexible sino modulado en el tiempo, ya que los costes son
importantes.
2.− Los métodos clásicos de la
contabilidad analítica permiten establecer los estándares de homogeneidad de
los medios financieros. También es muy útil verificar periódicamente si los
costes imputados son todavía competitivos con relación a un servicio exterior.
3.− Para elaborar un sistema
equitativo sería preciso que dos servicios semejantes diera lugar a una misma
valoración.
Los
costos deben ser registrados de forma fiable, completa y pertinente, y los
cálculos y agrupaciones efectuados deben ser legítimos. El trabajo del personal debe ser
registrado o repartido según conceptos para que las cifras conserven algún
sentido.
4.− La seguridad financiera se obtiene por una rentabilidad duradera de la
financiación de hardware y el software.
A la hora de la entrega de los
equipos informáticos, el contrato debe recoger un plan y un informe de gastos
que condujo a su elección. La garantía de fiabilidad material reside en una
cláusula que fija el plazo de
intervención, en caso de avería, y el grado de fiabilidad de los
componentes.
También puede contratarse un seguro
para una garantía eficaz de los equipos.
5.− Tanto los contratos de
adquisición y seguro como los documentos contables comprenden la documentación
sobre los medios financieros.
PRINCIPALES PRUEBAS Y HERRAMIENTAS
PARA EFECTUAR UNA AUDITORÍA INFORMÁTICA
En la realización de una auditoría
informática el auditor puede realizar las siguientes pruebas:
■Pruebas sustantivas:
Verifican el grado de confiabilidad
del SI del organismo.
Se suelen obtener mediante
observación, cálculos, muestreos, entrevistas, técnicas de examen analítico,
revisiones y conciliaciones.
Verifican asimismo la exactitud,
integridad y validez de la información.
■Pruebas de cumplimiento:
Verifican el grado de cumplimiento
de lo revelado mediante el análisis de la muestra.
Proporciona evidencias de que los
controles claves existen y que son aplicables efectiva y uniformemente.
Herramientas
del auditor informático
Las principales herramientas de las
que dispone un auditor informático son:
■Observación
■Realización de cuestionarios
■Entrevistas a auditados y no
auditados
■Muestreo estadístico
■Flujogramas
■Listas de chequeo
■Mapas conceptuales
Se requieren varios pasos para
realizar una auditoria. El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoria que consta de objetivos
de control y procedimientos de auditoria que deben satisfacer esos objetivos.
El proceso de auditoria exige que el auditor de sistemas reúna evidencia,
evalúe fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditoria que presente esos
temas en forma objetiva a la gerencia.
El auditor debe estar capacitado
para comprender los mecanismos que se desarrollan en un procesamiento
electrónico. También debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la información necesaria para auditar.
No es necesario que el auditor sea experto en la programación, pero si que
conozca los programas de contabilidad que utiliza el cliente.
Metodología de Auditoría Informática
1.- Introducción
Metodología es un conjunto de etapas formalmente
estructuradas, de manera que brinden a los interesados los siguientes parámetros de acción en el
desarrollo de sus proyectos:
plan general y detallado, tareas y
acciones, tiempos, aseguramiento de la calidad, involucrados, etapas, revisiones
de avance, responsables, recursos requeridos, etc.
Una buena “metodología” debe responder a las siguientes preguntas: -
¿qué hacer? - ¿dónde debo hacerlo? - ¿cómo plantearlo? - ¿por qué aprobarlo? -
¿cuándo revisarlo? - ¿cuándo empezarlo? - ¿quién y por qué debe hacerlo?
- ¿cómo aprobarlo? - ¿por qué revisarlo? - ¿cómo justificarlo?
Siendo el método un modo
ordenado de decir o hacer una cosa determinada, podemos decir que la
metodología es un conjunto de métodos que se siguen en una investigación
científica, lo cual significa que cada proceso científico debe estar sujeto a
una disciplina de proceso, definida con anterioridad a la cual se le da el
nombre de metodología.
El nacimiento de metodología en el mundo de la auditoria y el control
informático se puede observar en los primeros años de los ochenta, naciendo a
la par con la informática, la cual utiliza la metodología en disciplinas como
la seguridad de los sistemas de información, la cual definimos como la doctrina
que trata de los riesgos informáticos, en donde la auditoria se involucra en
este proceso de protección y preservación de la información y de sus medios de
proceso.
Objetivos
de la Metodología
- Definir clara y detalladamente los requerimientos y condiciones que
justifiquen cada proyecto
- Definir las debilidades de políticas y procedimientos existentes en
las áreas relacionadas con informática que generen necesidades de una auditoría
- Responder a una solicitud expresa de la alta dirección para auditar la
función de informática en alguno de sus componentes
- Definir etapas o secuencias del proyecto
- Especificar funciones y responsabilidades del personal que participará
en los proyectos de AI (usuarios, líder y personal o áreas de apoyo al
proyecto y AI)
- Definir técnicas y herramientas mínimas para cada etapa del
proyecto de AI (muestreos, entrevistas, cuestionarios, inspección /
observación, documentación, software de auditoría, etc)
Ventajas
de la Metodología
- Se elimina el proceso informal de trabajo
- Los recursos orientan sus esfuerzos a la obtención de
productos de calidad, con características y requisitos comunes para todos los
responsables
-Las tareas y productos terminados de los proyectos, se
encuentran definidos y formalizados en un documento al alcance de todos los AI
Requisitos
para el éxito de la Metodología
- Aprobación de la metodología por
la alta dirección
- Adecuación de la metodología a los
requerimientos específicos del negocio
- Documentación o actualización de
la metodología
- Capacitación formal en el uso de
la metodología
- Elaboración de los planes de AI
según la metodología
- Verificación del uso formal de la
metodología en cada proyecto.
Metodologías en
Auditoría Informática.
Las metodologías de auditoría informática son de
tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia.
Están basadas en profesionales de gran nivel de experiencia y formación,
capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen
gran profesionalidad y formación continua. Solo existen dos tipos de
metodologías para la auditoría informática:
Ø Controles
Generales
Son el producto estándar de los
auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador
para la auditoría financiera, el resultado es escueto y forma parte del
informe de auditoría, en donde se hacen notar las vulnerabilidades
encontradas. Están desprestigiadas ya que dependen en gran medida de la experiencia
de los profesionales que las usan.
Ø
Metodologías de los auditores internos
Están formuladas por recomendaciones
de plan de trabajo y de todo el proceso que se debe seguir. También se define
el objetivo de la misma, que habrá que
describirlo en el memorando de apertura al auditado. De la misma forma se
describe en forma de cuestionarios genéricos, con una orientación de los
controles a revisar. El auditor interno
debe crear sus metodologías necesarias para auditar los distintos aspectos o
áreas en el plan auditor.
Las metodologías son necesarias para desarrollar cualquier
proyecto que nos propongamos de manera ordenada y eficaz.
La auditoria informática solo identifica el nivel
de “exposición” por la falta de controles mientras el análisis de riesgos
facilita la evaluación de los riesgos y recomienda acciones en base al
costo-beneficio de la misma. Todas las
metodologías existentes en seguridad de sistemas, van encaminadas a establecer
y mejorar un entramado de contramedidas que garanticen que la productividad de
que las amenazas se materialicen en hechos sea lo mas baja posible, o al menos quede reducida de
una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y
utilizadas en la auditoría y el control informático, se puede agrupar en dos
grandes familias:
Cuantitativas: Basadas en un modelo
matemático numérico que ayuda a la realización del trabajo, están diseñadas para
producir una lista de riesgos que pueden compararse entre sí con facilidad por
tener asignados unos valores numérico. Estos valores son datos de probabilidad
de ocurrencia de un evento que se debe extraer de un riesgo de incidencias
donde el número de incidencias tiende al infinito.
Cualitativas: Basadas en el
criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base a la experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar
el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que
requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
§
Enfoque lo amplio que
se desee.
§
Plan de trabajo
flexible y reactivo.
§
Se concentra en la
identificación de eventos.
Desventajas
§
Depende fuertemente de
la habilidad y calidad del personal involucrado.
§
Identificación de eventos
reales más claros al no tener que aplicarles probabilidades complejas de
calcular.
§
Dependencia
profesional.
METODOLOGÍA DE TRABAJO EN
AUDITORÍA INFORMÁTICA
Etapas de la Metodología: El método de trabajo del auditor pasa por las
siguientes etapas:
A) Alcance y Objetivos de la Auditoría Informática
El alcance de la auditoría expresa los límites de la misma. Debe existir
un acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas
partes expresar las excepciones de alcance de la auditoría, es decir cuales
materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las
excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor
exactitud posible los objetivos a los que su tarea debe llegar. Deben
comprender los deseos y pretensiones del cliente, de forma que las metas
fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y
comunes de toda auditoría Informática: La operatividad de los Sistemas y
los Controles Generales de Gestión Informática.
B)
Estudio inicial del
entorno auditable
Para realizar dicho estudio ha de examinarse las funciones
y actividades generales de la informática. Para su realización el auditor debe
conocer lo siguiente:
Organización: Para el equipo
auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental.
Para realizar esto el auditor deberá fijarse en:
1)
Organigrama
2)
Departamentos
3)
Relaciones Jerárquicas
y funcionales entre órganos de la Organización
4)
Flujos de Información
5)
Número de Puestos de
trabajo
6)
Número de personas por
Puesto de Trabajo
Entorno
Operacional: El equipo de auditoría
informática debe poseer una adecuada referencia del entorno en el que va a
desenvolverse. Este conocimiento previo se logra determinando,
fundamentalmente, los siguientes extremos:
a.
Situación geográfica
de los Sistemas
b.
Inventario de Hardware
y Software
c.
Arquitectura y
configuración de Hardware y Software
d.
Comunicación y Redes
de Comunicación
e.
Aplicaciones, bases de datos y ficheros
El estudio inicial que han de realizar los auditores se
cierra y culmina con una idea general de los procesos informáticos realizados
en la empresa auditada. Para ello deberán conocer lo siguiente:
a. Volumen, antigüedad y complejidad de las
Aplicaciones
b. Metodología del
Diseño
c. Documentación
d. Cantidad y
complejidad de Bases de Datos y Ficheros.
C) Determinación de los
recursos necesarios para realizar la auditoría
Mediante los resultados del estudio inicial realizado se
procede a determinar los recursos humanos y materiales que han de emplearse en
la auditoría.
Recursos
humanos
La cantidad de recursos depende del volumen auditable. Las
características y perfiles del personal seleccionado dependen de la materia
auditable. Es igualmente señalable que la auditoría en general suele ser ejercida
por profesionales universitarios y por otras personas de probada experiencia
multidisciplinaria.
Recursos
materiales
Es muy importante su determinación, por cuanto la mayoría
de ellos son proporcionados por el cliente. Las herramientas de software
propias del equipo van a utilizarse igualmente en el sistema auditado, por lo
que han de convenirse en lo posible las fechas y horas de uso entre el auditor
y cliente. Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales
Software
b. Recursos materiales
Hardware
D) Elaboración del plan
y de los Programas de Trabajo
Una vez asignados los recursos, el responsable de la
auditoría y sus colaboradores establecen un plan de trabajo. Decidido éste, se
procede a la programación del mismo.
El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas
específicas. En el primer caso, la elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El
volumen determina no solamente el número de auditores necesarios, sino las
especialidades necesarias del personal.
En el Plan no se consideran calendarios, porque se manejan
recursos genéricos y no específicos
En el Plan se establecen los recursos y esfuerzos globales
que van a ser necesarios
En el Plan se establecen las prioridades de materias
auditables, de acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos
durante la revisión.
El Plan estructura las tareas a realizar por cada
integrante del grupo.
En el Plan se expresan todas las
ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de
actividades. Esta ha de ser lo suficiente como para permitir modificaciones a
lo largo del proyecto.
E) Actividades
propiamente dichas de la auditoría
Auditoría
por temas generales o por áreas específicas:
La auditoría Informática general se realiza por áreas generales o por
áreas específicas. Si se examina por grandes temas, resulta evidente la mayor
calidad y el empleo de más tiempo total y mayores recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de una
vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor
calidad.
Técnicas de Trabajo:
-Análisis de la información recabada del auditado -Análisis
de la información propia -Cruzamiento de las informaciones anteriores –Entrevista
–Simulación -Muestreos
Herramientas:
-Cuestionario general inicial -Cuestionario Checklist
–Estándares –Monitores -Simuladores (Generadores de datos) -Paquetes de auditoría
(Generadores de Programas) -Matrices de riesgo
F) Confección y
redacción del Informe Final
La función de la auditoría se materializa exclusivamente por escrito.
Por lo tanto la elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes
parciales previos al informe final, los que son elementos de contraste de
opinión entre auditor y auditado y que pueden descubrir fallos de apreciación
en el auditor.
Estructura del informe final
El informe comienza con la fecha de comienzo de la
auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo
auditor y los nombres de todas las personas entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de trabajo que ostente.
-Definición de objetivos y alcance de la auditoría.
-Enumeración de temas considerados
Antes de tratarlos con profundidad, se enumerarán lo más
exhaustivamente posible todos los temas objeto de la auditoría.
-Cuerpo expositivo:
a) Situación actual. Cuando se trate de una revisión periódica,
en la que se analiza no solamente una situación sino además su evolución en el
tiempo, se expondrá la situación prevista y la situación real.
b) Tendencias. Se tratarán de hallar parámetros que permitan
establecer tendencias futuras.
c) Puntos débiles y amenazas
d) Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la auditoría
informática.
e) Redacción posterior de la Carta de Introducción o Presentación.
G) Redacción de la Carta
de Introducción o Carta de Presentación del Informe final
La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada. Se
destina exclusivamente al responsable máximo de la empresa, o a la persona
concreta que encargó o contrató la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el
cliente, la auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios
Incluirá fecha, naturaleza, objetivos y alcance
Cuantificará la importancia de
las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca
recomendaciones.
Fuentes:
PIATTINI, Mario y Emilio del Peso. Auditoría
Informática. Un enfoque práctico. Editorial RA-MA.
No hay comentarios.:
Publicar un comentario