Estándares internacionales de auditoría de sistemas (Normas ISO)

La Organización Internacional para la Estandarización, ISO por sus siglas en inglés (International Organization for Standardization), es una federación mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarización (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estándares internacionales que faciliten el comercio internacional.

Cuando las organizaciones tienen una forma objetiva de evaluar la calidad de los procesos de un proveedor, el riesgo de hacer negocios con dicho proveedor se reduce en gran medida, y si los estándares de calidad son los mismos para todo el mundo, el comercio entre empresas de diferentes países puede potenciarse en forma significativa – y de hecho, así ha ocurrido –.

Durante las últimas décadas, organizaciones de todos los lugares del mundo se han estado preocupando cada vez más en satisfacer eficazmente las necesidades de sus clientes, pero las empresas no contaban, en general, con literatura sobre calidad que les indicara de qué forma, exactamente, podían alcanzar y mantener la calidad de sus productos y servicios.

De forma paralela, las tendencias crecientes del comercio entre naciones reforzaba la necesidad de contar con estándares universales de la calidad. Sin embargo, no existía una referencia estandarizada para que las organizaciones de todo el mundo pudieran demostrar sus prácticas de calidad o mejorar sus procesos de fabricación o de servicio.

Teniendo como base diferentes antecedentes sobre normas de estandarización que se fueron desarrollando principalmente en Gran Bretaña, la ISO creó y publicó en 1987 sus primeros estándares de dirección de la calidad: los estándares de calidad de la serie ISO 9000.

Con base en Ginebra, Suiza, esta organización ha sido desde entonces la encargada de desarrollar y publicar estándares voluntarios de calidad, facilitando así la coordinación y unificación de normas internacionales e incorporando la idea de que las prácticas pueden estandarizarse tanto para beneficiar a los productores como a los compradores de bienes y servicios. Particularmente, los estándares ISO 9000 han jugado y juegan un importante papel al promover un único estándar de calidad a nivel mundial.

LA FAMILIA ISO

Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad:

ISO 9000: Sistemas de Gestión de Calidad 
Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño.

ISO 10000: Guías para implementar Sistemas de Gestión de Calidad/ Reportes Técnicos
Guía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición.

ISO 14000: Sistemas de Gestión Ambiental de las Organizaciones. 
Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorías.

ISO 19011: Directrices para la Auditoría de los SGC y/o Ambiental

Estándares Internacionales de auditoría de sistemas (COSO)

Estándares Internacionales de Auditoría de Sistemas

La naturaleza especial de la Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorías, requieren estándares de aplicación específica a la auditoría de sistemas. Por lo mismo que la información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.
Las tendencias de estándares que van surgiendo, van paralelas con lo que ha sucedido aceleradamente en el sector privado, esto es, dado que se han gestado numerosos proyectos de sistemas de información que han fracasado, y la dura realidad del incumplimiento de los mismos con las necesidades propias de los clientes y del negocio en sí, ha habido un incremento dramático en el número de organizaciones en el sector privado que están persiguiendo agresivamente el uso de estándares y mejores prácticas, como su estrategia primordial de supervivencia en el mercado.

COSO
Committee of Sponsoring Organizations of the Treadway Commission (COSO): iniciativa de 5 organismos para la mejora de control interno dentro de las organizaciones.
Control interno
Se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia de las operaciones.
 Confiabilidad de la información financiera.
 Cumplimiento de las leyes, reglamentos y normas (que sean aplicables).
Concepto
El informe como tal es un medio para alcanzar un fin y no un fin por sí. No es un evento o circunstancia sino una serie de acciones que permean las actividades de una organización. Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión.
Componentes
De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados entre sí; éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en el proceso de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas) y dependerá del tamaño de la misma la implantación de cada uno de ellos.
Los componentes son:
1. Ambiente de Control.
2. Evaluación de Riesgos.
3. Actividades de Control.
4. Información y Comunicación.
5. Supervisión y Monitoreo.
Ambiente de Control
El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del funcionamiento de la Unidad e influye en la concientización de sus funcionarios.
Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal utilizadas.
Evaluación de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.
La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez, dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos para identificar y afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos, que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.
Actividades de Control
Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y mecanismos que permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella.
Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el punto anterior.
En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la realidad y si los resultados obtenidos fueron los esperados.
Información y Comunicación
Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz -en un sentido amplio- que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de forma descendente como ascendente.
La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo del resto.
Supervisión y Monitoreo
Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un proceso que verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas.

Seguridad Informática (Parte II)

La criptografía ha sido usada a través de los años para mandar mensajes confidenciales, proviene del griego Kryptos (esconder) y gráphein (escribir), es decir “Escritura escondida” y su principal objetivo es que sólo dos personas autorizadas puedan intercambiar información sin que una tercera persona no autorizada sea capaz de descifrar la información.

El mecanismo más básico es el denominado criptosistema o algoritmo de encriptación, que define dos transformaciones:

• La encriptación: conversión del texto en claro (plaintext) en el texto cifrado o criptograma (ciphertext) mediante el empleo de la denominada clave de encriptación.
• La desencriptación: proceso inverso que emplea la llamada clave de desencriptación.

La aplicación más inmediata de un algoritmo de encriptación (aunque no la única) es asegurar el servicio de confidencialidad: la información transmitida no se podrá desencriptar sin el conocimiento de la clave de desencriptación.

La seguridad de un sistema de cifrado radica casi totalmente en la privacidad de las claves secretas. Por ello, los ataques que puede realizar un criptoanalista enemigo están orientados a descubrir dichas claves.

La principal diferencia de los sistemas criptográficos modernos respecto a los clásicos está en que su seguridad no se basa en el secreto del sistema, sino en la robustez de sus operadores (algoritmos empleados) y sus protocolos (forma de usar los operadores), siendo el único secreto la clave (los operadores y protocolos son públicos).

Gestión de claves

Todas las técnicas criptográficas dependen en última instancia de una o varias claves, por lo que su gestión es de vital importancia. Esta tarea incluye básicamente:

·         La generación de las claves de forma que cumplan una serie de requisitos. Este proceso es dependiente del algoritmo en el que se va a utilizar la clave en cuestión, aunque generalmente se emplea una fuente generadora de números pseudo-aleatorios como base para la creación de la clave (la clave debe ser lo más aleatoria posible).

·         Registro. Las claves se han de vincular a la entidad que las usará.

·         Su distribución a todas las entidades que las puedan necesitar.

·         Su protección contra la revelación o sustitución no autorizadas.

·         El suministro de mecanismos para informar a las entidades que las conocen en caso de que la seguridad de dichas claves haya sido comprometida (revocación).

·         El tipo de método empleado para llevar a cabo la gestión de las claves es diferente según el tipo de criptografía utilizada (simétrica o asimétrica).

·         Todas las claves tienen un tiempo determinado de vida, el criptoperíodo, para evitar las técnicas de criptoanálisis tengan el suficiente tiempo e información para “romper” el algoritmo criptográfico asociado.

El cifrado es, en su forma más simple, ininteligible un mensaje de modo que no pueda leerse hasta que el receptor lo descifre. El emisor utiliza un patrón algorítmico o clave, para cifrar el mensaje. El receptor tiene la clave de descifrado.

Existen dos tipos de clave que pueden utilizarse para el cifrado:

• Claves simétricas: siguen un modelo antiguo en el que el emisor y el receptor comparten algún tipo de patrón. Por lo tanto, el mismo patrón lo utilizan el emisor para cifrar el mensaje y el receptor para descifrarlo.El riesgo que implican las claves simétricas es que deberá buscar un método de transporte seguro para utilizarlo cuando comparta su clave secreta con las personas con las que desea comunicarse.
• Claves asimétricas: con ellas se crea una pareja de claves.  La pareja de claves está compuesta de una clave pública y una clave privada, que son distintas entre sí. La clave privada contiene una parte mayor del patrón cifrado secreto de la clave pública.A diferencia de las claves simétricas, la clave privada y la clave pública no son iguales. Como resultado, el mensaje que se ha cifrado con una clave pública sólo puede ser descifrado por la persona que lo ha cifrado, ya que dicha persona es el único propietario de la clave privada.

Seguridad Informática (Parte I)

La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos.

La decisión de aplicarlos es responsabilidad de cada usuario.

Las consecuencias de no hacerlo también.

Principios de Seguridad Informática:

Para lograr sus objetivos, la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

·         Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados.

Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, ordenadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.

·         Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos.

Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, ordenadores y procesos comparten la misma información.

·         Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de Seguridad Informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran.

Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente.

Factores humanos de riesgo

Hackers: Los hackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado.

En general, los hackers persiguen dos objetivos:

·         Probar que tienen las competencias para invadir un sistema protegido.

·         Probar que la seguridad de un sistema tiene fallas.

Crackers: Los crackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado.

En general, los crackers persiguen dos objetivos:

·         Destruir parcial o totalmente el sistema.

·         Obtener un beneficio personal (tangible o intangible) como consecuencia de sus actividades.

Mecanismos de Seguridad Informática

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.

Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan.

Clasificación según su función:

·         Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

·         Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

·         Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las consecuencias.

Los Riesgos y Amenazas Informáticas que el Auditor debe conocer

®     Suplantación: Falsificar mensajes de correo electrónico. Reproducir paquetes de autenticación.

®     Alteración: Alterar datos durante la transmisión. Cambiar datos en archivos.

®     Repudio: Eliminar un archivo esencial y denegar este hecho. Adquirir un producto y negar posteriormente que se ha adquirido.

®     Divulgación de Información: Exponer la información en mensajes de error. Exponer el código de los sitios Web.

®     Denegación de Servicio: Inundar una red con paquetes de sincronización. Inundar una red con paquetes ICMP falsificados.

®     Elevación de Privilegios: Explotar la saturación de un búfer para obtener privilegios en el sistema. Obtener privilegios de administrador de forma ilegítima.

Fraudes más frecuentes por Internet

·         Robo de identidad.

·         Subastas en Internet.

·         Compras desde el hogar.

·         Premios y sorteos.

·         Calidad de los servicios por internet.

·         Oportunidad de trabajo desde la casa.

·         Préstamos anticipados y servicio telefónico

·         Transferencia o giro con método de pago.

·         Correo basura o spam.

·         Estafa informática.

·         Pedofilia.

·         Hacking.

Software de auditoría

Los paquetes de auditoría, conocidos en el pasado como sistemas GAS (de General Audit System) y actualmente como herramientas CAATs, son productos de software diseñados para generar programas que ayuden a los auditores a investigar el contenido de las bases de datos de la entidad bajo estudio.  En general, no requieren al auditor de calificación en tecnologías para ser usados.  En  la  actualidad,  los  productos  de  software  de  esta  categoría  se  orientan principalmente a proveer  al  auditor  de herramientas  de fácil  comprensión y operación con funcionalidades similares a las provistas por el lenguaje SQL; su principal  virtud es facilitar  el  acceso a los archivos y bases de datos de la empresa auditada.

Bajo este rótulo, vienen también rutinas y programas diseñados para:

• Obtener muestreos a partir de las bases de datos reales del sistema, realizar extrapolaciones y luego procesarlas con el debido rigor estadístico.

• Rastrear  datos  en  los  logs  del  sistema  operativo  y  obtener  información referida a quiénes entraron al  sistema,  qué hicieron,  cuándo,  dónde,  qué controles se violaron.

Algunos productos de software de esta categoría son:

-TeamMate de PriceWaterhouse-Cooper - www.pccglobal.com

-ACL:

ACL es el paquete de software líder mundial de las herramientas de asistencia para Auditoria. ACL permite el acceso directo a los archivos de datos de las aplicaciones informáticas, con la libertad de trabajar sobre esa información sin necesidad de escribir códigos o realizar programación.  ACL  utiliza  una  interfaz  visual  con  filtros  de selección,  vistas  y  reportes  tipo  planilla  de  cálculo.  Posee poderosos comandos ejecutables mediante sencillos cuadros de diálogo para estratificación, clasificación, antigüedad, muestreo, control de duplicados y faltantes, ordenamiento y cruzamiento entre archivos, entre otros.

Cualidades:

·         Utilizar comandos en interfaz gráfica.

·         Intuitivo.

·         Cobertura de 100% de datos.

·         Análisis veloces de faltantes, duplicados, fraudes, otros.

Área de Trabajo en ACL:

·         Elementos gráficos

·         Panorama.

·         Vista de datos.

·         Log de comandos.

-Idea de la firma CaseWare:

Herramienta para análisis de datos muy similar a ACL.  También ofrece CaseWare Working Papers y CaseWare Time, productos para gestionar y documentar proyectos de auditoría.

-Pro Audit Advisor - www.methodware.com  

-Galileo - www.darcangelosoftwareservices.com

-Pentana - www.pentana.com

Auditoría con el apoyo de paquetería de aplicación administrativa

Es la evaluación que se realiza utilizando los paquetes de software específicos, cuya aplicación es de carácter administrativo, financiero, contable o estadístico, los cuales han sido diseñados para que puedan ser utilizados en cualquier sistema computacional; es decir, en macrocomputadoras, minicomputadoras, microcomputadoras, laptops o sistemas de redes.

Con estos paquetes se facilitan las actividades de un auditor, debido a que, al aprovechar las facilidades que obtiene con el uso de dichos sistemas y programas, puede realizar una evaluación tradicional de los registros, operaciones, funciones y actividades de una empresa o una de sus áreas específicas, utilizando las técnicas, métodos y procedimientos típicos de la auditoría, pero apoyándose en los sistemas y programas para la captura y el procesamiento de datos; con la combinación de ambos obtiene los resultados que le facilitan hacer la interpretación, evaluación y dictamen de los aspectos resultantes de la evaluación administrativa de las actividades y operaciones de la empresa o de sus áreas.

En el mercado hay múltiples ejemplos de lo anterior, así que sólo presentaremos el nombre de algunos de estos progra

Herramientas del auditor de sistemas

En la auditoría de sistemas de información se utilizan distintas herramientas entre ellas las tradicionales y tecnológicas, así como otras técnicas de valoración que permiten hacer una evaluación más eficiente  de los sistemas o de la gestión informática.

Como profesional especializado en el ramo, el auditor de sistemas de información debe implementas herramientas adaptadas a las necesidades específicas  del ambiente de sistemas computacionales, que le ayudan a examinar y evaluar correctamente los diferentes aspectos en el que realizará su trabajo y si son correctamente aplicadas pueden ser herramientas de mucha confiabilidad.

Lista Herramientas Que se Pueden Utilizar en Una Auditoria (Ejemplo: Auditoria Interna)

El Personal de Auditoria se apoya con herramientas tecnológicas para administrar el trabajo siendo las siguientes:

·         Team Mate: Software por medio del cual se administran los papales de trabajo.

·         IDEA: Software para extracción de base de datos, medio para determinar muestras de auditoria y analiza de tendencia de los diferentes sistemas tecnológicos.

·         Teamrisk: Software para estables el riesgo y enfocarse en las actividades que esta mayor expuestas a controles débiles o ineficaces.

·         TrimerLab: Sistema por medio del cual se obtienen de forma virtual las regulaciones aplicable a los trabajos de auditoria.

·         Office, Excel y Word avanzados, power point, Outlook

·         Ms-Proyect: Para la Planificación del Trabajo

·         Internet: Para Realizar las Investigaciones Necesarias

Al igual que cualquier área de la organización, los sistemas de TI deben estar sometidos a controles de calidad y auditoría informática porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera información errónea, con la posibilidad de que se provoque un efecto cascada y afecte a otras aplicaciones. Es así como la importancia de contar con las herramientas necesarias para una buena revisión y validación de los distintos procesos sistemáticos de cada empresa.

Al utilizar las herramientas en la auditoría de sistemas, lo que se hace es aprovechar lo mejor de ellas para adecuarlas a las necesidades específicas de evaluación requeridas en el ambiente de sistemas; ya sea para evaluar la operación de los sistemas, en cuanto al hardware, software, instalaciones, comunicaciones, etcétera, o la gestión administrativa del área de sistemas, las metodologías de desarrollo de  proyectos, entre otros muchos aspectos relacionados con los sistemas.

Es por ello que el auditor de sistemas, como profesional especializado en la rama de informática, debe saber cómo utilizar esta serie de técnicas específicas de las auditorías tradicionales que le ayudarán a evaluar mejor los diferentes aspectos del área que tenga  que auditar. Además, estos métodos tradicionales no sólo se utilizan para evaluar el área de informática, sino también cualquier otra área ajena al ambiente de sistemas.

Beneficios que las Herramientas de Auditoría de Sistemas pueden traer al Trabajo del Auditor

·         La utilización de paquetes de programas generalizados de auditoria ayuda en gran medida a la realización de pruebas de auditoría, a la elaboración de evidencias plasmadas en los papeles de trabajo.

·         Ayuda a implementar, mantener y mejorar un sistema de gestión.

·         independiza los sistemas de organización y de administración.

·         Evalúa de forma global y objetiva los problemas de la empresa, que generalmente suelen ser interpretados de una manera parcial por las áreas afectadas.

·         Permite conocer y mejorar la productividad en la organización.

·         Contribuye eficazmente a evitar las actividades rutinarias y la inercia burocrática que generalmente se desarrollan en las grandes empresas.

·         Promueve la comunicación entre los diferentes niveles dentro de la organización.

·         Fácil inventariado de los equipos y licencias de software

·         Detección de vulnerabilidades en los diferentes sistemas

·         Verificación una correcta segregación de funciones

·         Control y gestión de Auditorías

·         Trabajo simultaneo sin conflictos

·         Eficiencia y eficacia de revisiones

·         Posibilidad de localización distribuida de los componentes del equipo

·         Mejora del control y seguimiento del trabajo realizado

·         Facilita el rastro de la auditoria

·         Ayuda a estructurar y documentar los papeles de trabajo

Informe de auditoría de sistemas

Modelo conceptual del informe final

A) El Informe debe incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desvía la atención del que lo lee y desvirtúa el informe en su conjunto.

B) El Informe debe consolidar los hechos que se describen en el mismo.

En auditoría, el término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados.

La consolidación de los hechos debe satisfacer, al menos, los siguientes criterios básicos:

1.      El hecho que se incluya debe poder ser sometido a cambio.

2.      Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.

3.      No deben existir alternativas viables que superen, por más beneficiosos y por mejor ratio prestación/ costo, al cambio propuesto.

4.      La recomendación del auditor sobre el hecho en cuestión ha de mantener o mejorar las Normas y estándares existentes en la instalación.

Cumplidos los dos principios y los criterios de consolidación expuestos, el hecho pasa al Informe.

La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida.

Carta de introducción o presentación del informe final

La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.

La carta de introducción poseerá los siguientes atributos:

·         Tendrá como máximo 4 folios.

·         Incluirá fecha, naturaleza, objetivos y alcance.

·         Cuantificará la importancia de las áreas analizadas.

·         Proporcionará una conclusión general, concretando las áreas de gran debilidad.

·         Presentará las debilidades en orden de importancia y gravedad.

·         En la carta de Introducción no se escribirán nunca recomendaciones.