Post on 18-Mar-2016
description
PRACTICA: DEL MODULO NUMERO 3
1
Contenido del Curso: Administración de la función informática
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los
recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si
los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la
consecución de los mismos.
Los objetivos de la auditoría Informática
son:
* El control de la función informática
* El análisis de la eficiencia de los
Sistemas Informáticos
* La verificación del cumplimiento de la
Normativa en este ámbito
* La revisión de la eficaz gestión de los
recursos informáticos.
La auditoría informática sirve para
mejorar ciertas características en la
empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Generalmente se puede desarrollar en
alguna o combinación de las siguientes
áreas:
- Gobierno corporativo
- Administración del Ciclo de vida de los
sistemas
- Servicios de Entrega y Soporte
- Protección y Seguridad
- Planes de continuidad y Recuperación
de desastres
PRACTICA: DEL MODULO NUMERO 3 2
1.2 Tipos de auditoría.
Auditoría contable (de estados
financieros) – no es interés del curso.
Auditoría interna. La lleva a cabo un
departamento dentro de la organización
y existe una relación laboral.
Auditoría externa. No existe relación
laboral y la hacen personas externas al
negocio para que los resultados que nos
arroje sean imparciales como pueden ser
las firmas de contadores o
administradores independientes.
Auditoria administrativa. (William. P
Leonard) es un examen completo y
constructivo de la estructura
organizativa de la empresa, institución
o departamento gubernamental o de
cualquier otra entidad y de sus métodos
de control, medios de operación y
empleo que dé a sus recursos humanos
y materiales.
Auditoria gubernamental.
Auditoría Financiera: Consiste en una
revisión exploratoria y critica de los
controles subyacentes y los registros de
contabilidad de una empresa realizada
por un contador público.
Auditoria de operaciones: Se define
como una técnica para evaluar
sistemáticamente de una función o una
unidad con referencia a normas de la
empresa, utilizando personal no
especializado en el área de estudio.
Auditoría fiscal: Consiste en verificar el
correcto y oportuno pago de los
diferentes impuestos y obligaciones
fiscales de los contribuyentes desde el
punto de vista físico (SHCP),
direcciones o tesorerías de hacienda
estatales o tesorerías municipales.
Auditoria de resultados de programas:
Esta auditoría la eficacia y congruencia
alcanzadas en el logro de los objetivos y
las metas establecidas.
Auditoria de legalidad: Este tipo de
auditoría tiene como finalidad revisar si
la dependencia o entidad, en el
desarrollo de sus actividades.
Auditoría integral: Es un examen que
proporciona una evaluación objetiva y
constructiva acerca del grado en que
los recursos humanos, financieros y
materiales.
1.2.1 Auditoría interna y externa.
La Auditoría Externa examina y
evalúa cualquiera de los sistemas de
información de una organización y
emite una opinión independiente sobre
los mismos, pero las empresas
generalmente requieren de la
evaluación de su sistema de
información financiero en forma
independiente para otorgarle validez
ante los usuarios del producto de este,
por lo cual tradicionalmente se ha
asociado el término Auditoría Externa
a Auditoría de Estados
Financieros, lo cual como se observa no
es totalmente equivalente, pues puede
existir. Auditoría Externa del Sistema
de Información Tributario, Auditoría
Externa del Sistema de Información
Administrativo, Auditoría Externa del
Sistema de Información Automático
etc.
La auditoría Interna es el examen
crítico, sistemático y detallado de un
sistema de información de una unidad
económica, realizado por un profesional
con vínculos laborales con la misma,
utilizando técnicas determinadas y con
el objeto de emitir informes y formular
sugerencias para el mejoramiento de la
misma. Estos informes son de
circulación interna y no tienen
trascendencia a los terceros pues no se
producen bajo la figura de la Fe
Pública.
1.3 Campo de la auditoria informática.
Algunos campos de aplicación de la
informática son las siguientes:
Investigación científica y humanística:
Se usan la las computadoras para la
resolución de cálculos matemáticos,
recuentos numéricos, etc.
Aplicaciones técnicas: Usa la
computadora para facilitar diseños de
ingeniería y de productos comerciales,
trazado de planos, etc.
Documentación e información: Es uno
de los campos más importantes para la
utilización de computadoras. Estas se
usan para el almacenamiento de
grandes cantidades de datos y la
recuperación controlada de los mismos
en bases de datos.
Gestión administrativa: Automatiza las
funciones de gestión típicas de una
empresa.
Inteligencia artificial: Las
computadoras se programan de forma
que emulen el comportamiento de la
mente humana. Los programas
responden como previsiblemente lo
haría una persona inteligente.
Instrumentación y control:
Instrumentación electrónica, electro
medicina, robots industriales, entre
otros.
3
1.4 Control interno.
El Control Interno Informático puede
definirse como el sistema integrado al
proceso administrativo, en la
planeación, organización, dirección y
control de las operaciones con el objeto
de asegurar la protección de todos los
recursos informáticos y mejorar los
índices de economía, eficiencia y
efectividad de los procesos operativos
automatizados.
También se puede definir el Control
Interno como cualquier actividad o
acción realizada manual y/o
automáticamente para prevenir,
corregir errores o irregularidades que
puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos.
1.5 Modelos de control utilizados
en auditoria informática.
El COBIT es precisamente un modelo
para auditar la gestión y control de los
sistemas de información y tecnología,
orientado a todos los sectores de una
organización, es decir, administradores
IT, usuarios y por supuesto, los
auditores involucrados en el proceso.
Las siglas COBIT significan Objetivos
de Control para Tecnología de
Información y Tecnologías relacionadas
(Control Objetives for Information
Systems and related Technology). El
modelo es el resultado de una
investigación con expertos de varios
países, desarrollado por ISACA
(Information Systems Audit and
Control Association).
La estructura del modelo COBIT
propone un marco de acción donde se
evalúan los criterios de información,
como por ejemplo la seguridad y
calidad, se auditan los recursos que
comprenden la tecnología de
información, como por ejemplo el
recurso humano, instalaciones,
sistemas, entre otros, y finalmente se
realiza una evaluación sobre los
procesos involucrados en la
organización.
El COBIT es un modelo de evaluación y
monitoreo que enfatiza en el control de
negocios y la seguridad IT y que abarca
controles específicos de IT desde una
perspectiva de negocios. “La adecuada
implementación de un modelo COBIT
en una organización, provee una
herramienta automatizada, para
evaluar de manera ágil y consistente el
cumplimiento de los objetivos de
control y controles detallados, que
aseguran que los procesos y recursos de
información y tecnología contribuyen al
logro de los objetivos del negocio en un
mercado cada vez más exigente,
complejo y diversificado”, señaló un
informe de ETEK.
COBIT, lanzado en 1996, es una
herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los
profesionales de tecnología. Vinculando
tecnología informática y prácticas de
control, el modelo COBIT consolida y
armoniza estándares de fuentes globales
prominentes en un recurso crítico para
la gerencia, los profesionales de control
y los auditores.
COBIT se aplica a los sistemas de
información de toda la empresa,
incluyendo los computadores personales
y las redes. Está basado en la filosofía
de que los recursos TI necesitan ser
administrados por un conjunto de
procesos naturalmente agrupados para
proveer la información pertinente y
confiable que requiere una organización
para lograr sus objetivos.
El conjunto de lineamientos y
estándares internacionales conocidos
como COBIT, define un marco de
referencia que clasifica los procesos de
las unidades de tecnología de
información de las organizaciones en
cuatro “dominios” principales, a saber:
-Planificación y organización
-Adquisición e implantación
-Soporte y Servicios
- Monitoreo
Estos dominios agrupan objetivos de
control de alto nivel, que cubren tanto
los aspectos de información, como de la
tecnología que la respalda. Estos
dominios y objetivos de control
facilitan que la generación y
procesamiento de la información
cumplan con las características de
efectividad, eficiencia, confidencialidad,
integridad, disponibilidad,
cumplimiento y confiabilidad.
4
Asimismo, se deben tomar en cuenta los
recursos que proporciona la tecnología
de información, tales como: datos,
aplicaciones, plataformas tecnológicas,
instalaciones y recurso humano.
“Cualquier tipo de empresa puede
adoptar una metodología COBIT, como
parte de un proceso de reingeniería en
aras de reducir los índices de
incertidumbre sobre vulnerabilidades y
riesgos de los recursos IT y
consecuentemente, sobre la posibilidad
de evaluar el logro de los objetivos del
negocio apalancado en procesos
tecnológicos”, finalizó el informe de
ETEK.
1.6 Principios aplicados a los
auditores informáticos.
El auditor deberá ver cómo se puede
conseguir la máxima eficacia y
rentabilidad de los medios informáticos
de la empresa auditada, estando
obligado a presentar recomendaciones
acerca del reforzamiento del sistema y
el estudio de las soluciones más idóneas
según los problemas detectados en el
sistema informático de esta última. En
ningún caso está justificado que realice
su trabajo el prisma del propio
beneficio. Cualquiera actitud que se
anteponga intereses personales del
auditor a los del auditado deberá
considerarse como no ética. Para
garantizar el beneficio del auditado
como la necesaria independencia del
auditor, este último deberá evitar estar
ligado en cualquier forma, a intereses de
determinadas marcas, productos o
equipos compatibles con los de su
cliente. La adaptación del auditor al
sistema del auditado debe implicar una
cierta simbiosis con el mismo, a fin de
adquirir un conocimiento
pormenorizado de sus características
intrínsecas. Únicamente en los casos en
el que el auditor dedujese la
imposibilidad de que el sistema pudiera
acomodarse a las exigencias propias de
su cometido, este podrá proponer un
cambio cualitativamente significativo
de determinados elementos o del propio
sistema informático globalmente
contemplado. Una vez estudiado el
sistema informático a auditar, el
auditor deberá establecer los requisitos
mínimos, aconsejables y óptimos para
su adecuación a la finalidad para la que
ha sido diseñado. El auditor deberá
lógicamente abstenerse de recomendar
actuaciones innecesariamente onerosas,
dañinas o que generen riesgos
injustificados para el auditado. Una de
las cuestiones más controvertidas,
respecto de la aplicación de este
principio, es la referente a facilitar el
derecho de las organizaciones auditadas
a la libre elección del auditor. Si el
auditado decidiera encomendar
posteriores auditorías a otros
profesionales, éstos deberías poder tener
acceso a los informes de los trabajos
profesionales, éstos deberían poder
tener acceso a los informes de los
trabajos anteriormente realizados sobre
el sistema del auditado.
del grado de cobertura que dan las
aplicaciones a las necesidades
estratégicas y operativas de
información de la empresa.
UNIDAD II Planeación de la auditoria Informática.
2.1 Fases de la auditoria.
Fase I: Conocimientos del Sistema
Fase II: Análisis de transacciones y recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis de controles
Fase V: Evaluación de Controles
Fase VI: El Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
5
2.1.1 Planeación.
Para hacer una adecuada planeación de
la auditoría en informática, hay que
seguir una serie de pasos previos que
permitirán
Dimensionar el tamaño y
características de área dentro del
organismo a auditar, sus sistemas,
organización y equipo. En el caso de la
auditoría en informática, la planeación
es fundamental, pues habrá que hacerla
desde el punto de vista de los dos
objetivos:
• Evaluación de los sistemas y
procedimientos.
• Evaluación de los equipos de
cómputo.
2.1.2 Revisión preliminar.
En esta fase el auditor debe de armarse
de un conocimiento amplio del área que
va a auditar, los objetivos que debe
cumplir, tiempos (una empresa no pude
dejar sus equipos y personal que lo
opera sin trabajar porque esto le genera
pérdidas sustanciosas), herramientas y
conocimientos previos, así como de
crear su equipo de auditores expertos en
la materia con el fin de evitar tiempos
muertos a la hora de iniciar la
auditoria.
Es de tomarse en cuenta que el
propietario de dicha empresa, ordena
una auditoria cuando siente que un área
tiene una falla o simplemente no
trabaja productivamente como se
sugiere, por esta razón habrá puntos
claves que se nos instruya sean
revisados, hay que recordar que las
auditorias parten desde un ámbito
administrativo y no solo desde la parte
tecnológica, porque al fin de cuentas
hablamos de tiempo y costo de
producción, ejercicio de ventas, etc. Es
decir, todo aquello que representa un
gasto para la empresa.
2.1.3 Revisión detallada.
Los objetos de la fase detallada son los
de obtener la información necesaria
para que el auditor tenga un profundo
entendimiento de los controles usados
dentro del área de informática.
El auditor debe de decidir se debe
continuar elaborando pruebas de
consentimiento, con la esperanza de
obtener mayor confianza por medio del
sistema de control interno, o proceder
directamente a revisión con los usuarios
(pruebas compensatorias) o a las
pruebas sustantivas.
2.1.4 Examen y evaluación de la
información.
Periodo en el que se desarrollan las
pruebas y su extensión
Los auditores independientes podrán
realizar las pruebas de cumplimiento
durante el periodo preliminar.
Cuando éste sea el caso, la aplicación de
tales pruebas a todo el periodo restante
puede no ser necesaria, dependiendo
fundamentalmente del resultado de
estas pruebas en el periodo preliminar
así como de la evidencia del
cumplimiento, dentro del periodo
restante, que puede obtenerse de las
pruebas sustantivas realizadas por el
auditor independiente.
La determinación de la extensión de las
pruebas de cumplimento se realizará
sobre bases estadísticas o sobre bases
subjetivas. El muestreo estadístico es,
en principio, el medio idóneo para
expresar en términos cuantitativos el
juicio del auditor respecto a la
razonabilidad, determinando la
extensión de las pruebas y evaluando su
resultado.
Cuando se utilicen bases subjetivas se
deberá dejar constancia en los papeles
de trabajo de las razones que han
conducido a tal elección, justificando
los criterios y bases de selección.
Evaluación del control interno
Realizados los cuestionarios y
representado gráficamente el sistema de
acuerdo con los procedimientos vistos,
hemos de conjugar ambos a fin de
realizar un análisis e identificar los
puntos fuertes y débiles del sistema.
En esa labor de identificación, influye
primordialmente la habilidad para
entender el sistema y comprender los
puntos fuertes y débiles de su control
interno.
6
La conjugación de ambas nos dará el
nivel de confianza de los controles que
operan en la empresa, y será preciso
determinar si los errores tienen una
repercusión directa en los estados
financieros, o si los puntos fuertes del
control eliminarían el error.
2.1.5 Pruebas de controles de
usuario.
En una auditoria existen los siguientes
módulos para ayudarle a planificar y
ejecutar pruebas:
Aéreas de Auditoria
Registro de Riesgos y Controles
Plan de Pruebas
Realizar pruebas
Permite especificar la estructura bajo la
cual se agruparan las pruebas.
Permite planificar y ejecutar pruebas
relacionadas con los riesgos y controles
definidos para esta auditoría.
Permite agregar, editar y borrar
pruebas con independencia del Registro
de Riesgos y Controles.
Permite registrar el resultado y el
status de cada prueba (completadas,
revisadas o aprobadas).
Una Librería de Áreas y una Librería
de Pruebas pueden también ser
mantenida para proveer Áreas y
Pruebas Standard para su selección en
cada auditoria.
Las Áreas de Auditoria estructuran sus
pruebas en programas de trabajo
lógicos y pueden usarse para capturar
información relacionada con los
objetivos de cada programa de trabajo.
2.1.6 Pruebas sustantivas.
El objetivo de las pruebas sustantivas
es obtener evidencia suficiente que
permita al auditor emitir su juicio en
las conclusiones acerca de cuándo
pueden ocurrir pérdidas materiales
durante el proceso de la información.
Se pueden identificar 8 diferentes
pruebas sustantivas:
1 pruebas para identificar errores en el
procesamiento o de falta de seguridad o
confidencialidad.
2 prueba para asegurar la calidad de los
datos.
3 pruebas para identificar la
inconsistencia de datos.
4 prueba para comparar con los datos o
contadores físicos.
5 confirmaciones de datos con fuentes
externas
6 pruebas para confirmar la adecuada
comunicación.
7 prueba para determinar falta de
seguridad.
8 pruebas para determinar problemas
de legalidad.
2.2 Evaluación de los sistemas de
acuerdo al riesgo.
Riesgo
Proximidad o posibilidad de un daño,
peligro, etc.
Cada uno de los imprevistos, hechos
desafortunados, etc., que puede cubrir
un seguro.
Sinónimos: amenaza, contingencia,
emergencia, urgencia, apuro.
Seguridad
Cualidad o estado de seguro
Garantía o conjunto de garantías que se
da a alguien sobre el cumplimiento de
algo.
Ejemplo: Seguridad Social Conjunto de
organismos, medios, medidas, etc., de la
administración estatal para prevenir o
remediar los posibles riesgos, problemas
y necesidades de los trabajadores, como
enfermedad, accidentes laborales,
incapacidad, maternidad o jubilación;
se financia con aportaciones del Estado
, trabajadores y empresarios.
Se dice también de todos aquellos
objetos, dispositivos, medidas, etc., que
contribuyen a hacer más seguro el
funcionamiento o el uso de una cosa:
cierre de seguridad, cinturón de
seguridad.
2.4 Personal participante.
Una de las partes más importantes en la
planeación de la auditoría en
informática es el personal que deberá
7
participar, ya que se debe contar con un
equipo seleccionado y con ciertas
características que puedan ayudar a
llevar la auditoria de manera correcta y
en el tiempo estimado.
Aquí no se verá el número de persona
que deberán participar, ya que esto
depende de las dimensiones de la
organización, de los sistemas y de los
equipos, lo que se deberá considerar son
exactamente las características que
debe cumplir cada uno del personal que
habrá de participar en la auditoria.
Uno de los esquemas generalmente
aceptados para tener un adecuado
control es que el personal que
intervenga esté debidamente
capacitado, que tenga un alto sentido
de moralidad, al cual se le exija la
optimización de recursos (eficiencia) y
se le retribuya o compense justamente
por su trabajo.
Con estas bases debemos considerar los
conocimientos, la práctica profesional y
la capacitación que debe tener el
personal que intervendrá en la
auditoria.
También se deben contar con personas
asignadas por los usuarios para que en
el momento que se solicite información,
o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos
proporcionen aquello que se está
solicitando, y complementen el grupo 8
UNIDAD III Auditoria de la función informática.
3.1 Recopilación de la información organizacional.
Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo
que sucede en la organización bajo análisis, esta obtención de la información debe ser planeada en forma estructurada para
garantizar una generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se planea la recolección
de datos, se analiza, se retroalimentan y se da un seguimiento.
La recolección de datos puede darse de varias maneras:
• Cuestionarios
• Entrevistas
• Observación
• Información documental (archivo)
Toda la información tiene un valor en sí misma, el método de obtención de información está directamente ligado a la
disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad
dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior
análisis.
3.2 Evaluación de los recursos
humanos
La auditoría de recursos humanos
puede definirse como el análisis de las
políticas y prácticas de personal de una
empresa y la evaluación de su
funcionamiento actual, seguida de
sugerencias para mejorar. El propósito
principal de la auditoria de recursos
humanos es mostrar cómo está
funcionado el programa, localizando
prácticas y condiciones que son
perjudiciales para la empresa o que no
están justificando su costo, o prácticas
y condiciones que deben incrementarse.
La auditoría es un sistema de revisión y
control para informar a la
administración sobre la eficiencia y la
eficacia del programa que lleva a cabo.
8
El sistema de administración de
recursos humanos necesita patrones
capaces de permitir una continua
evaluación y control sistemático de su
funcionamiento.
Patrón en in criterio o un modelo que se
establece previamente para permitir la
comparación con los resultados o con
los objetivos alcanzados. Por medio de
la comparación con el patrón pueden
evaluarse los resultados obtenidos y
verificar que ajustes y correcciones
deben realizarse en el sistema, con el fin
de que funcione mejor.
3.3 Entrevistas con el personal de
informática.
La entrevista es uno de los eslabones
finales para conseguir la posición
deseada. Desde el otro lado del
mostrador y habiendo entrevistado a
5.000 profesionales en sistemas entre
nuestro equipo de selectores, te dejamos
valiosos consejos en esta nota.
Es un diálogo directo entre el
entrevistador y entrevistado. El
entrevistador dirige la conversación e
intenta obtener la máxima información
posible del candidato.
Te preguntará por tu currículum,
experiencias, habilidades, aficiones e
intentará ponerte en situaciones reales
para estudiar tus reacciones. En
ocasiones puede haber más de un
entrevistador, con el fin de tener más de
un punto de vista a la hora de elegir el
candidato final.
Modalidades de la Entrevista Personal
Estructurada (dirigida)
El entrevistador dirige la conversación
y hace las preguntas al candidato
siguiendo un cuestionario o guión. El
entrevistador formulará las mismas
preguntas a todos los candidatos.
Se recomienda contestar a las preguntas
aportando aquella información que se
pide, con claridad y brevedad.
No estructurada (libre)
El entrevistador te dará la iniciativa a
ti, y deberás desenvolverte por tu
cuenta. El entrevistador podría
empezar con la pregunta: “Háblame de
ti”, y luego seguir con preguntas
generales, que surgen en función del
desarrollo de la conversación.
Lo más aconsejable es empezar
siguiendo el guión de tu historial
profesional. También puedes preguntar
si está interesado en conocer algo en
particular. Aprovecha para llevar la
conversación a los puntos fuertes que
deseas destacar en relación con el
puesto ofertado.
Semi-estructurada (mixta)
Es una combinación de las dos
anteriores. El entrevistador utilizará
preguntas directas para conseguir
informaciones precisas sobre ti, y
preguntas indirectas para sondearte
respecto a tus motivaciones. Intenta
seguir un orden discursivo, sé conciso e
intenta relacionar tus respuestas y
comentarios con las exigencias del
puesto al que optas.
3.4 Situación presupuestal y
financiera
.
El estudio y evaluación del control
interno deberá efectuarse conforme a lo
dispuesto en el boletín 3050 “Estudio y
Evaluación del Control Interno”,
emitido por la Comisión de Normas y
Procedimientos de Auditoría del
Instituto Mexicano de Contadores
Públicos, A.C., éste servirá de base para
determinar el grado de confianza que se
depositará en él y le permita determinar
la naturaleza, alcance y oportunidad,
que va a dar a los procedimientos de
auditoría, por lo que el auditor para el
cumplimiento de los objetivos deberá
considerar lo siguiente:
- Existencia de factores que aseguren
un ambiente de control
- Existencia de riesgo en la información
financiera
9
Existencia de un sistema presupuestal
que permita identificar, reunir,
analizar, clasificar, registrar y producir
información cuantitativa de las
operaciones basadas en flujos de
efectivo y partidas devengadas
- Existencia de procedimientos relativos
a autorización, procesamiento y
clasificación de transacciones,
salvaguarda física de documentación
soporte y de verificación y evaluación,
incluyendo los aplicables a la
actualización de cifras y a los controles
relativos al procesamiento electrónico
de datos. - Vigilancia sobre el
establecimiento y mantenimiento de
controles internos con
objeto de identificar si están operando
efectivamente y si deben ser
modificados cuando existan cambios
importantes.
Para efectos de estudio y evaluación del
control interno en una revisión en una
revisión de estados presupuestarios, el
auditor deberá considerar los siguientes
aspectos:
a. Existencia de un presupuesto anual
autorizado
b. Existencia e políticas, bases y
lineamientos presupuestarios
c. Existencia de un sistema de registro
presupuestario
d. Existencia de un procedimiento de
autorizaciones
e. Procedimientos de registro, control y
reporte presupuestario
Obtener el estado analítico de recursos
presupuestarios y el ejercicio
presupuestario del gasto, tal como lo
establecen los Términos de Referencia
para auditorías a Órganos
Desconcentrados y Entidades
Paraestatales de la SFP, así como el
flujo de efectivo que detalle el origen y
el destino de los egresos (Art.103 de la
Ley Federal de Presupuesto y
Responsabilidad Hacendaria)
UNIDAD IV Evaluación de la seguridad.
Generalidades de la seguridad del área física.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos,
Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
Informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la
empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica
a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información confidencial” (1). Se refiere a los controles y mecanismos de seguridad
10
dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos.
4.2 Seguridad lógica y confidencial.
La seguridad lógica se encarga de los
controles de acceso que están diseñados
para salvaguardar la integridad de la
información almacenada de una
computadora, así como de controlar el
mal uso de la información.
La seguridad lógica se encarga de
controlar y salvaguardar la información
generada por los sistemas, por el
software de desarrollo y por los
programas en aplicación.
Identifica individualmente a cada
usuario y sus actividades en el sistema,
y restringe el acceso a datos, a los
programas de uso general, de uso
específico, de las redes y terminales.
La falta de seguridad lógica o su
violación puede traer las siguientes
consecuencias a la organización:
Cambio de los datos antes o cuando se
le da entrada a la computadora.
Copias de programas y /o información.
Código oculto en un programa
Entrada de virus
Un método eficaz para proteger
sistemas de computación es el software
de control de acceso. Los paquetes de
control de acceso protegen contra el
acceso no autorizado, pues piden al
usuario una contraseña antes de
permitirle el acceso a información
confidencial. Sin embargo, los paquetes
de control de acceso basados en
componentes pueden ser eludidos por
delincuentes sofisticados en
computación, por lo que no es
conveniente depender de esos paquetes
por si solos para tener una seguridad
adecuada.
4.3 Seguridad personal.
A finales del siglo XX, los Sistemas
Informáticos se han constituido en las
herramientas más poderosas para
materializar uno de los conceptos más
vitales y necesarios para cualquier
organización empresarial, los Sistemas
de Información de la empresa.
La Informática hoy, está subsumida en
la gestión integral de la empresa, y por
eso las normas y estándares
propiamente informáticos deben estar,
por lo tanto, sometidos a los generales
de la misma. En consecuencia, las
organizaciones informáticas forman
parte de lo que se ha denominado el
"management" o gestión de la empresa.
Cabe aclarar que la Informática no
gestiona propiamente la empresa,
ayuda a la toma de decisiones, pero no
decide por sí misma. Por ende, debido a
su importancia en el funcionamiento de
una empresa, existe la Auditoría
Informática.
El término de Auditoría se ha empleado
incorrectamente con frecuencia ya que
se ha considerado como una evaluación
cuyo único fin es detectar errores y
señalar fallas. A causa de esto, se ha
tomado la frase "Tiene Auditoría" como
sinónimo de que, en dicha entidad,
antes de realizarse la auditoría, ya se
habían detectado fallas.
El concepto de auditoría es mucho más
que esto. Es un examen crítico que se
realiza con el fin de evaluar la eficacia y
eficiencia de una sección, un organismo,
una entidad, etc.
4.4 Clasificación de los controles de
seguridad.
Clasificación general de los controles
Controles Preventivos
Son aquellos que reducen la frecuencia
con que ocurren las causas del riesgo,
permitiendo cierto margen de
violaciones.
Ejemplos: Letrero "No fumar" para
salvaguardar las instalaciones
Sistemas de claves de acceso
Controles detectives
Son aquellos que no evitan que ocurran
las causas del riesgo sino que los detecta
luego de ocurridos. Son los más
importantes para el auditor. En cierta
forma sirven para evaluar la eficiencia
de los controles preventivos.
11
Ejemplo: Archivos y procesos que
sirvan como pistas de auditoría
Procedimientos de validación
Controles Correctivos
Ayudan a la investigación y corrección
de las causas del riesgo. La corrección
adecuada puede resultar difícil e
ineficiente, siendo necesaria la
implantación de controles defectivos
sobre los controles correctivos, debido a
que la corrección de errores es en sí una
actividad altamente propensa a errores.
4.5 Seguridad en los datos y
software de aplicación.
Este apartado aborda los aspectos
asociados al componente lógico del
sistema: programas y datos. Para ello,
se distingue entre las medidas para
restringir y controlar el acceso a dichos
recursos, los procedimientos para
asegurar la fiabilidad del software
(tanto operativo como de gestión) y los
criterios a considerar para garantizar la
integridad de la información.
Control de acceso.
Sistemas de identificación, asignación y
cambio de derechos de acceso, control
de accesos, restricción de terminales,
desconexión de la sesión, limitación de
reintento.
Software de base.
Control de cambios y versiones, control
de uso de programas de utilidad,
control de uso de recursos y medición de
'performance'.
Software de aplicación.
En este apartado se trata todo lo
concerniente al software de aplicación,
es decir, todo lo relativo a las
aplicaciones de gestión, sean producto
de desarrollo interno de la empresa o
bien sean paquetes estándar adquiridos
en el mercado.
Desarrollo de software.
. Metodología: existe, se aplica, es
satisfactoria. Documentación: existe,
esta actualizada, es accesible.
. Estándares: se aplican, como y quien
lo controla. Involucración del usuario.
. Participación de personal externo.
. Control de calidad.
. Entornos real y de prueba.
. Control de cambios.
Adquisición de software estándar.
Metodología, pruebas,
condiciones, garantías, contratos,
capacitación, licencias, derechos,
soporte técnico.
Datos.
Los datos es decir, la información que se
procesa y se obtiene son la parte más
importante de todo el sistema
informático y su razón de ser. Un
sistema informático existe como tal
desde el momento en que es capaz de
tratar y suministrar información. Sin
ésta, se reduciría a un conjunto de
elementos lógicos sin ninguna utilidad.
En la actualidad la inmensa mayoría de
sistemas tienen la información
organizada en sendas Bases de Datos.
Los criterios que se citan a continuación
hacen referencia a la seguridad de los
Sistemas de Gestión de Bases de Datos
(SGBD) que cumplan normas ANSI, si
bien muchos de ellos pueden ser
aplicables a los archivos de datos
convencionales.
Diseño de bases de datos.
Es importante la utilización de
metodologías de diseño de datos. El
equipo de analistas y diseñadores deben
hacer uso de una misma metodología de
diseño, la cual debe estar en
concordancia con la arquitectura de la
Base de Datos elegida jerárquica,
relacional, red, o bien orientada a
objetos.
Debe realizarse una estimación previa
del volumen necesario para el
almacenamiento de datos basada en
distintos aspectos tales como el número
mínimo y máximo de registros de cada
entidad del modelo de datos y las
predicciones de crecimiento.
A partir de distintos factores como el
número de usuarios que accederá a la
información, la necesidad de compartir
información y las estimaciones de
12
volumen se deberá elegir el SGBD más
adecuado a las necesidades de la
empresa o proyecto en cuestión.
En la fase de diseño de datos, deben
definirse los procedimientos de
seguridad, confidencialidad e integridad
que se aplicarán a los datos:
Procedimientos para recuperar los
datos en casos de caída del sistema o de
corrupción de los archivos.
Procedimientos para prohibir el acceso
no autorizado a los datos. Para ello
deberán identificarlos.
Procedimientos para restringir el acceso
no autorizado a los datos. Debiendo
identificar los distintos perfiles de
usuario que accederán a los archivos de
la aplicación y los subconjuntos de
información que podrán modificar o
consultar.
Procedimientos para mantener la
consistencia y corrección de la
información en todo momento.
Básicamente existen dos niveles de
integridad: la de datos, que se refiere al
tipo, longitud y rango aceptable en
cada caso, y la lógica, que hace
referencia a las relaciones que deben
existir entre las tablas y reglas del
negocio.
Debe designarse un Administrador de
Datos, ya que es importante centralizar
en personas especializadas en el tema
las tareas de redacción de normas
referentes al gestor de datos utilizado,
definición de estándares y
nomenclatura, diseño de
procedimientos de arranque,
recuperación de datos, asesoramiento al
personal de desarrollo entre algunos
otros aspectos.
Creación de bases de datos.
Debe crearse un entorno de desarrollo
con datos de prueba, de modo que las
actividades del desarrollo no interfieran
el entorno de explotación. Los datos de
prueba deben estar dimensionados de
manera que permitan la realización de
pruebas de integración con otras
aplicaciones, de rendimiento con
volúmenes altos.
En la fase de creación, deben
desarrollarse los procedimientos de
seguridad, confidencialidad e integridad
definidos en la etapa de diseño:
. Construcción de los procedimientos de
copia y restauración de datos.
. Construcción de los procedimientos de
restricción y control de acceso. Existen
dos enfoques para este tipo de
procedimientos:
Confidencialidad basada en roles, que
consiste en la definición de los perfiles
de usuario y las acciones que les son
permitidas (lectura, actualización, alta,
borrado, creación/eliminación de tablas,
modificación de la estructura de las
tablas).
4.6 Controles para evaluar software
de aplicación.
Una vez conseguida la Operatividad de
los Sistemas, el segundo objetivo de la
auditoría es la verificación de la
observancia de las normas teóricamente
existentes en el departamento de
Informática y su coherencia con las del
resto de la empresa. Para ello, habrán
de revisarse sucesivamente y en este
orden:
1. Las Normas Generales de la
Instalación Informática. Se realizará
una revisión inicial sin estudiar a fondo
las contradicciones que pudieran
existir, pero registrando las áreas que
carezcan de normativa, y sobre todo
verificando que esta Normativa General
.
Informática no está en contradicción
con alguna Norma General no
informática de la empresa.
2. Los Procedimientos Generales
Informáticos. Se verificará su
existencia, al menos en los sectores más
importantes. Por ejemplo, la recepción
definitiva de las máquinas debería estar
firmada por los responsables de
Explotación. Tampoco el alta de una
nueva Aplicación podría producirse si
no existieran los Procedimientos de
Backup y Recuperación
correspondientes.
3. Los Procedimientos Específicos
Informáticos. Igualmente, se revisara
13
su existencia en las áreas
fundamentales. Así, Explotación no
debería explotar una Aplicación sin
haber exigido a Desarrollo la pertinente
documentación. Del mismo modo,
deberá comprobarse que los
Procedimientos Específicos no se
opongan a los Procedimientos
Generales. En todos los casos
anteriores, a su vez, deberá verificarse
que no existe contradicción alguna con
la Normativa y los Procedimientos
Generales de la propia empresa, a los
que la Informática debe estar sometida.
4.7 Controles para prevenir
crímenes y fraudes informáticos.
En los años recientes las redes de
computadoras han crecido de manera
asombrosa. Hoy en día, el número de
usuarios que se comunican, hacen sus
compras, pagan sus cuentas, realizan
negocios y hasta consultan con sus
médicos online supera los 200 millones,
comparado con 26 millones en 1995.
A medida que se va ampliando la
Internet, asimismo va aumentando el
uso indebido de la misma. Los
denominados delincuentes cibernéticos
se pasean a su aire por el mundo
virtual, incurriendo en delitos tales
como el acceso sin autorización o
"piratería informática", el fraude, el
sabotaje informático, la trata de niños
con fines pornográficos y el acecho.
Los delincuentes de la informática son
tan diversos como sus delitos; puede
tratarse de estudiantes, terroristas o
figuras del crimen organizado. Estos
delincuentes pueden pasar
desapercibidos a través de las fronteras,
ocultarse tras incontables "enlaces" o
simplemente desvanecerse sin dejar
ningún documento de rastro. Pueden
despachar directamente las
comunicaciones o esconder pruebas
delictivas en "paraísos informáticos" - o
sea, en países que carecen de leyes o
experiencia para seguirles la pista -.
Según datos recientes del Servicio
Secreto de los Estados Unidos, se
calcula que los consumidores pierden
unos 500 millones de dólares al año
debido a los piratas que les roban de las
cuentas online sus números de tarjeta
de crédito y de llamadas. Dichos
números se pueden vender por jugosas
sumas de dinero a falsificadores que
utilizan programas especiales para
codificarlos en bandas magnéticas de
tarjetas bancarias y de crédito, señala el
Manual de la ONU.
Otros delincuentes de la informática
pueden sabotear las computadoras para
ganarle ventaja económica a sus
competidores o amenazar con daños a
los sistemas con el fin de cometer
extorsión. Los malhechores manipulan
los datos o las operaciones, ya sea
directamente o mediante los llamados
"gusanos" o "virus", que pueden
paralizar completamente los sistemas o
borrar todos los datos del disco duro.
Algunos virus dirigidos contra
computadoras elegidas al azar; que
originalmente pasaron de una
computadora a otra por medio de
disquetes "infectados"; también se están
propagando últimamente por las redes,
con frecuencia camuflados en mensajes
electrónicos o en programas
"descargados" de la red.
4.8 Plan de contingencia, seguros,
procedimientos de recuperación de
desastres.
Medida que las empresas se han vuelto
cada vez más dependientes de las
computadoras y las redes para manejar
sus actividades, la disponibilidad de los
sistemas informáticos se ha vuelto
crucial. Actualmente, la mayoría de las
empresas necesitan un nivel alto de
disponibilidad y algunas requieren
incluso un nivel continuo de
disponibilidad, ya que les resultaría
extremadamente difícil funcionar sin
los recursos informáticos.
Los procedimientos manuales, si es que
existen, sólo serían prácticos por un
corto periodo. En caso de un desastre,
la interrupción prolongada de los
servicios de computación puede llevar a
pérdidas financieras significativas,
sobre todo si está implicada la
responsabilidad de la gerencia de
informática. Lo más grave es que se
puede perder la credibilidad del público
o los clientes y, como consecuencia, la
empresa puede terminar en un fracaso
total.
En un estudio realizado por la
Universidad de Minnesota, se ha
demostrado que más del 60% de las
empresas que sufren un desastre y que
14
no tienen un plan de recuperación ya en
funcionamiento, saldrán del negocio en
dos o tres años. Mientras vaya en
aumento la dependencia de la
disponibilidad de los recursos
informáticos, este porcentaje
seguramente crecerá.
Por lo tanto, la capacidad para
recuperarse exitosamente de los efectos
de un desastre dentro de un periodo
predeterminado debe ser un elemento
crucial en un plan estratégico de
seguridad para una organización.
4.9 Técnicas y herramientas
relacionadas con la seguridad física
y del personal.
SEGURIDAD FISICA
Es todo lo relacionado con la seguridad
y salvaguarda de los bienes tangibles de
los sistemas computacionales de la
empresa, tales como el hardware,
periféricos, y equipos asociados, las
instalaciones eléctricas, las instalaciones
de comunicación y de datos.
Igualmente todo lo relacionado con la
seguridad y salvaguarda de las
construcciones, el mobiliario y equipo
de oficina, así como la protección a los
accesos al centro de sistematización.
En sí, es todo lo relacionado con la
seguridad, la prevención de riesgos y
protección de los recursos físicos
informáticos de la empresa.
UNIDAD V Auditoria de la seguridad en la teleinformática.
5.1 Generalidades de la seguridad en el área de la teleinformática.
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se denomina teleinformática: la unión de la
informática y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de
expresiones y conceptos relacionados con la teleinformática.
Este trabajo se basa en conceptos fundamentales expresados de la manera más simple posible, pero a su vez siendo precisos.
Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose, y a su vez,
proporcionando un panorama general del tema. Luego mencionamos de forma genérica los elementos que integran un sistema
teleinformática, desde un simple terminal hasta una red.
Continuamos explicando las técnicas fundamentales de transmisión de datos, para comprender cómo viaja la información de un
sistema a otro a través de los circuitos de telecomunicación.
Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red, transporte, sesión, presentación y aplicación.
También, mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta.
Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en los conceptos básicos sobre
Programas de Comunicación y Gestión de Red.
Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía Móvil.
15
Además, establecimos los últimos desarrollos y las tendencias de la teleinformática, desde las redes digitales hasta el proceso
distribuido.
Por último, manifestamos la importancia de la relación que existe entre la teleinformática y la sociedad, en lo que respecta a la
educación, la sanidad y la empresa.
Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es
uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación.
En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la
información, el medio, que permite la transmisión, y el receptor, que recibe la información.
La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas
manifestaciones con sentido propio. Estos gestos iban acompañados de sonidos.
Posteriormente, comenzó la comunicación hablada a través de un determinado lenguaje, en el cuál cada palabra significaba algo y
cada frase tenía un contenido informativo.
Más tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas
situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de
humo, destellos con espejos entre innumerables métodos de comunicación.
Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada vez más importante.
La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de
cables a unas distancias considerables.
Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más
tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego
fueron muy importantes a lo que respecta a la comunicación.
5.2 Objetivos y criterios de la
auditoria en el área de la
teleinformática.
Así ante la continua aparición de
nuevas herramientas de gestión, la
auditoría interna se ve compelida a
velar entre otras cosas por la aplicación
y buen uso de las mismas. Ello
ciertamente implica un muy fuerte
compromiso. Dijimos antes que la
auditoría debía velar no sólo por los
activos de la empresa sino además por
su capacidad competitiva. Cuidar de
esto último significa difundir, apoyar y
controlar las nuevas y buenas prácticas.
Así, haciendo uso del benchmarking
puede verificar y promover las mejores
prácticas para el mantenimiento de la
más alta competitividad. Ser
competitivo es continuar en la lucha
por la subsistencia o continuidad de la
empresa.
Como brillantemente lo expresa
Fernando Gaziano (Deloitte Chile), "los
auditores y los astrónomos
compartimos plenamente una idea: el
universo se expande. Así como después
del "big bang" un universo de planetas
16
y estrellas comenzó y continúa
expandiéndose, de la misma forma el
mundo del Auditor Interno es cada vez
más amplio. Como nunca,
probablemente hoy se enfrenta a uno de
los cambios más importantes en su
profesión, debiendo abordar aspectos
relacionados con el Gobierno
Corporativo y los nuevos riesgos a los
que se enfrentan las organizaciones.
5.3 Síntomas de riesgo.
La Auditoría de la Seguridad
Para muchos la seguridad sigue siendo
el área principal a auditar, hasta el
punto de que en algunas entidades se
creó inicialmente la función de
auditoría informática para revisar la
seguridad, aunque después se hayan ido
ampliando los objetivos. Cada día es
mayor la importancia de la
información, especialmente relacionada
con sistemas basados en el uso de
tecnología de información y
comunicaciones, por lo que el impacto
de las fallas, los accesos no autorizados,
la revelación de la información, entre
otros problemas, tienen un impacto
mucho mayor que hace algunos años.
En la auditoría de otras áreas pueden
también surgir revisiones solapadas con
la seguridad; así a la hora de revisar el
desarrollo se verá si se realiza en un
entorno seguro, etc.
Los controles directivos. Son los
fundamentos de la seguridad: políticas,
planes, funciones, objetivos de control,
presupuesto, así como si existen
sistemas y métodos de evaluación
periódica de riesgos.
El desarrollo de las políticas.
Procedimientos, posibles estándares,
normas y guías.
Amenazas físicas externas.
Inundaciones, incendios, explosiones,
corte de líneas o suministros,
terremotos, terrorismo, huelgas, etc., se
considera: la ubicación del centro de
procesos, de los servidores, PCs,
computadoras portátiles (incluso fuera
de las oficinas); estructura, diseño,
construcción y distribución de edificios;
amenazas de fuego, riesgos por agua,
por accidentes atmosféricos; contenido
en paquetes}, bolsos o carteras que se
introducen o salen de los edificios;
visitas, clientes, proveedores,
contratados; protección de los soportes
magnéticos en cuanto a acceso,
almacenamiento y transporte.
Control de accesos adecuado. Tanto
físicos como lógicos, que se realicen sólo
las operaciones permitidas al usuario:
lectura, variación, ejecución, borrado y
copia, y quedando las pistas necesarias
para el control y la auditoría. Uso de
contraseñas, cifrado de las mismas,
situaciones de bloqueo.
Protección de datos. Origen del dato,
proceso, salida de los datos.
Comunicaciones y redes. Topología y
tipo de comunicaciones, posible uso de
cifrado, protecciones ante virus. Tipos
de transacciones. Protección de
conversaciones de voz en caso necesario,
protección de transmisiones por fax
para contenidos clasificados. Internet e
Intranet, correo electrónico, control
sobre páginas web, así como el comercio
electrónico.
El entorno de producción.
Cumplimiento de contratos,
outsourcing.
El desarrollo de aplicaciones en un
entorno seguro, y que se incorporen
controles en los productos desarrollados
y que éstos resulten auditables. Con el
uso de licencias (de los programas
utilizados).
La continuidad de las operaciones.
Planes de contingencia o de
Continuidad.
No se trata de áreas no relacionadas,
sino que casi todas tienen puntos de
enlace comunes: comunicaciones con
control de accesos, cifrado con
comunicaciones, etc.
Evaluación de riesgos
Se trata de identificar riesgos,
cuantificar su probabilidad e impacto y
analizar medidas que los eliminen o que
disminuyan la probabilidad de que
ocurran los hechos o mitiguen el
impacto. Para evaluarlos hay que
considerar el tipo de información
almacenada, procesada y transmitida,
la criticidad de las operaciones, la
tecnología usada, el marco legal
aplicable, el sector de la entidad, la
entidad misma y el momento. Los
riesgos pueden disminuirse
(generalmente no pueden eliminarse),
transferirse o asumirse.
5.4 Técnicas y herramientas de
auditoría relacionadas con la seguridad
en la teleinformática.
17
Introducir al estudiante en los aspectos
técnicos, funcionales y organizacionales
que componen la problemática de
seguridad en las redes teleinformáticas,
ilustrando las operaciones, técnicas y
herramientas más usuales para
garantizar privacidad, autenticación y
seguridad.
Introducción General a la Seguridad en
Redes
. Definiciones
. Generalidades
. Intrusos
.
Amenazas
. Ataques
Planeación de la Seguridad
. Análisis del sistema actual
. Análisis de riesgos
. Definición de políticas de seguridad
. Implantación de la seguridad
Servicios de Seguridad
. Modelo OSI para arquitecturas de
Seguridad
. Modelo TCP/IP
UNIDAD VI Informe de la auditoria informática.
6.1 Generalidades de la seguridad del área física.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos,
Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los
aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder
físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica
a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información confidencial”(1). Se refiere a los controles y mecanismos de seguridad
dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para
proteger el hardware y medios de almacenamiento de datos.
6.2 Características del informe.
Objetivos, características y
afirmaciones que contiene el informe de
auditoría
El informe de auditoría financiera tiene
como objetivo expresar una opinión
técnica de las cuentas anuales en los
aspectos significativos o importantes,
sobre si éstas muestran la imagen fiel
del patrimonio, de la situación
financiera y del resultado de sus
operaciones, así como de los recursos
obtenidos y aplicados durante el
ejercicio.
Características del informe de auditoría:
1. Es un documento mercantil o
público.
2. Muestra el alcance del trabajo.
3. Contiene la opinión del auditor.
4. Se realiza conforme a un marco legal.
18
Principales afirmaciones que contiene el
informe:
Indica el alcance del trabajo y si ha sido
posible llevarlo a cabo y de acuerdo con
qué normas de auditoría.
Expresa si las cuentas anuales
contienen la información necesaria y
suficiente y han sido formuladas de
acuerdo con la legislación vigente y,
también, si dichas cuentas han sido
elaboradas teniendo en cuenta el
principio contable de uniformidad.
Asimismo, expresa si las cuentas
anuales reflejan, en todos los aspectos
significativos, la imagen fiel del
patrimonio, de la situación financiera,
de los resultados y de los recursos
obtenidos y aplicados.
Se opina también sobre la concordancia
de la información contable del informe
de gestión con la contenida en las
cuentas anuales.
En su caso, explica las desviaciones que
presentan los estados financieros con
respecto a unos estándares
preestablecidos.
Podemos sintetizar que el informe es
una presentación pública, resumida y
por escrito del trabajo realizado por los
auditores y de su opinión sobre las
cuentas anuales.
6.3 Estructura del informe.
Concluido el Trabajo de Campo, el
auditor tendrá como responsabilidad la
confección del
Informe de Auditoría como un
producto final de este trabajo. El
informe contendrá el mensaje del
Auditor sobre lo que ha hecho y como
lo ha realizado, así como los resultados
obtenidos.
Concepto
Es el documento emitido por el Auditor
como resultado final de su examen y/o
evaluación, incluye información
suficiente sobre Observaciones,
Conclusiones de hechos significativos,
así como Recomendaciones
constructivos para superar las
debilidades en cuanto a políticas,
procedimientos, cumplimiento de
actividades y otras.
Importancia
El Informe de Auditoría, reviste gran
Importancia, porque suministra a la
administración de la empresa,
información sustancial sobre su proceso
administrativo, como una forma de
contribuir al cumplimiento de sus
metas y objetivos programados.
El Informe a través de sus
observaciones, conclusiones y
recomendaciones, constituye el mejor
medio para que las organizaciones
puedan apreciar la forma como están
operando. En algunas oportunidades
puede ocurrir que, debido a un descuido
en su preparación, se pierde la
oportunidad de hacer conocer a la
empresa lo que realmente desea o
necesita conocer para optimizar su
administración, a pesar de que se haya
emitido un voluminoso informe, pero
inadvertidamente puede estar falto de
sustentación y fundamento adecuado;
en consecuencia su contenido puede ser
pobre; con esto queremos hacer resaltar
el hecho de que, el Informe debe
comunicar información útil para
promover la toma de decisiones.
Lamentablemente esto no se logrará si
el informe revela pobreza de expresión
y no se aportan comentarios
constructivos.
Redacción del Informe
La Redacción se efectuará en forma
corriente a fin de que su contenido sea
comprensible al lector, evitando en lo
posible el uso de terminología muy
especializada; evitando párrafos largos
y complicados, así como expresiones
grandilocuentes y confusas.
La Redacción del Informe debe merecer
mucha atención cuidado de parte del
auditor para que tenga la acogida y
aceptación que los empresarios esperan
de él, en este sentido el
Informe debe:
. Despertar o motivar interés.
. Convencer mediante información
sencilla, veraz y objetiva.
2. Requisitos del informe
Claridad y simplicidad.
La Claridad y Simplicidad, significan
introducir sin mayor dificultad en la
mente del lector del informe, lo que el
Auditor ha escrito o pensó escribir. A
veces lo que ocasiona la deficiencia de
19
claridad y simplicidad del informe es
precisamente la falta de claridad en los
conceptos que el Auditor tiene en
mente, es decir, no hay una cabal
comprensión de lo que realmente quiere
comunicar, asimismo cuando el Informe
está falto de claridad, puede dar lugar a
una doble interpretación, ocasionando
de este modo que, se torne inútil y
pierda su utilidad. En consecuencia,
para que el informe logre su objetivo de
informar o comunicar al cliente, el
Auditor:
. Evitará el uso de un lenguaje técnico,
florido o vago.
. Evitará ser muy breve.
. Evitará incluir mucho detalle.
. Utilizará palabras simples, familiares
al lector, es decir, escribirá en el idioma
que el lector entiende.
6.4 Formato para el informe.
El formato para informes finales está
enfocado a apoyar y facilitar el proceso
de evaluación de los resultados de los
proyectos financiados por la sede
Bogotá, con respecto a los compromisos
adquiridos en el proyecto aprobado.
Además de reportar sobre el
cumplimiento de los objetivos y el
impacto logrado a partir del uso y
obtención de los resultados esperados y
de las actividades de investigación
científica.
• Los informes finales técnico y
financiero, deben ser entregados a la
Dirección de
Investigación de la sede, al finalizar el
periodo de ejecución del proyecto.
• El informe debe ser aprobado
previamente por el respectivo Consejo
Directivo de cada
Facultad, Centro o Instituto.
• El informe debe contener un índice.
Cada página del informe
debe estar numerada.
• Cada anexo debe estar numerado
haciendo referencia a lo anotado en los
cuadros de resultados.
• El informe técnico final deberá
presentarse en versión impresa y
magnética (CD o disquete).
I. CONTENIDO DEL INFORME
TÉCNICO
1. Título y código del proyecto
2. Nombre del investigador principal y
de la Facultad, Centro o Instituto al
que pertenece
3. Fecha de entrega del Informe
4. Sinopsis divulgativa: Con el
propósito de promover la divulgación
de las actividades investigativas que
adelanta la Sede Bogotá y para dar
mayor difusión a los proyectos, deben
incluir un resumen de una cuartilla que
servirá de base para la elaboración de
notas académicas dirigidas a los medios
de comunicación de la Universidad.
5. Resumen técnico de los resultados
obtenidos durante la realización del
proyecto y de las principales
conclusiones (máximo cinco páginas).
6. Cuadro de resultados obtenidos: De
acuerdo a los objetivos y resultados
esperados planteados en el proyecto
aprobado, relacione los resultados
obtenidos durante la realización del
proyecto, los cuales deben estar
soportados por sus respectivos
indicadores verificables: publicaciones,
patentes, registros, normas,
certificaciones, memorias, formación de
recurso humano, capacitación,
organización y/o participación en
eventos científicos, etc., estos deben
numerarse y adjuntarse como anexos
del informe (ver cuadro No. 1).
7. Descripción del impacto actual o
potencial de los resultados: En términos
de generación de nuevo conocimiento a
nivel mundial, de aporte para el
desarrollo del país, de contribución a la
solución de problemas específicos, de
fortalecimiento de la capacidad
científica, y de fortalecimiento de la
investigación y creación en la Sede
Bogotá (máximo dos páginas).
8. Conclusiones
.