PRACTICA: DEL MODULO NUMERO 3

1

Contenido del Curso: Administración de la función informática

UNIDAD I

Introducción a la auditoria informática.

Conceptos de auditoría y auditoria Informática.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el

activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los

recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si

los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la

consecución de los mismos.

Los objetivos de la auditoría Informática

son:

* El control de la función informática

* El análisis de la eficiencia de los

Sistemas Informáticos

* La verificación del cumplimiento de la

Normativa en este ámbito

* La revisión de la eficaz gestión de los

recursos informáticos.

La auditoría informática sirve para

mejorar ciertas características en la

empresa como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

Generalmente se puede desarrollar en

alguna o combinación de las siguientes

áreas:

- Gobierno corporativo

- Administración del Ciclo de vida de los

sistemas

- Servicios de Entrega y Soporte

- Protección y Seguridad

- Planes de continuidad y Recuperación

de desastres

PRACTICA: DEL MODULO NUMERO 3 2

1.2 Tipos de auditoría.

Auditoría contable (de estados

financieros) – no es interés del curso.

Auditoría interna. La lleva a cabo un

departamento dentro de la organización

y existe una relación laboral.

Auditoría externa. No existe relación

laboral y la hacen personas externas al

negocio para que los resultados que nos

arroje sean imparciales como pueden ser

las firmas de contadores o

administradores independientes.

Auditoria administrativa. (William. P

Leonard) es un examen completo y

constructivo de la estructura

organizativa de la empresa, institución

o departamento gubernamental o de

cualquier otra entidad y de sus métodos

de control, medios de operación y

empleo que dé a sus recursos humanos

y materiales.

Auditoria gubernamental.

Auditoría Financiera: Consiste en una

revisión exploratoria y critica de los

controles subyacentes y los registros de

contabilidad de una empresa realizada

por un contador público.

Auditoria de operaciones: Se define

como una técnica para evaluar

sistemáticamente de una función o una

unidad con referencia a normas de la

empresa, utilizando personal no

especializado en el área de estudio.

Auditoría fiscal: Consiste en verificar el

correcto y oportuno pago de los

diferentes impuestos y obligaciones

fiscales de los contribuyentes desde el

punto de vista físico (SHCP),

direcciones o tesorerías de hacienda

estatales o tesorerías municipales.

Auditoria de resultados de programas:

Esta auditoría la eficacia y congruencia

alcanzadas en el logro de los objetivos y

las metas establecidas.

Auditoria de legalidad: Este tipo de

auditoría tiene como finalidad revisar si

la dependencia o entidad, en el

desarrollo de sus actividades.

Auditoría integral: Es un examen que

proporciona una evaluación objetiva y

constructiva acerca del grado en que

los recursos humanos, financieros y

materiales.

1.2.1 Auditoría interna y externa.

La Auditoría Externa examina y

evalúa cualquiera de los sistemas de

información de una organización y

emite una opinión independiente sobre

los mismos, pero las empresas

generalmente requieren de la

evaluación de su sistema de

información financiero en forma

independiente para otorgarle validez

ante los usuarios del producto de este,

por lo cual tradicionalmente se ha

asociado el término Auditoría Externa

a Auditoría de Estados

Financieros, lo cual como se observa no

es totalmente equivalente, pues puede

existir. Auditoría Externa del Sistema

de Información Tributario, Auditoría

Externa del Sistema de Información

Administrativo, Auditoría Externa del

Sistema de Información Automático

etc.

La auditoría Interna es el examen

crítico, sistemático y detallado de un

sistema de información de una unidad

económica, realizado por un profesional

con vínculos laborales con la misma,

utilizando técnicas determinadas y con

el objeto de emitir informes y formular

sugerencias para el mejoramiento de la

misma. Estos informes son de

circulación interna y no tienen

trascendencia a los terceros pues no se

producen bajo la figura de la Fe

Pública.

1.3 Campo de la auditoria informática.

Algunos campos de aplicación de la

informática son las siguientes:

Investigación científica y humanística:

Se usan la las computadoras para la

resolución de cálculos matemáticos,

recuentos numéricos, etc.

Aplicaciones técnicas: Usa la

computadora para facilitar diseños de

ingeniería y de productos comerciales,

trazado de planos, etc.

Documentación e información: Es uno

de los campos más importantes para la

utilización de computadoras. Estas se

usan para el almacenamiento de

grandes cantidades de datos y la

recuperación controlada de los mismos

en bases de datos.

Gestión administrativa: Automatiza las

funciones de gestión típicas de una

empresa.

Inteligencia artificial: Las

computadoras se programan de forma

que emulen el comportamiento de la

mente humana. Los programas

responden como previsiblemente lo

haría una persona inteligente.

Instrumentación y control:

Instrumentación electrónica, electro

medicina, robots industriales, entre

otros.

3

1.4 Control interno.

El Control Interno Informático puede

definirse como el sistema integrado al

proceso administrativo, en la

planeación, organización, dirección y

control de las operaciones con el objeto

de asegurar la protección de todos los

recursos informáticos y mejorar los

índices de economía, eficiencia y

efectividad de los procesos operativos

automatizados.

También se puede definir el Control

Interno como cualquier actividad o

acción realizada manual y/o

automáticamente para prevenir,

corregir errores o irregularidades que

puedan afectar al funcionamiento de un

sistema para conseguir sus objetivos.

1.5 Modelos de control utilizados

en auditoria informática.

El COBIT es precisamente un modelo

para auditar la gestión y control de los

sistemas de información y tecnología,

orientado a todos los sectores de una

organización, es decir, administradores

IT, usuarios y por supuesto, los

auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos

de Control para Tecnología de

Información y Tecnologías relacionadas

(Control Objetives for Information

Systems and related Technology). El

modelo es el resultado de una

investigación con expertos de varios

países, desarrollado por ISACA

(Information Systems Audit and

Control Association).

La estructura del modelo COBIT

propone un marco de acción donde se

evalúan los criterios de información,

como por ejemplo la seguridad y

calidad, se auditan los recursos que

comprenden la tecnología de

información, como por ejemplo el

recurso humano, instalaciones,

sistemas, entre otros, y finalmente se

realiza una evaluación sobre los

procesos involucrados en la

organización.

El COBIT es un modelo de evaluación y

monitoreo que enfatiza en el control de

negocios y la seguridad IT y que abarca

controles específicos de IT desde una

perspectiva de negocios. “La adecuada

implementación de un modelo COBIT

en una organización, provee una

herramienta automatizada, para

evaluar de manera ágil y consistente el

cumplimiento de los objetivos de

control y controles detallados, que

aseguran que los procesos y recursos de

información y tecnología contribuyen al

logro de los objetivos del negocio en un

mercado cada vez más exigente,

complejo y diversificado”, señaló un

informe de ETEK.

COBIT, lanzado en 1996, es una

herramienta de gobierno de TI que ha

cambiado la forma en que trabajan los

profesionales de tecnología. Vinculando

tecnología informática y prácticas de

control, el modelo COBIT consolida y

armoniza estándares de fuentes globales

prominentes en un recurso crítico para

la gerencia, los profesionales de control

y los auditores.

COBIT se aplica a los sistemas de

información de toda la empresa,

incluyendo los computadores personales

y las redes. Está basado en la filosofía

de que los recursos TI necesitan ser

administrados por un conjunto de

procesos naturalmente agrupados para

proveer la información pertinente y

confiable que requiere una organización

para lograr sus objetivos.

El conjunto de lineamientos y

estándares internacionales conocidos

como COBIT, define un marco de

referencia que clasifica los procesos de

las unidades de tecnología de

información de las organizaciones en

cuatro “dominios” principales, a saber:

-Planificación y organización

-Adquisición e implantación

-Soporte y Servicios

- Monitoreo

Estos dominios agrupan objetivos de

control de alto nivel, que cubren tanto

los aspectos de información, como de la

tecnología que la respalda. Estos

dominios y objetivos de control

facilitan que la generación y

procesamiento de la información

cumplan con las características de

efectividad, eficiencia, confidencialidad,

integridad, disponibilidad,

cumplimiento y confiabilidad.

4

Asimismo, se deben tomar en cuenta los

recursos que proporciona la tecnología

de información, tales como: datos,

aplicaciones, plataformas tecnológicas,

instalaciones y recurso humano.

“Cualquier tipo de empresa puede

adoptar una metodología COBIT, como

parte de un proceso de reingeniería en

aras de reducir los índices de

incertidumbre sobre vulnerabilidades y

riesgos de los recursos IT y

consecuentemente, sobre la posibilidad

de evaluar el logro de los objetivos del

negocio apalancado en procesos

tecnológicos”, finalizó el informe de

ETEK.

1.6 Principios aplicados a los

auditores informáticos.

El auditor deberá ver cómo se puede

conseguir la máxima eficacia y

rentabilidad de los medios informáticos

de la empresa auditada, estando

obligado a presentar recomendaciones

acerca del reforzamiento del sistema y

el estudio de las soluciones más idóneas

según los problemas detectados en el

sistema informático de esta última. En

ningún caso está justificado que realice

su trabajo el prisma del propio

beneficio. Cualquiera actitud que se

anteponga intereses personales del

auditor a los del auditado deberá

considerarse como no ética. Para

garantizar el beneficio del auditado

como la necesaria independencia del

auditor, este último deberá evitar estar

ligado en cualquier forma, a intereses de

determinadas marcas, productos o

equipos compatibles con los de su

cliente. La adaptación del auditor al

sistema del auditado debe implicar una

cierta simbiosis con el mismo, a fin de

adquirir un conocimiento

pormenorizado de sus características

intrínsecas. Únicamente en los casos en

el que el auditor dedujese la

imposibilidad de que el sistema pudiera

acomodarse a las exigencias propias de

su cometido, este podrá proponer un

cambio cualitativamente significativo

de determinados elementos o del propio

sistema informático globalmente

contemplado. Una vez estudiado el

sistema informático a auditar, el

auditor deberá establecer los requisitos

mínimos, aconsejables y óptimos para

su adecuación a la finalidad para la que

ha sido diseñado. El auditor deberá

lógicamente abstenerse de recomendar

actuaciones innecesariamente onerosas,

dañinas o que generen riesgos

injustificados para el auditado. Una de

las cuestiones más controvertidas,

respecto de la aplicación de este

principio, es la referente a facilitar el

derecho de las organizaciones auditadas

a la libre elección del auditor. Si el

auditado decidiera encomendar

posteriores auditorías a otros

profesionales, éstos deberías poder tener

acceso a los informes de los trabajos

profesionales, éstos deberían poder

tener acceso a los informes de los

trabajos anteriormente realizados sobre

el sistema del auditado.

del grado de cobertura que dan las

aplicaciones a las necesidades

estratégicas y operativas de

información de la empresa.

UNIDAD II Planeación de la auditoria Informática.

2.1 Fases de la auditoria.

Fase I: Conocimientos del Sistema

Fase II: Análisis de transacciones y recursos

Fase III: Análisis de riesgos y amenazas

Fase IV: Análisis de controles

Fase V: Evaluación de Controles

Fase VI: El Informe de auditoria

Fase VII: Seguimiento de las Recomendaciones

5

2.1.1 Planeación.

Para hacer una adecuada planeación de

la auditoría en informática, hay que

seguir una serie de pasos previos que

permitirán

Dimensionar el tamaño y

características de área dentro del

organismo a auditar, sus sistemas,

organización y equipo. En el caso de la

auditoría en informática, la planeación

es fundamental, pues habrá que hacerla

desde el punto de vista de los dos

objetivos:

• Evaluación de los sistemas y

procedimientos.

• Evaluación de los equipos de

cómputo.

2.1.2 Revisión preliminar.

En esta fase el auditor debe de armarse

de un conocimiento amplio del área que

va a auditar, los objetivos que debe

cumplir, tiempos (una empresa no pude

dejar sus equipos y personal que lo

opera sin trabajar porque esto le genera

pérdidas sustanciosas), herramientas y

conocimientos previos, así como de

crear su equipo de auditores expertos en

la materia con el fin de evitar tiempos

muertos a la hora de iniciar la

auditoria.

Es de tomarse en cuenta que el

propietario de dicha empresa, ordena

una auditoria cuando siente que un área

tiene una falla o simplemente no

trabaja productivamente como se

sugiere, por esta razón habrá puntos

claves que se nos instruya sean

revisados, hay que recordar que las

auditorias parten desde un ámbito

administrativo y no solo desde la parte

tecnológica, porque al fin de cuentas

hablamos de tiempo y costo de

producción, ejercicio de ventas, etc. Es

decir, todo aquello que representa un

gasto para la empresa.

2.1.3 Revisión detallada.

Los objetos de la fase detallada son los

de obtener la información necesaria

para que el auditor tenga un profundo

entendimiento de los controles usados

dentro del área de informática.

El auditor debe de decidir se debe

continuar elaborando pruebas de

consentimiento, con la esperanza de

obtener mayor confianza por medio del

sistema de control interno, o proceder

directamente a revisión con los usuarios

(pruebas compensatorias) o a las

pruebas sustantivas.

2.1.4 Examen y evaluación de la

información.

Periodo en el que se desarrollan las

pruebas y su extensión

Los auditores independientes podrán

realizar las pruebas de cumplimiento

durante el periodo preliminar.

Cuando éste sea el caso, la aplicación de

tales pruebas a todo el periodo restante

puede no ser necesaria, dependiendo

fundamentalmente del resultado de

estas pruebas en el periodo preliminar

así como de la evidencia del

cumplimiento, dentro del periodo

restante, que puede obtenerse de las

pruebas sustantivas realizadas por el

auditor independiente.

La determinación de la extensión de las

pruebas de cumplimento se realizará

sobre bases estadísticas o sobre bases

subjetivas. El muestreo estadístico es,

en principio, el medio idóneo para

expresar en términos cuantitativos el

juicio del auditor respecto a la

razonabilidad, determinando la

extensión de las pruebas y evaluando su

resultado.

Cuando se utilicen bases subjetivas se

deberá dejar constancia en los papeles

de trabajo de las razones que han

conducido a tal elección, justificando

los criterios y bases de selección.

Evaluación del control interno

Realizados los cuestionarios y

representado gráficamente el sistema de

acuerdo con los procedimientos vistos,

hemos de conjugar ambos a fin de

realizar un análisis e identificar los

puntos fuertes y débiles del sistema.

En esa labor de identificación, influye

primordialmente la habilidad para

entender el sistema y comprender los

puntos fuertes y débiles de su control

interno.

6

La conjugación de ambas nos dará el

nivel de confianza de los controles que

operan en la empresa, y será preciso

determinar si los errores tienen una

repercusión directa en los estados

financieros, o si los puntos fuertes del

control eliminarían el error.

2.1.5 Pruebas de controles de

usuario.

En una auditoria existen los siguientes

módulos para ayudarle a planificar y

ejecutar pruebas:

Aéreas de Auditoria

Registro de Riesgos y Controles

Plan de Pruebas

Realizar pruebas

Permite especificar la estructura bajo la

cual se agruparan las pruebas.

Permite planificar y ejecutar pruebas

relacionadas con los riesgos y controles

definidos para esta auditoría.

Permite agregar, editar y borrar

pruebas con independencia del Registro

de Riesgos y Controles.

Permite registrar el resultado y el

status de cada prueba (completadas,

revisadas o aprobadas).

Una Librería de Áreas y una Librería

de Pruebas pueden también ser

mantenida para proveer Áreas y

Pruebas Standard para su selección en

cada auditoria.

Las Áreas de Auditoria estructuran sus

pruebas en programas de trabajo

lógicos y pueden usarse para capturar

información relacionada con los

objetivos de cada programa de trabajo.

2.1.6 Pruebas sustantivas.

El objetivo de las pruebas sustantivas

es obtener evidencia suficiente que

permita al auditor emitir su juicio en

las conclusiones acerca de cuándo

pueden ocurrir pérdidas materiales

durante el proceso de la información.

Se pueden identificar 8 diferentes

pruebas sustantivas:

1 pruebas para identificar errores en el

procesamiento o de falta de seguridad o

confidencialidad.

2 prueba para asegurar la calidad de los

datos.

3 pruebas para identificar la

inconsistencia de datos.

4 prueba para comparar con los datos o

contadores físicos.

5 confirmaciones de datos con fuentes

externas

6 pruebas para confirmar la adecuada

comunicación.

7 prueba para determinar falta de

seguridad.

8 pruebas para determinar problemas

de legalidad.

2.2 Evaluación de los sistemas de

acuerdo al riesgo.

Riesgo

Proximidad o posibilidad de un daño,

peligro, etc.

Cada uno de los imprevistos, hechos

desafortunados, etc., que puede cubrir

un seguro.

Sinónimos: amenaza, contingencia,

emergencia, urgencia, apuro.

Seguridad

Cualidad o estado de seguro

Garantía o conjunto de garantías que se

da a alguien sobre el cumplimiento de

algo.

Ejemplo: Seguridad Social Conjunto de

organismos, medios, medidas, etc., de la

administración estatal para prevenir o

remediar los posibles riesgos, problemas

y necesidades de los trabajadores, como

enfermedad, accidentes laborales,

incapacidad, maternidad o jubilación;

se financia con aportaciones del Estado

, trabajadores y empresarios.

Se dice también de todos aquellos

objetos, dispositivos, medidas, etc., que

contribuyen a hacer más seguro el

funcionamiento o el uso de una cosa:

cierre de seguridad, cinturón de

seguridad.

2.4 Personal participante.

Una de las partes más importantes en la

planeación de la auditoría en

informática es el personal que deberá

7

participar, ya que se debe contar con un

equipo seleccionado y con ciertas

características que puedan ayudar a

llevar la auditoria de manera correcta y

en el tiempo estimado.

Aquí no se verá el número de persona

que deberán participar, ya que esto

depende de las dimensiones de la

organización, de los sistemas y de los

equipos, lo que se deberá considerar son

exactamente las características que

debe cumplir cada uno del personal que

habrá de participar en la auditoria.

Uno de los esquemas generalmente

aceptados para tener un adecuado

control es que el personal que

intervenga esté debidamente

capacitado, que tenga un alto sentido

de moralidad, al cual se le exija la

optimización de recursos (eficiencia) y

se le retribuya o compense justamente

por su trabajo.

Con estas bases debemos considerar los

conocimientos, la práctica profesional y

la capacitación que debe tener el

personal que intervendrá en la

auditoria.

También se deben contar con personas

asignadas por los usuarios para que en

el momento que se solicite información,

o bien se efectúe alguna entrevista de

comprobación de hipótesis, nos

proporcionen aquello que se está

solicitando, y complementen el grupo 8

UNIDAD III Auditoria de la función informática.

3.1 Recopilación de la información organizacional.

Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo

que sucede en la organización bajo análisis, esta obtención de la información debe ser planeada en forma estructurada para

garantizar una generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se planea la recolección

de datos, se analiza, se retroalimentan y se da un seguimiento.

La recolección de datos puede darse de varias maneras:

• Cuestionarios

• Entrevistas

• Observación

• Información documental (archivo)

Toda la información tiene un valor en sí misma, el método de obtención de información está directamente ligado a la

disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad

dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior

análisis.

3.2 Evaluación de los recursos

humanos

La auditoría de recursos humanos

puede definirse como el análisis de las

políticas y prácticas de personal de una

empresa y la evaluación de su

funcionamiento actual, seguida de

sugerencias para mejorar. El propósito

principal de la auditoria de recursos

humanos es mostrar cómo está

funcionado el programa, localizando

prácticas y condiciones que son

perjudiciales para la empresa o que no

están justificando su costo, o prácticas

y condiciones que deben incrementarse.

La auditoría es un sistema de revisión y

control para informar a la

administración sobre la eficiencia y la

eficacia del programa que lleva a cabo.

8

El sistema de administración de

recursos humanos necesita patrones

capaces de permitir una continua

evaluación y control sistemático de su

funcionamiento.

Patrón en in criterio o un modelo que se

establece previamente para permitir la

comparación con los resultados o con

los objetivos alcanzados. Por medio de

la comparación con el patrón pueden

evaluarse los resultados obtenidos y

verificar que ajustes y correcciones

deben realizarse en el sistema, con el fin

de que funcione mejor.

3.3 Entrevistas con el personal de

informática.

La entrevista es uno de los eslabones

finales para conseguir la posición

deseada. Desde el otro lado del

mostrador y habiendo entrevistado a

5.000 profesionales en sistemas entre

nuestro equipo de selectores, te dejamos

valiosos consejos en esta nota.

Es un diálogo directo entre el

entrevistador y entrevistado. El

entrevistador dirige la conversación e

intenta obtener la máxima información

posible del candidato.

Te preguntará por tu currículum,

experiencias, habilidades, aficiones e

intentará ponerte en situaciones reales

para estudiar tus reacciones. En

ocasiones puede haber más de un

entrevistador, con el fin de tener más de

un punto de vista a la hora de elegir el

candidato final.

Modalidades de la Entrevista Personal

Estructurada (dirigida)

El entrevistador dirige la conversación

y hace las preguntas al candidato

siguiendo un cuestionario o guión. El

entrevistador formulará las mismas

preguntas a todos los candidatos.

Se recomienda contestar a las preguntas

aportando aquella información que se

pide, con claridad y brevedad.

No estructurada (libre)

El entrevistador te dará la iniciativa a

ti, y deberás desenvolverte por tu

cuenta. El entrevistador podría

empezar con la pregunta: “Háblame de

ti”, y luego seguir con preguntas

generales, que surgen en función del

desarrollo de la conversación.

Lo más aconsejable es empezar

siguiendo el guión de tu historial

profesional. También puedes preguntar

si está interesado en conocer algo en

particular. Aprovecha para llevar la

conversación a los puntos fuertes que

deseas destacar en relación con el

puesto ofertado.

Semi-estructurada (mixta)

Es una combinación de las dos

anteriores. El entrevistador utilizará

preguntas directas para conseguir

informaciones precisas sobre ti, y

preguntas indirectas para sondearte

respecto a tus motivaciones. Intenta

seguir un orden discursivo, sé conciso e

intenta relacionar tus respuestas y

comentarios con las exigencias del

puesto al que optas.

3.4 Situación presupuestal y

financiera

.

El estudio y evaluación del control

interno deberá efectuarse conforme a lo

dispuesto en el boletín 3050 “Estudio y

Evaluación del Control Interno”,

emitido por la Comisión de Normas y

Procedimientos de Auditoría del

Instituto Mexicano de Contadores

Públicos, A.C., éste servirá de base para

determinar el grado de confianza que se

depositará en él y le permita determinar

la naturaleza, alcance y oportunidad,

que va a dar a los procedimientos de

auditoría, por lo que el auditor para el

cumplimiento de los objetivos deberá

considerar lo siguiente:

- Existencia de factores que aseguren

un ambiente de control

- Existencia de riesgo en la información

financiera

9

Existencia de un sistema presupuestal

que permita identificar, reunir,

analizar, clasificar, registrar y producir

información cuantitativa de las

operaciones basadas en flujos de

efectivo y partidas devengadas

- Existencia de procedimientos relativos

a autorización, procesamiento y

clasificación de transacciones,

salvaguarda física de documentación

soporte y de verificación y evaluación,

incluyendo los aplicables a la

actualización de cifras y a los controles

relativos al procesamiento electrónico

de datos. - Vigilancia sobre el

establecimiento y mantenimiento de

controles internos con

objeto de identificar si están operando

efectivamente y si deben ser

modificados cuando existan cambios

importantes.

Para efectos de estudio y evaluación del

control interno en una revisión en una

revisión de estados presupuestarios, el

auditor deberá considerar los siguientes

aspectos:

a. Existencia de un presupuesto anual

autorizado

b. Existencia e políticas, bases y

lineamientos presupuestarios

c. Existencia de un sistema de registro

presupuestario

d. Existencia de un procedimiento de

autorizaciones

e. Procedimientos de registro, control y

reporte presupuestario

Obtener el estado analítico de recursos

presupuestarios y el ejercicio

presupuestario del gasto, tal como lo

establecen los Términos de Referencia

para auditorías a Órganos

Desconcentrados y Entidades

Paraestatales de la SFP, así como el

flujo de efectivo que detalle el origen y

el destino de los egresos (Art.103 de la

Ley Federal de Presupuesto y

Responsabilidad Hacendaria)

UNIDAD IV Evaluación de la seguridad.

Generalidades de la seguridad del área física.

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos,

Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema

Informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la

empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica

a la misma.

Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y

contramedidas ante amenazas a los recursos e información confidencial” (1). Se refiere a los controles y mecanismos de seguridad

10

dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para

proteger el hardware y medios de almacenamiento de datos.

4.2 Seguridad lógica y confidencial.

La seguridad lógica se encarga de los

controles de acceso que están diseñados

para salvaguardar la integridad de la

información almacenada de una

computadora, así como de controlar el

mal uso de la información.

La seguridad lógica se encarga de

controlar y salvaguardar la información

generada por los sistemas, por el

software de desarrollo y por los

programas en aplicación.

Identifica individualmente a cada

usuario y sus actividades en el sistema,

y restringe el acceso a datos, a los

programas de uso general, de uso

específico, de las redes y terminales.

La falta de seguridad lógica o su

violación puede traer las siguientes

consecuencias a la organización:

Cambio de los datos antes o cuando se

le da entrada a la computadora.

Copias de programas y /o información.

Código oculto en un programa

Entrada de virus

Un método eficaz para proteger

sistemas de computación es el software

de control de acceso. Los paquetes de

control de acceso protegen contra el

acceso no autorizado, pues piden al

usuario una contraseña antes de

permitirle el acceso a información

confidencial. Sin embargo, los paquetes

de control de acceso basados en

componentes pueden ser eludidos por

delincuentes sofisticados en

computación, por lo que no es

conveniente depender de esos paquetes

por si solos para tener una seguridad

adecuada.

4.3 Seguridad personal.

A finales del siglo XX, los Sistemas

Informáticos se han constituido en las

herramientas más poderosas para

materializar uno de los conceptos más

vitales y necesarios para cualquier

organización empresarial, los Sistemas

de Información de la empresa.

La Informática hoy, está subsumida en

la gestión integral de la empresa, y por

eso las normas y estándares

propiamente informáticos deben estar,

por lo tanto, sometidos a los generales

de la misma. En consecuencia, las

organizaciones informáticas forman

parte de lo que se ha denominado el

"management" o gestión de la empresa.

Cabe aclarar que la Informática no

gestiona propiamente la empresa,

ayuda a la toma de decisiones, pero no

decide por sí misma. Por ende, debido a

su importancia en el funcionamiento de

una empresa, existe la Auditoría

Informática.

El término de Auditoría se ha empleado

incorrectamente con frecuencia ya que

se ha considerado como una evaluación

cuyo único fin es detectar errores y

señalar fallas. A causa de esto, se ha

tomado la frase "Tiene Auditoría" como

sinónimo de que, en dicha entidad,

antes de realizarse la auditoría, ya se

habían detectado fallas.

El concepto de auditoría es mucho más

que esto. Es un examen crítico que se

realiza con el fin de evaluar la eficacia y

eficiencia de una sección, un organismo,

una entidad, etc.

4.4 Clasificación de los controles de

seguridad.

Clasificación general de los controles

Controles Preventivos

Son aquellos que reducen la frecuencia

con que ocurren las causas del riesgo,

permitiendo cierto margen de

violaciones.

Ejemplos: Letrero "No fumar" para

salvaguardar las instalaciones

Sistemas de claves de acceso

Controles detectives

Son aquellos que no evitan que ocurran

las causas del riesgo sino que los detecta

luego de ocurridos. Son los más

importantes para el auditor. En cierta

forma sirven para evaluar la eficiencia

de los controles preventivos.

11

Ejemplo: Archivos y procesos que

sirvan como pistas de auditoría

Procedimientos de validación

Controles Correctivos

Ayudan a la investigación y corrección

de las causas del riesgo. La corrección

adecuada puede resultar difícil e

ineficiente, siendo necesaria la

implantación de controles defectivos

sobre los controles correctivos, debido a

que la corrección de errores es en sí una

actividad altamente propensa a errores.

4.5 Seguridad en los datos y

software de aplicación.

Este apartado aborda los aspectos

asociados al componente lógico del

sistema: programas y datos. Para ello,

se distingue entre las medidas para

restringir y controlar el acceso a dichos

recursos, los procedimientos para

asegurar la fiabilidad del software

(tanto operativo como de gestión) y los

criterios a considerar para garantizar la

integridad de la información.

Control de acceso.

Sistemas de identificación, asignación y

cambio de derechos de acceso, control

de accesos, restricción de terminales,

desconexión de la sesión, limitación de

reintento.

Software de base.

Control de cambios y versiones, control

de uso de programas de utilidad,

control de uso de recursos y medición de

'performance'.

Software de aplicación.

En este apartado se trata todo lo

concerniente al software de aplicación,

es decir, todo lo relativo a las

aplicaciones de gestión, sean producto

de desarrollo interno de la empresa o

bien sean paquetes estándar adquiridos

en el mercado.

Desarrollo de software.

. Metodología: existe, se aplica, es

satisfactoria. Documentación: existe,

esta actualizada, es accesible.

. Estándares: se aplican, como y quien

lo controla. Involucración del usuario.

. Participación de personal externo.

. Control de calidad.

. Entornos real y de prueba.

. Control de cambios.

Adquisición de software estándar.

Metodología, pruebas,

condiciones, garantías, contratos,

capacitación, licencias, derechos,

soporte técnico.

Datos.

Los datos es decir, la información que se

procesa y se obtiene son la parte más

importante de todo el sistema

informático y su razón de ser. Un

sistema informático existe como tal

desde el momento en que es capaz de

tratar y suministrar información. Sin

ésta, se reduciría a un conjunto de

elementos lógicos sin ninguna utilidad.

En la actualidad la inmensa mayoría de

sistemas tienen la información

organizada en sendas Bases de Datos.

Los criterios que se citan a continuación

hacen referencia a la seguridad de los

Sistemas de Gestión de Bases de Datos

(SGBD) que cumplan normas ANSI, si

bien muchos de ellos pueden ser

aplicables a los archivos de datos

convencionales.

Diseño de bases de datos.

Es importante la utilización de

metodologías de diseño de datos. El

equipo de analistas y diseñadores deben

hacer uso de una misma metodología de

diseño, la cual debe estar en

concordancia con la arquitectura de la

Base de Datos elegida jerárquica,

relacional, red, o bien orientada a

objetos.

Debe realizarse una estimación previa

del volumen necesario para el

almacenamiento de datos basada en

distintos aspectos tales como el número

mínimo y máximo de registros de cada

entidad del modelo de datos y las

predicciones de crecimiento.

A partir de distintos factores como el

número de usuarios que accederá a la

información, la necesidad de compartir

información y las estimaciones de

12

volumen se deberá elegir el SGBD más

adecuado a las necesidades de la

empresa o proyecto en cuestión.

En la fase de diseño de datos, deben

definirse los procedimientos de

seguridad, confidencialidad e integridad

que se aplicarán a los datos:

Procedimientos para recuperar los

datos en casos de caída del sistema o de

corrupción de los archivos.

Procedimientos para prohibir el acceso

no autorizado a los datos. Para ello

deberán identificarlos.

Procedimientos para restringir el acceso

no autorizado a los datos. Debiendo

identificar los distintos perfiles de

usuario que accederán a los archivos de

la aplicación y los subconjuntos de

información que podrán modificar o

consultar.

Procedimientos para mantener la

consistencia y corrección de la

información en todo momento.

Básicamente existen dos niveles de

integridad: la de datos, que se refiere al

tipo, longitud y rango aceptable en

cada caso, y la lógica, que hace

referencia a las relaciones que deben

existir entre las tablas y reglas del

negocio.

Debe designarse un Administrador de

Datos, ya que es importante centralizar

en personas especializadas en el tema

las tareas de redacción de normas

referentes al gestor de datos utilizado,

definición de estándares y

nomenclatura, diseño de

procedimientos de arranque,

recuperación de datos, asesoramiento al

personal de desarrollo entre algunos

otros aspectos.

Creación de bases de datos.

Debe crearse un entorno de desarrollo

con datos de prueba, de modo que las

actividades del desarrollo no interfieran

el entorno de explotación. Los datos de

prueba deben estar dimensionados de

manera que permitan la realización de

pruebas de integración con otras

aplicaciones, de rendimiento con

volúmenes altos.

En la fase de creación, deben

desarrollarse los procedimientos de

seguridad, confidencialidad e integridad

definidos en la etapa de diseño:

. Construcción de los procedimientos de

copia y restauración de datos.

. Construcción de los procedimientos de

restricción y control de acceso. Existen

dos enfoques para este tipo de

procedimientos:

Confidencialidad basada en roles, que

consiste en la definición de los perfiles

de usuario y las acciones que les son

permitidas (lectura, actualización, alta,

borrado, creación/eliminación de tablas,

modificación de la estructura de las

tablas).

4.6 Controles para evaluar software

de aplicación.

Una vez conseguida la Operatividad de

los Sistemas, el segundo objetivo de la

auditoría es la verificación de la

observancia de las normas teóricamente

existentes en el departamento de

Informática y su coherencia con las del

resto de la empresa. Para ello, habrán

de revisarse sucesivamente y en este

orden:

1. Las Normas Generales de la

Instalación Informática. Se realizará

una revisión inicial sin estudiar a fondo

las contradicciones que pudieran

existir, pero registrando las áreas que

carezcan de normativa, y sobre todo

verificando que esta Normativa General

.

Informática no está en contradicción

con alguna Norma General no

informática de la empresa.

2. Los Procedimientos Generales

Informáticos. Se verificará su

existencia, al menos en los sectores más

importantes. Por ejemplo, la recepción

definitiva de las máquinas debería estar

firmada por los responsables de

Explotación. Tampoco el alta de una

nueva Aplicación podría producirse si

no existieran los Procedimientos de

Backup y Recuperación

correspondientes.

3. Los Procedimientos Específicos

Informáticos. Igualmente, se revisara

13

su existencia en las áreas

fundamentales. Así, Explotación no

debería explotar una Aplicación sin

haber exigido a Desarrollo la pertinente

documentación. Del mismo modo,

deberá comprobarse que los

Procedimientos Específicos no se

opongan a los Procedimientos

Generales. En todos los casos

anteriores, a su vez, deberá verificarse

que no existe contradicción alguna con

la Normativa y los Procedimientos

Generales de la propia empresa, a los

que la Informática debe estar sometida.

4.7 Controles para prevenir

crímenes y fraudes informáticos.

En los años recientes las redes de

computadoras han crecido de manera

asombrosa. Hoy en día, el número de

usuarios que se comunican, hacen sus

compras, pagan sus cuentas, realizan

negocios y hasta consultan con sus

médicos online supera los 200 millones,

comparado con 26 millones en 1995.

A medida que se va ampliando la

Internet, asimismo va aumentando el

uso indebido de la misma. Los

denominados delincuentes cibernéticos

se pasean a su aire por el mundo

virtual, incurriendo en delitos tales

como el acceso sin autorización o

"piratería informática", el fraude, el

sabotaje informático, la trata de niños

con fines pornográficos y el acecho.

Los delincuentes de la informática son

tan diversos como sus delitos; puede

tratarse de estudiantes, terroristas o

figuras del crimen organizado. Estos

delincuentes pueden pasar

desapercibidos a través de las fronteras,

ocultarse tras incontables "enlaces" o

simplemente desvanecerse sin dejar

ningún documento de rastro. Pueden

despachar directamente las

comunicaciones o esconder pruebas

delictivas en "paraísos informáticos" - o

sea, en países que carecen de leyes o

experiencia para seguirles la pista -.

Según datos recientes del Servicio

Secreto de los Estados Unidos, se

calcula que los consumidores pierden

unos 500 millones de dólares al año

debido a los piratas que les roban de las

cuentas online sus números de tarjeta

de crédito y de llamadas. Dichos

números se pueden vender por jugosas

sumas de dinero a falsificadores que

utilizan programas especiales para

codificarlos en bandas magnéticas de

tarjetas bancarias y de crédito, señala el

Manual de la ONU.

Otros delincuentes de la informática

pueden sabotear las computadoras para

ganarle ventaja económica a sus

competidores o amenazar con daños a

los sistemas con el fin de cometer

extorsión. Los malhechores manipulan

los datos o las operaciones, ya sea

directamente o mediante los llamados

"gusanos" o "virus", que pueden

paralizar completamente los sistemas o

borrar todos los datos del disco duro.

Algunos virus dirigidos contra

computadoras elegidas al azar; que

originalmente pasaron de una

computadora a otra por medio de

disquetes "infectados"; también se están

propagando últimamente por las redes,

con frecuencia camuflados en mensajes

electrónicos o en programas

"descargados" de la red.

4.8 Plan de contingencia, seguros,

procedimientos de recuperación de

desastres.

Medida que las empresas se han vuelto

cada vez más dependientes de las

computadoras y las redes para manejar

sus actividades, la disponibilidad de los

sistemas informáticos se ha vuelto

crucial. Actualmente, la mayoría de las

empresas necesitan un nivel alto de

disponibilidad y algunas requieren

incluso un nivel continuo de

disponibilidad, ya que les resultaría

extremadamente difícil funcionar sin

los recursos informáticos.

Los procedimientos manuales, si es que

existen, sólo serían prácticos por un

corto periodo. En caso de un desastre,

la interrupción prolongada de los

servicios de computación puede llevar a

pérdidas financieras significativas,

sobre todo si está implicada la

responsabilidad de la gerencia de

informática. Lo más grave es que se

puede perder la credibilidad del público

o los clientes y, como consecuencia, la

empresa puede terminar en un fracaso

total.

En un estudio realizado por la

Universidad de Minnesota, se ha

demostrado que más del 60% de las

empresas que sufren un desastre y que

14

no tienen un plan de recuperación ya en

funcionamiento, saldrán del negocio en

dos o tres años. Mientras vaya en

aumento la dependencia de la

disponibilidad de los recursos

informáticos, este porcentaje

seguramente crecerá.

Por lo tanto, la capacidad para

recuperarse exitosamente de los efectos

de un desastre dentro de un periodo

predeterminado debe ser un elemento

crucial en un plan estratégico de

seguridad para una organización.

4.9 Técnicas y herramientas

relacionadas con la seguridad física

y del personal.

SEGURIDAD FISICA

Es todo lo relacionado con la seguridad

y salvaguarda de los bienes tangibles de

los sistemas computacionales de la

empresa, tales como el hardware,

periféricos, y equipos asociados, las

instalaciones eléctricas, las instalaciones

de comunicación y de datos.

Igualmente todo lo relacionado con la

seguridad y salvaguarda de las

construcciones, el mobiliario y equipo

de oficina, así como la protección a los

accesos al centro de sistematización.

En sí, es todo lo relacionado con la

seguridad, la prevención de riesgos y

protección de los recursos físicos

informáticos de la empresa.

UNIDAD V Auditoria de la seguridad en la teleinformática.

5.1 Generalidades de la seguridad en el área de la teleinformática.

En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se denomina teleinformática: la unión de la

informática y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de

expresiones y conceptos relacionados con la teleinformática.

Este trabajo se basa en conceptos fundamentales expresados de la manera más simple posible, pero a su vez siendo precisos.

Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose, y a su vez,

proporcionando un panorama general del tema. Luego mencionamos de forma genérica los elementos que integran un sistema

teleinformática, desde un simple terminal hasta una red.

Continuamos explicando las técnicas fundamentales de transmisión de datos, para comprender cómo viaja la información de un

sistema a otro a través de los circuitos de telecomunicación.

Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red, transporte, sesión, presentación y aplicación.

También, mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta.

Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en los conceptos básicos sobre

Programas de Comunicación y Gestión de Red.

Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía Móvil.

15

Además, establecimos los últimos desarrollos y las tendencias de la teleinformática, desde las redes digitales hasta el proceso

distribuido.

Por último, manifestamos la importancia de la relación que existe entre la teleinformática y la sociedad, en lo que respecta a la

educación, la sanidad y la empresa.

Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es

uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación.

En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la

información, el medio, que permite la transmisión, y el receptor, que recibe la información.

La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas

manifestaciones con sentido propio. Estos gestos iban acompañados de sonidos.

Posteriormente, comenzó la comunicación hablada a través de un determinado lenguaje, en el cuál cada palabra significaba algo y

cada frase tenía un contenido informativo.

Más tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas

situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de

humo, destellos con espejos entre innumerables métodos de comunicación.

Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada vez más importante.

La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de

cables a unas distancias considerables.

Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más

tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego

fueron muy importantes a lo que respecta a la comunicación.

5.2 Objetivos y criterios de la

auditoria en el área de la

teleinformática.

Así ante la continua aparición de

nuevas herramientas de gestión, la

auditoría interna se ve compelida a

velar entre otras cosas por la aplicación

y buen uso de las mismas. Ello

ciertamente implica un muy fuerte

compromiso. Dijimos antes que la

auditoría debía velar no sólo por los

activos de la empresa sino además por

su capacidad competitiva. Cuidar de

esto último significa difundir, apoyar y

controlar las nuevas y buenas prácticas.

Así, haciendo uso del benchmarking

puede verificar y promover las mejores

prácticas para el mantenimiento de la

más alta competitividad. Ser

competitivo es continuar en la lucha

por la subsistencia o continuidad de la

empresa.

Como brillantemente lo expresa

Fernando Gaziano (Deloitte Chile), "los

auditores y los astrónomos

compartimos plenamente una idea: el

universo se expande. Así como después

del "big bang" un universo de planetas

16

y estrellas comenzó y continúa

expandiéndose, de la misma forma el

mundo del Auditor Interno es cada vez

más amplio. Como nunca,

probablemente hoy se enfrenta a uno de

los cambios más importantes en su

profesión, debiendo abordar aspectos

relacionados con el Gobierno

Corporativo y los nuevos riesgos a los

que se enfrentan las organizaciones.

5.3 Síntomas de riesgo.

La Auditoría de la Seguridad

Para muchos la seguridad sigue siendo

el área principal a auditar, hasta el

punto de que en algunas entidades se

creó inicialmente la función de

auditoría informática para revisar la

seguridad, aunque después se hayan ido

ampliando los objetivos. Cada día es

mayor la importancia de la

información, especialmente relacionada

con sistemas basados en el uso de

tecnología de información y

comunicaciones, por lo que el impacto

de las fallas, los accesos no autorizados,

la revelación de la información, entre

otros problemas, tienen un impacto

mucho mayor que hace algunos años.

En la auditoría de otras áreas pueden

también surgir revisiones solapadas con

la seguridad; así a la hora de revisar el

desarrollo se verá si se realiza en un

entorno seguro, etc.

Los controles directivos. Son los

fundamentos de la seguridad: políticas,

planes, funciones, objetivos de control,

presupuesto, así como si existen

sistemas y métodos de evaluación

periódica de riesgos.

El desarrollo de las políticas.

Procedimientos, posibles estándares,

normas y guías.

Amenazas físicas externas.

Inundaciones, incendios, explosiones,

corte de líneas o suministros,

terremotos, terrorismo, huelgas, etc., se

considera: la ubicación del centro de

procesos, de los servidores, PCs,

computadoras portátiles (incluso fuera

de las oficinas); estructura, diseño,

construcción y distribución de edificios;

amenazas de fuego, riesgos por agua,

por accidentes atmosféricos; contenido

en paquetes}, bolsos o carteras que se

introducen o salen de los edificios;

visitas, clientes, proveedores,

contratados; protección de los soportes

magnéticos en cuanto a acceso,

almacenamiento y transporte.

Control de accesos adecuado. Tanto

físicos como lógicos, que se realicen sólo

las operaciones permitidas al usuario:

lectura, variación, ejecución, borrado y

copia, y quedando las pistas necesarias

para el control y la auditoría. Uso de

contraseñas, cifrado de las mismas,

situaciones de bloqueo.

Protección de datos. Origen del dato,

proceso, salida de los datos.

Comunicaciones y redes. Topología y

tipo de comunicaciones, posible uso de

cifrado, protecciones ante virus. Tipos

de transacciones. Protección de

conversaciones de voz en caso necesario,

protección de transmisiones por fax

para contenidos clasificados. Internet e

Intranet, correo electrónico, control

sobre páginas web, así como el comercio

electrónico.

El entorno de producción.

Cumplimiento de contratos,

outsourcing.

El desarrollo de aplicaciones en un

entorno seguro, y que se incorporen

controles en los productos desarrollados

y que éstos resulten auditables. Con el

uso de licencias (de los programas

utilizados).

La continuidad de las operaciones.

Planes de contingencia o de

Continuidad.

No se trata de áreas no relacionadas,

sino que casi todas tienen puntos de

enlace comunes: comunicaciones con

control de accesos, cifrado con

comunicaciones, etc.

Evaluación de riesgos

Se trata de identificar riesgos,

cuantificar su probabilidad e impacto y

analizar medidas que los eliminen o que

disminuyan la probabilidad de que

ocurran los hechos o mitiguen el

impacto. Para evaluarlos hay que

considerar el tipo de información

almacenada, procesada y transmitida,

la criticidad de las operaciones, la

tecnología usada, el marco legal

aplicable, el sector de la entidad, la

entidad misma y el momento. Los

riesgos pueden disminuirse

(generalmente no pueden eliminarse),

transferirse o asumirse.

5.4 Técnicas y herramientas de

auditoría relacionadas con la seguridad

en la teleinformática.

17

Introducir al estudiante en los aspectos

técnicos, funcionales y organizacionales

que componen la problemática de

seguridad en las redes teleinformáticas,

ilustrando las operaciones, técnicas y

herramientas más usuales para

garantizar privacidad, autenticación y

seguridad.

Introducción General a la Seguridad en

Redes

. Definiciones

. Generalidades

. Intrusos

.

Amenazas

. Ataques

Planeación de la Seguridad

. Análisis del sistema actual

. Análisis de riesgos

. Definición de políticas de seguridad

. Implantación de la seguridad

Servicios de Seguridad

. Modelo OSI para arquitecturas de

Seguridad

. Modelo TCP/IP

UNIDAD VI Informe de la auditoria informática.

6.1 Generalidades de la seguridad del área física.

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos,

Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los

aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder

físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica

a la misma.

Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y

contramedidas ante amenazas a los recursos e información confidencial”(1). Se refiere a los controles y mecanismos de seguridad

dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para

proteger el hardware y medios de almacenamiento de datos.

6.2 Características del informe.

Objetivos, características y

afirmaciones que contiene el informe de

auditoría

El informe de auditoría financiera tiene

como objetivo expresar una opinión

técnica de las cuentas anuales en los

aspectos significativos o importantes,

sobre si éstas muestran la imagen fiel

del patrimonio, de la situación

financiera y del resultado de sus

operaciones, así como de los recursos

obtenidos y aplicados durante el

ejercicio.

Características del informe de auditoría:

1. Es un documento mercantil o

público.

2. Muestra el alcance del trabajo.

3. Contiene la opinión del auditor.

4. Se realiza conforme a un marco legal.

18

Principales afirmaciones que contiene el

informe:

Indica el alcance del trabajo y si ha sido

posible llevarlo a cabo y de acuerdo con

qué normas de auditoría.

Expresa si las cuentas anuales

contienen la información necesaria y

suficiente y han sido formuladas de

acuerdo con la legislación vigente y,

también, si dichas cuentas han sido

elaboradas teniendo en cuenta el

principio contable de uniformidad.

Asimismo, expresa si las cuentas

anuales reflejan, en todos los aspectos

significativos, la imagen fiel del

patrimonio, de la situación financiera,

de los resultados y de los recursos

obtenidos y aplicados.

Se opina también sobre la concordancia

de la información contable del informe

de gestión con la contenida en las

cuentas anuales.

En su caso, explica las desviaciones que

presentan los estados financieros con

respecto a unos estándares

preestablecidos.

Podemos sintetizar que el informe es

una presentación pública, resumida y

por escrito del trabajo realizado por los

auditores y de su opinión sobre las

cuentas anuales.

6.3 Estructura del informe.

Concluido el Trabajo de Campo, el

auditor tendrá como responsabilidad la

confección del

Informe de Auditoría como un

producto final de este trabajo. El

informe contendrá el mensaje del

Auditor sobre lo que ha hecho y como

lo ha realizado, así como los resultados

obtenidos.

Concepto

Es el documento emitido por el Auditor

como resultado final de su examen y/o

evaluación, incluye información

suficiente sobre Observaciones,

Conclusiones de hechos significativos,

así como Recomendaciones

constructivos para superar las

debilidades en cuanto a políticas,

procedimientos, cumplimiento de

actividades y otras.

Importancia

El Informe de Auditoría, reviste gran

Importancia, porque suministra a la

administración de la empresa,

información sustancial sobre su proceso

administrativo, como una forma de

contribuir al cumplimiento de sus

metas y objetivos programados.

El Informe a través de sus

observaciones, conclusiones y

recomendaciones, constituye el mejor

medio para que las organizaciones

puedan apreciar la forma como están

operando. En algunas oportunidades

puede ocurrir que, debido a un descuido

en su preparación, se pierde la

oportunidad de hacer conocer a la

empresa lo que realmente desea o

necesita conocer para optimizar su

administración, a pesar de que se haya

emitido un voluminoso informe, pero

inadvertidamente puede estar falto de

sustentación y fundamento adecuado;

en consecuencia su contenido puede ser

pobre; con esto queremos hacer resaltar

el hecho de que, el Informe debe

comunicar información útil para

promover la toma de decisiones.

Lamentablemente esto no se logrará si

el informe revela pobreza de expresión

y no se aportan comentarios

constructivos.

Redacción del Informe

La Redacción se efectuará en forma

corriente a fin de que su contenido sea

comprensible al lector, evitando en lo

posible el uso de terminología muy

especializada; evitando párrafos largos

y complicados, así como expresiones

grandilocuentes y confusas.

La Redacción del Informe debe merecer

mucha atención cuidado de parte del

auditor para que tenga la acogida y

aceptación que los empresarios esperan

de él, en este sentido el

Informe debe:

. Despertar o motivar interés.

. Convencer mediante información

sencilla, veraz y objetiva.

2. Requisitos del informe

Claridad y simplicidad.

La Claridad y Simplicidad, significan

introducir sin mayor dificultad en la

mente del lector del informe, lo que el

Auditor ha escrito o pensó escribir. A

veces lo que ocasiona la deficiencia de

19

claridad y simplicidad del informe es

precisamente la falta de claridad en los

conceptos que el Auditor tiene en

mente, es decir, no hay una cabal

comprensión de lo que realmente quiere

comunicar, asimismo cuando el Informe

está falto de claridad, puede dar lugar a

una doble interpretación, ocasionando

de este modo que, se torne inútil y

pierda su utilidad. En consecuencia,

para que el informe logre su objetivo de

informar o comunicar al cliente, el

Auditor:

. Evitará el uso de un lenguaje técnico,

florido o vago.

. Evitará ser muy breve.

. Evitará incluir mucho detalle.

. Utilizará palabras simples, familiares

al lector, es decir, escribirá en el idioma

que el lector entiende.

6.4 Formato para el informe.

El formato para informes finales está

enfocado a apoyar y facilitar el proceso

de evaluación de los resultados de los

proyectos financiados por la sede

Bogotá, con respecto a los compromisos

adquiridos en el proyecto aprobado.

Además de reportar sobre el

cumplimiento de los objetivos y el

impacto logrado a partir del uso y

obtención de los resultados esperados y

de las actividades de investigación

científica.

• Los informes finales técnico y

financiero, deben ser entregados a la

Dirección de

Investigación de la sede, al finalizar el

periodo de ejecución del proyecto.

• El informe debe ser aprobado

previamente por el respectivo Consejo

Directivo de cada

Facultad, Centro o Instituto.

• El informe debe contener un índice.

Cada página del informe

debe estar numerada.

• Cada anexo debe estar numerado

haciendo referencia a lo anotado en los

cuadros de resultados.

• El informe técnico final deberá

presentarse en versión impresa y

magnética (CD o disquete).

I. CONTENIDO DEL INFORME

TÉCNICO

1. Título y código del proyecto

2. Nombre del investigador principal y

de la Facultad, Centro o Instituto al

que pertenece

3. Fecha de entrega del Informe

4. Sinopsis divulgativa: Con el

propósito de promover la divulgación

de las actividades investigativas que

adelanta la Sede Bogotá y para dar

mayor difusión a los proyectos, deben

incluir un resumen de una cuartilla que

servirá de base para la elaboración de

notas académicas dirigidas a los medios

de comunicación de la Universidad.

5. Resumen técnico de los resultados

obtenidos durante la realización del

proyecto y de las principales

conclusiones (máximo cinco páginas).

6. Cuadro de resultados obtenidos: De

acuerdo a los objetivos y resultados

esperados planteados en el proyecto

aprobado, relacione los resultados

obtenidos durante la realización del

proyecto, los cuales deben estar

soportados por sus respectivos

indicadores verificables: publicaciones,

patentes, registros, normas,

certificaciones, memorias, formación de

recurso humano, capacitación,

organización y/o participación en

eventos científicos, etc., estos deben

numerarse y adjuntarse como anexos

del informe (ver cuadro No. 1).

7. Descripción del impacto actual o

potencial de los resultados: En términos

de generación de nuevo conocimiento a

nivel mundial, de aporte para el

desarrollo del país, de contribución a la

solución de problemas específicos, de

fortalecimiento de la capacidad

científica, y de fortalecimiento de la

investigación y creación en la Sede

Bogotá (máximo dos páginas).

8. Conclusiones

.