Page 1

Axel Guevara Diaz 1째B


Contenido del Curso: Administración de la función informática

UNIDAD I INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA. Conceptos de auditoría y auditoria Informática.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los

objetivos

de

la

auditoría

La auditoría informática sirve para

combinación

mejorar ciertas características en

áreas:

la empresa como:

- Gobierno corporativo

informática

- Eficiencia

- Administración del Ciclo de vida

Informática son: *

El

control

de

la

función

- Eficacia

de los sistemas

- Rentabilidad

- Servicios de Entrega y Soporte

* La verificación del cumplimiento

- Seguridad

- Protección y Seguridad -

continuidad

de los recursos informáticos.

desarrollar

1.2 Tipos de auditoría.

sean imparciales como pueden ser

empleo que dé a sus recursos

las firmas de contadores o

humanos y materiales.

Auditoría interna. La lleva a cabo un departamento dentro de la organización y existe una relación laboral. Auditoría externa. No existe relación laboral y la hacen personas externas al negocio para que los resultados que nos arroje

1

en

puede

de

Generalmente

Auditoría contable (de estados

se

Planes

* La revisión de la eficaz gestión

curso.

siguientes

* El análisis de la eficiencia de los

financieros) – no es interés del 

las

Sistemas Informáticos de la Normativa en este ámbito

de

alguna

Recuperación de desastres

o

administradores independientes.

Auditoria gubernamental.

Auditoria administrativa. (William. P

Auditoría Financiera: Consiste en

Leonard) es un examen completo

una revisión exploratoria y critica

y constructivo de la estructura

de los controles subyacentes y los

organizativa de la empresa,

registros de contabilidad de una

institución o departamento

empresa realizada por un

gubernamental o de cualquier otra entidad y de sus métodos de control, medios de operación y

contador público. 

Auditoria de operaciones: Se define como una técnica para evaluar sistemáticamente de una

y


función o una unidad con

el término Auditoría Externa a

importantes para la utilización de

referencia a normas de la

Auditoría de Estados

computadoras. Estas se usan para

empresa, utilizando personal no

Financieros, lo cual como se

el almacenamiento de grandes

especializado en el área de

observa no es totalmente

cantidades de datos y la

estudio.

equivalente, pues puede existir.

recuperación controlada de los

Auditoría fiscal: Consiste en

Auditoría Externa del Sistema de

verificar el correcto y oportuno

Información Tributario, Auditoría

pago de los diferentes impuestos y

Externa del Sistema de Información

obligaciones fiscales de los

Administrativo, Auditoría Externa

contribuyentes desde el punto de

del Sistema de Información

vista físico (SHCP), direcciones o

Automático etc.

mismos en bases de datos. 

las funciones de gestión típicas de una empresa. 

Inteligencia artificial: Las computadoras se programan de

tesorerías de hacienda estatales o 

Gestión administrativa: Automatiza

forma que emulen el

tesorerías municipales.

La auditoría Interna es el examen

comportamiento de la mente

Auditoria de resultados de

crítico, sistemático y detallado de

humana. Los programas

programas: Esta auditoría la

un sistema de información de una

responden como previsiblemente

eficacia y congruencia

unidad económica, realizado por

lo haría una persona inteligente.

alcanzadas en el logro de los

un profesional con vínculos

objetivos y las metas establecidas.

laborales con la misma, utilizando

Instrumentación electrónica,

Auditoria de legalidad: Este tipo

técnicas determinadas y con el

electro medicina, robots

de auditoría tiene como finalidad

objeto de emitir informes y formular

industriales, entre otros.

revisar si la dependencia o

sugerencias para el mejoramiento

entidad, en el desarrollo de sus

de la misma. Estos informes son de

actividades.

circulación interna y no tienen

Auditoría integral: Es un examen

trascendencia a los terceros pues

que proporciona una evaluación

no se producen bajo la figura de la

objetiva y constructiva acerca del

Fe Pública.

grado en que los recursos 1.3 Campo de la auditoria informática.

humanos, financieros y materiales. 1.2.1 Auditoría interna y externa.

Algunos campos de aplicación de la informática son las siguientes:

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una

humanística: Se usan la las

organización y emite una opinión

computadoras para la resolución

independiente sobre los mismos,

de cálculos matemáticos,

pero las empresas generalmente requieren de la evaluación de su sistema de información financiero

recuentos numéricos, etc. 

Aplicaciones técnicas: Usa la computadora para facilitar

en forma independiente para

diseños de ingeniería y de

otorgarle validez ante los usuarios

productos comerciales, trazado

del producto de este, por lo cual tradicionalmente se ha asociado

Investigación científica y

de planos, etc. 

Documentación e información: Es uno de los campos más

2

Instrumentación y control:

1.4 Control interno. El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un


sistema para conseguir sus

controles específicos de IT desde

El conjunto de lineamientos y

objetivos.

una perspectiva de negocios. “La

estándares internacionales

adecuada implementación de un

conocidos como COBIT, define un

modelo COBIT en una

marco de referencia que clasifica

organización, provee una

los procesos de las unidades de

herramienta automatizada, para

tecnología de información de las

evaluar de manera ágil y

organizaciones en cuatro

consistente el cumplimiento de los

“dominios” principales, a saber:

objetivos de control y controles

-Planificación y organización

detallados, que aseguran que los

-Adquisición e implantación

procesos y recursos de información

-Soporte y Servicios

y tecnología contribuyen al logro

- Monitoreo

1.5 Modelos de control utilizados en auditoria informática. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objetives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca

3

de los objetivos del negocio en un mercado cada vez más exigente,

Estos dominios agrupan objetivos

complejo y diversificado”, señaló

de control de alto nivel, que

un informe de ETEK.

cubren tanto los aspectos de información, como de la

COBIT, lanzado en 1996, es una

tecnología que la respalda. Estos

herramienta de gobierno de TI que

dominios y objetivos de control

ha cambiado la forma en que

facilitan que la generación y

trabajan los profesionales de

procesamiento de la información

tecnología. Vinculando tecnología

cumplan con las características de

informática y prácticas de control,

efectividad, eficiencia,

el modelo COBIT consolida y

confidencialidad, integridad,

armoniza estándares de fuentes

disponibilidad, cumplimiento y

globales prominentes en un

confiabilidad.

recurso crítico para la gerencia, los profesionales de control y los

Asimismo, se deben tomar en

auditores.

cuenta los recursos que proporciona la tecnología de

COBIT se aplica a los sistemas de

información, tales como: datos,

información de toda la empresa,

aplicaciones, plataformas

incluyendo los computadores

tecnológicas, instalaciones y

personales y las redes. Está basado

recurso humano.

en la filosofía de que los recursos TI necesitan ser administrados por un

“Cualquier tipo de empresa puede

conjunto de procesos

adoptar una metodología COBIT,

naturalmente agrupados para

como parte de un proceso de

proveer la información pertinente y

reingeniería en aras de reducir los

confiable que requiere una

índices de incertidumbre sobre

organización para lograr sus

vulnerabilidades y riesgos de los

objetivos.

recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio


apalancado en procesos

independencia del auditor, este

diseñado. El auditor deberá

tecnológicos”, finalizó el informe

último deberá evitar estar ligado

lógicamente abstenerse de

de ETEK.

en cualquier forma, a intereses de

recomendar actuaciones

determinadas marcas, productos o

innecesariamente onerosas,

equipos compatibles con los de su

dañinas o que generen riesgos

cliente. La adaptación del auditor

injustificados para el auditado.

al sistema del auditado debe

Una de las cuestiones más

implicar una cierta simbiosis con el

controvertidas, respecto de la

mismo, a fin de adquirir un

aplicación de este principio, es la

conocimiento pormenorizado de

referente a facilitar el derecho de

sus características intrínsecas.

las organizaciones auditadas a la

Únicamente en los casos en el que

libre elección del auditor. Si el

el auditor dedujese la

auditado decidiera encomendar

imposibilidad de que el sistema

posteriores auditorías a otros

pudiera acomodarse a las

profesionales, éstos deberías poder

exigencias propias de su

tener acceso a los informes de los

cometido, este podrá proponer un

trabajos profesionales, éstos

cambio cualitativamente

deberían poder tener acceso a los

significativo de determinados

informes de los trabajos

elementos o del propio sistema

anteriormente realizados sobre el

informático globalmente

sistema del auditado.

1.6 Principios aplicados a los auditores informáticos. El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última. En ningún caso está justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá considerarse como no ética. Para garantizar el beneficio del auditado como la necesaria

contemplado. Una vez estudiado el sistema informático a auditar, el

del grado de cobertura que dan

auditor deberá establecer los

las aplicaciones a las necesidades

requisitos mínimos, aconsejables y

estratégicas y operativas de

óptimos para su adecuación a la

información de la empresa.

finalidad para la que ha sido

UNIDAD II Planeación de la auditoria Informática.

2.1 Fases de la auditoria. Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones 2.1.1 Planeación.

4


Para hacer una adecuada

hay que recordar que las

de estas pruebas en el periodo

planeación de la auditoría en

auditorias parten desde un ámbito

preliminar así como de la

informática, hay que seguir una

administrativo y no solo desde la

evidencia del cumplimiento,

serie de pasos previos que

parte tecnológica, porque al fin

dentro del periodo restante, que

permitirán dimensionar el tamaño

de cuentas hablamos de tiempo y

puede obtenerse de las pruebas

y características de área dentro

costo de producción, ejercicio de

sustantivas realizadas por el auditor

del organismo a auditar, sus

ventas, etc. Es decir, todo aquello

independiente.

sistemas, organización y equipo. En

que representa un gasto para la

el caso de la auditoría en

empresa.

informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo. 2.1.2 Revisión preliminar.

de las pruebas de cumplimento se 2.1.3 Revisión detallada. Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. El auditor debe de decidir se debe continuar elaborando pruebas de

En esta fase el auditor debe de

consentimiento, con la esperanza

armarse de un conocimiento

de obtener mayor confianza por

amplio del área que va a auditar,

medio del sistema de control

los objetivos que debe cumplir,

interno, o proceder directamente

tiempos (una empresa no pude

a revisión con los usuarios (pruebas

dejar sus equipos y personal que lo

compensatorias) o a las pruebas

opera sin trabajar porque esto le

sustantivas.

genera pérdidas sustanciosas), herramientas y conocimientos previos, así como de crear su

2.1.4 Examen y evaluación de la información.

equipo de auditores expertos en la

Periodo en el que se desarrollan las

materia con el fin de evitar

pruebas y su extensión

tiempos muertos a la hora de iniciar la auditoria.

Los auditores independientes podrán realizar las pruebas de

Es de tomarse en cuenta que el

cumplimiento durante el periodo

propietario de dicha empresa,

preliminar.

ordena una auditoria cuando siente que un área tiene una falla

Cuando éste sea el caso, la

o simplemente no trabaja

aplicación de tales pruebas a

productivamente como se sugiere,

todo el periodo restante puede no

por esta razón habrá puntos claves

ser necesaria, dependiendo

que se nos instruya sean revisados,

fundamentalmente del resultado

5

La determinación de la extensión realizará sobre bases estadísticas o sobre bases subjetivas. El muestreo estadístico es, en principio, el medio idóneo para expresar en términos cuantitativos el juicio del auditor respecto a la razonabilidad, determinando la extensión de las pruebas y evaluando su resultado. Cuando se utilicen bases subjetivas se deberá dejar constancia en los papeles de trabajo de las razones que han conducido a tal elección, justificando los criterios y bases de selección. Evaluación del control interno Realizados los cuestionarios y representado gráficamente el sistema de acuerdo con los procedimientos vistos, hemos de conjugar ambos a fin de realizar un análisis e identificar los puntos fuertes y débiles del sistema. En esa labor de identificación, influye primordialmente la habilidad para entender el sistema y comprender los puntos fuertes y débiles de su control interno.


La conjugación de ambas nos

relacionada con los objetivos de

dará el nivel de confianza de los

cada programa de trabajo.

contingencia, emergencia,

controles que operan en la

urgencia, apuro. 2.1.6 Pruebas sustantivas.

empresa, y será preciso determinar si los errores tienen una repercusión

sustantivas es obtener evidencia

o si los puntos fuertes del control

suficiente que permita al auditor

eliminarían el error.

acerca de cuándo pueden ocurrir pérdidas materiales durante el proceso de la información.

En una auditoria existen los siguientes módulos para ayudarle

Se pueden identificar 8 diferentes pruebas sustantivas:

a planificar y ejecutar pruebas:

1 pruebas para identificar errores 

Aéreas de Auditoria

en el procesamiento o de falta de

Registro de Riesgos y Controles

seguridad o confidencialidad.

Plan de Pruebas

2 prueba para asegurar la calidad

Realizar pruebas

de los datos.

Permite especificar la estructura

3 pruebas para identificar la

bajo la cual se agruparan las

inconsistencia de datos.

pruebas.

4 prueba para comparar con los

Permite planificar y ejecutar

datos o contadores físicos.

pruebas relacionadas con los

5 confirmaciones de datos con

riesgos y controles definidos para

fuentes externas

esta auditoría.

6 pruebas para confirmar la

Permite agregar, editar y borrar

adecuada comunicación.

pruebas con independencia del

7 prueba para determinar falta de

Registro de Riesgos y Controles.

seguridad.

Permite registrar el resultado y el

8 pruebas para determinar

status de cada prueba

problemas de legalidad.

(completadas, revisadas o aprobadas).

2.2 Evaluación de los sistemas de acuerdo al riesgo.

Una Librería de Áreas y una Librería

Riesgo

de Pruebas pueden también ser mantenida para proveer Áreas y

Pruebas Standard para su

Proximidad o posibilidad de un daño, peligro, etc.

selección en cada auditoria. 

Cada uno de los imprevistos,

Las Áreas de Auditoria estructuran

hechos desafortunados, etc., que

sus pruebas en programas de

puede cubrir un seguro.

trabajo lógicos y pueden usarse para capturar información

6

Cualidad o estado de seguro

Garantía o conjunto de garantías

emitir su juicio en las conclusiones

2.1.5 Pruebas de controles de usuario.

Seguridad

El objetivo de las pruebas

directa en los estados financieros,

Sinónimos: amenaza,

que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad. 2.4 Personal participante. Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.


el personal que intervenga esté Aquí no se verá el número de

debidamente capacitado, que

También se deben contar con

persona que deberán participar,

tenga un alto sentido de

personas asignadas por los usuarios

ya que esto depende de las

moralidad, al cual se le exija la

para que en el momento que se

dimensiones de la organización,

optimización de recursos

solicite información, o bien se

de los sistemas y de los equipos, lo

(eficiencia) y se le retribuya o

efectúe alguna entrevista de

que se deberá considerar son

compense justamente por su

comprobación de hipótesis, nos

exactamente las características

trabajo.

proporcionen aquello que se está

que debe cumplir cada uno del

solicitando, y complementen el

personal que habrá de participar

Con estas bases debemos

grupo multidisciplinario, ya que

en la auditoria.

considerar los conocimientos, la

debemos analizar no sólo el punto

práctica profesional y la

de vista de la dirección de

Uno de los esquemas

capacitación que debe tener el

informática, sino también el del

generalmente aceptados para

personal que intervendrá en la

usuario del sistema.

tener un adecuado control es que

auditoria.

UNIDAD III Auditoria de la función informática.

3.1 Recopilación de la información organizacional. Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo que sucede en la organización bajo análisis, esta obtención de la información debe ser planeada en forma estructurada para garantizar una generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se planea la recolección de datos, se analiza, se retroalimentan y se da un seguimiento. La recolección de datos puede darse de varias maneras: • Cuestionarios • Entrevistas • Observación • Información documental (archivo) Toda la información tiene un valor en sí misma, el método de obtención de información está directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior análisis. 3.2 Evaluación de los recursos humanos La auditoría de recursos humanos puede definirse como el análisis de

7

las políticas y prácticas de

de la auditoria de recursos

personal de una empresa y la

humanos es mostrar cómo está

evaluación de su funcionamiento

funcionado el programa,

actual, seguida de sugerencias

localizando prácticas y

para mejorar. El propósito principal

condiciones que son perjudiciales


para la empresa o que no están

máxima información posible del

preguntar si está interesado en

justificando su costo, o prácticas y

candidato.

conocer algo en particular.

condiciones que deben incrementarse.

Aprovecha para llevar la Te preguntará por tu currículum,

conversación a los puntos fuertes

experiencias, habilidades,

que deseas destacar en relación

La auditoría es un sistema de

aficiones e intentará ponerte en

con el puesto ofertado.

revisión y control para informar a la

situaciones reales para estudiar tus

administración sobre la eficiencia y

reacciones. En ocasiones puede

la eficacia del programa que lleva

haber más de un entrevistador,

a cabo.

con el fin de tener más de un

Es una combinación de las dos

punto de vista a la hora de elegir

anteriores. El entrevistador utilizará

el candidato final.

preguntas directas para conseguir

El sistema de administración de recursos humanos necesita

Semi-estructurada (mixta)

informaciones precisas sobre ti, y

patrones capaces de permitir una

Modalidades de la Entrevista

preguntas indirectas para

continua evaluación y control

Personal

sondearte respecto a tus

sistemático de su funcionamiento.

motivaciones. Intenta seguir un Estructurada (dirigida)

Patrón en in criterio o un modelo

orden discursivo, sé conciso e intenta relacionar tus respuestas y

que se establece previamente

El entrevistador dirige la

comentarios con las exigencias del

para permitir la comparación con

conversación y hace las preguntas

puesto al que optas.

los resultados o con los objetivos

al candidato siguiendo un

alcanzados. Por medio de la

cuestionario o guión. El

comparación con el patrón

entrevistador formulará las mismas

pueden evaluarse los resultados

preguntas a todos los candidatos.

obtenidos y verificar que ajustes y correcciones deben realizarse en

Se recomienda contestar a las

el sistema, con el fin de que

preguntas aportando aquella

funcione mejor.

información que se pide, con claridad y brevedad.

3.3 Entrevistas con el personal de informática.

No estructurada (libre)

La entrevista es uno de los eslabones finales para conseguir la

El entrevistador te dará la iniciativa

posición deseada. Desde el otro

a ti, y deberás desenvolverte por

lado del mostrador y habiendo

tu cuenta. El entrevistador podría

entrevistado a 5.000 profesionales

empezar con la pregunta:

en sistemas entre nuestro equipo

“Háblame de ti”, y luego seguir

de selectores, te dejamos valiosos

con preguntas generales, que

consejos en esta nota.

surgen en función del desarrollo de la conversación.

Es un diálogo directo entre el entrevistador y entrevistado. El

Lo más aconsejable es empezar

entrevistador dirige la

siguiendo el guión de tu historial

conversación e intenta obtener la

profesional. También puedes

8

3.4 Situación presupuestal y financiera. El estudio y evaluación del control interno deberá efectuarse conforme a lo dispuesto en el boletín 3050 “Estudio y Evaluación del Control Interno”, emitido por la Comisión de Normas y Procedimientos de Auditoría del Instituto Mexicano de Contadores Públicos, A.C., éste servirá de base para determinar el grado de confianza que se depositará en él y le permita determinar la naturaleza, alcance y oportunidad, que va a dar a los procedimientos de auditoría, por lo que el auditor para el cumplimiento de los objetivos deberá considerar lo siguiente: - Existencia de factores que aseguren un ambiente de control


- Existencia de riesgo en la

datos. - Vigilancia sobre el

d. Existencia de un procedimiento

información financiera

establecimiento y mantenimiento

de autorizaciones

de controles internos con objeto

e. Procedimientos de registro,

Existencia de un sistema

de identificar si están operando

control y reporte presupuestario

presupuestal que permita

efectivamente y si deben ser

identificar, reunir, analizar,

modificados cuando existan

Obtener el estado analítico de

clasificar, registrar y producir

cambios importantes.

recursos presupuestarios y el

información cuantitativa de las

ejercicio presupuestario del gasto,

operaciones basadas en flujos de

Para efectos de estudio y

tal como lo establecen los

efectivo y partidas devengadas

evaluación del control interno en

Términos de Referencia para

una revisión en una revisión de

auditorías a Órganos

- Existencia de procedimientos

estados presupuestarios, el auditor

Desconcentrados y Entidades

relativos a autorización,

deberá considerar los siguientes

Paraestatales de la SFP, así como

procesamiento y clasificación de

aspectos:

el flujo de efectivo que detalle el

transacciones, salvaguarda física

origen y el destino de los egresos

de documentación soporte y de

a. Existencia de un presupuesto

(Art.103 de la Ley Federal de

verificación y evaluación,

anual autorizado

Presupuesto y

incluyendo los aplicables a la

b. Existencia e políticas, bases y

Responsabilidad Hacendaria)

actualización de cifras y a los

lineamientos presupuestarios

controles relativos al

c. Existencia de un sistema de

procesamiento electrónico de

registro presupuestario

UNIDAD IV Evaluación de la seguridad. Generalidades de la seguridad del área física. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema Informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial” (1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 4.2 Seguridad lógica y confidencial.

9

La seguridad lógica se encarga de

diseñados para salvaguardar la

los controles de acceso que están

integridad de la información


almacenada de una

lo que no es conveniente

sinónimo de que, en dicha

computadora, así como de

depender de esos paquetes por si

entidad, antes de realizarse la

controlar el mal uso de la

solos para tener una seguridad

auditoría, ya se habían detectado

información.

adecuada.

fallas.

La seguridad lógica se encarga de

4.3 Seguridad personal.

El concepto de auditoría es

controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso específico, de las redes y terminales. La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o información. Código oculto en un programa Entrada de virus Un método eficaz para proteger sistemas de computación es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación, por

10

mucho más que esto. Es un

A finales del siglo XX, los Sistemas

examen crítico que se realiza con

Informáticos se han constituido en

el fin de evaluar la eficacia y

las herramientas más poderosas

eficiencia de una sección, un

para materializar uno de los

organismo, una entidad, etc.

conceptos más vitales y necesarios para cualquier organización

4.4 Clasificación de los controles de seguridad.

empresarial, los Sistemas de Información de la empresa.

Clasificación general de los controles

La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y

estándares propiamente

Son aquellos que reducen la

informáticos deben estar, por lo

frecuencia con que ocurren las

tanto, sometidos a los generales

causas del riesgo, permitiendo

de la misma. En consecuencia, las

cierto margen de violaciones.

organizaciones informáticas forman parte de lo que se ha

Ejemplos: Letrero "No fumar" para

denominado el "management" o

salvaguardar las instalaciones

gestión de la empresa. Cabe aclarar que la Informática no

Sistemas de claves de acceso

gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática. El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como

Controles Preventivos

Controles detectives Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría Procedimientos de validación


Controles Correctivos

Software de aplicación.

elementos lógicos sin ninguna utilidad.

Ayudan a la investigación y

En este apartado se trata todo lo

corrección de las causas del

concerniente al software de

En la actualidad la inmensa

riesgo. La corrección adecuada

aplicación, es decir, todo lo

mayoría de sistemas tienen la

puede resultar difícil e ineficiente,

relativo a las aplicaciones de

información organizada en sendas

siendo necesaria la implantación

gestión, sean producto de

Bases de Datos. Los criterios que se

de controles defectivos sobre los

desarrollo interno de la empresa o

citan a continuación hacen

controles correctivos, debido a

bien sean paquetes estándar

referencia a la seguridad de los

que la corrección de errores es en

adquiridos en el mercado.

Sistemas de Gestión de Bases de

sí una actividad altamente propensa a errores.

Datos (SGBD) que cumplan Desarrollo de software.

normas ANSI, si bien muchos de ellos pueden ser aplicables a los

4.5 Seguridad en los datos y software de aplicación. Este apartado aborda los aspectos asociados al componente lógico del sistema: programas y datos. Para ello, se distingue entre las medidas para restringir y controlar el acceso a dichos recursos, los procedimientos para asegurar la fiabilidad del software (tanto operativo como de gestión) y los criterios a considerar para garantizar la integridad de la información. Control de acceso. Sistemas de identificación, asignación y cambio de derechos de acceso, control de accesos, restricción de terminales, desconexión de la sesión, limitación de reintento. Software de base. Control de cambios y versiones, control de uso de programas de utilidad, control de uso de recursos y medición de 'performance'.

11

. Metodología: existe, se aplica, es

archivos de datos convencionales.

satisfactoria. Documentación: existe, esta actualizada, es

Diseño de bases de datos.

accesible. . Estándares: se aplican, como y

Es importante la utilización de

quien lo controla. Involucración

metodologías de diseño de datos.

del usuario.

El equipo de analistas y

. Participación de personal

diseñadores deben hacer uso de

externo.

una misma metodología de

. Control de calidad.

diseño, la cual debe estar en

. Entornos real y de prueba.

concordancia con la arquitectura

. Control de cambios.

de la Base de Datos elegida jerárquica, relacional, red, o bien

Adquisición de software estándar. Metodología, pruebas,

orientada a objetos. Debe realizarse una estimación

condiciones, garantías, contratos,

previa del volumen necesario para

capacitación, licencias, derechos,

el almacenamiento de datos

soporte técnico.

basada en distintos aspectos tales como el número mínimo y máximo

Datos.

de registros de cada entidad del modelo de datos y las

Los datos es decir, la información

predicciones de crecimiento.

que se procesa y se obtiene son la parte más importante de todo el

A partir de distintos factores como

sistema informático y su razón de

el número de usuarios que

ser. Un sistema informático existe

accederá a la información, la

como tal desde el momento en

necesidad de compartir

que es capaz de tratar y

información y las estimaciones de

suministrar información. Sin ésta, se

volumen se deberá elegir el SGBD

reduciría a un conjunto de

más adecuado a las necesidades


de la empresa o proyecto en

utilizado, definición de estándares

cuestión.

y nomenclatura, diseño de procedimientos de arranque,

En la fase de diseño de datos,

recuperación de datos,

deben definirse los procedimientos

asesoramiento al personal de

de seguridad, confidencialidad e

desarrollo entre algunos otros

integridad que se aplicarán a los

aspectos.

datos: Creación de bases de datos. Procedimientos para recuperar los datos en casos de caída del

Debe crearse un entorno de

sistema o de corrupción de los

desarrollo con datos de prueba,

archivos.

de modo que las actividades del desarrollo no interfieran el entorno

Procedimientos para prohibir el

de explotación. Los datos de

acceso no autorizado a los datos.

prueba deben estar

Para ello deberán identificarlos.

dimensionados de manera que permitan la realización de pruebas

Procedimientos para restringir el

de integración con otras

acceso no autorizado a los datos.

aplicaciones, de rendimiento con

Debiendo identificar los distintos

volúmenes altos.

perfiles de usuario que accederán a los archivos de la aplicación y los

En la fase de creación, deben

subconjuntos de información que

desarrollarse los procedimientos de

podrán modificar o consultar.

seguridad, confidencialidad e integridad definidos en la etapa

Procedimientos para mantener la

de diseño:

consistencia y corrección de la

. Construcción de los

información en todo momento.

procedimientos de copia y restauración de datos.

Básicamente existen dos niveles de

. Construcción de los

integridad: la de datos, que se

procedimientos de restricción y

refiere al tipo, longitud y rango

control de acceso. Existen dos

aceptable en cada caso, y la

enfoques para este tipo de

lógica, que hace referencia a las

procedimientos:

relaciones que deben existir entre las tablas y reglas del negocio.

Confidencialidad basada en roles, que consiste en la definición de los

Debe designarse un Administrador

perfiles de usuario y las acciones

de Datos, ya que es importante

que les son permitidas (lectura,

centralizar en personas

actualización, alta, borrado,

especializadas en el tema las

creación/eliminación de tablas,

tareas de redacción de normas

modificación de la estructura de

referentes al gestor de datos

las tablas).

12

4.6 Controles para evaluar software de aplicación. Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoría es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empresa. Para ello, habrán de revisarse sucesivamente y en este orden: 1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General . Informática no está en contradicción con alguna Norma General no informática de la empresa. 2. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes. 3. Los Procedimientos Específicos Informáticos. Igualmente, se


revisara su existencia en las áreas

Los delincuentes de la informática

llamados "gusanos" o "virus", que

fundamentales. Así, Explotación no

son tan diversos como sus delitos;

pueden paralizar completamente

debería explotar una Aplicación

puede tratarse de estudiantes,

los sistemas o borrar todos los datos

sin haber exigido a Desarrollo la

terroristas o figuras del crimen

del disco duro. Algunos virus

pertinente documentación. Del

organizado. Estos delincuentes

dirigidos contra computadoras

mismo modo, deberá

pueden pasar desapercibidos a

elegidas al azar; que originalmente

comprobarse que los

través de las fronteras, ocultarse

pasaron de una computadora a

Procedimientos Específicos no se

tras incontables "enlaces" o

otra por medio de disquetes

opongan a los Procedimientos

simplemente desvanecerse sin

"infectados"; también se están

Generales. En todos los casos

dejar ningún documento de rastro.

propagando últimamente por las

anteriores, a su vez, deberá

Pueden despachar directamente

redes, con frecuencia camuflados

verificarse que no existe

las comunicaciones o esconder

en mensajes electrónicos o en

contradicción alguna con la

pruebas delictivas en "paraísos

programas "descargados" de la

Normativa y los Procedimientos

informáticos" - o sea, en países que

red.

Generales de la propia empresa, a

carecen de leyes o experiencia

los que la Informática debe estar

para seguirles la pista -.

sometida. Según datos recientes del Servicio 4.7 Controles para prevenir crímenes y fraudes informáticos. En los años recientes las redes de computadoras han crecido de manera asombrosa. Hoy en día, el número de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus médicos online supera los 200 millones, comparado con 26 millones en 1995. A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorización o "piratería informática", el fraude, el sabotaje informático, la trata de niños con fines pornográficos y el acecho.

13

4.8 Plan de contingencia, seguros, procedimientos de recuperación de desastres.

Secreto de los Estados Unidos, se

Medida que las empresas se han

calcula que los consumidores

vuelto cada vez más

pierden unos 500 millones de

dependientes de las

dólares al año debido a los piratas

computadoras y las redes para

que les roban de las cuentas

manejar sus actividades, la

online sus números de tarjeta de

disponibilidad de los sistemas

crédito y de llamadas. Dichos

informáticos se ha vuelto crucial.

números se pueden vender por

Actualmente, la mayoría de las

jugosas sumas de dinero a

empresas necesitan un nivel alto

falsificadores que utilizan

de disponibilidad y algunas

programas especiales para

requieren incluso un nivel continuo

codificarlos en bandas

de disponibilidad, ya que les

magnéticas de tarjetas bancarias

resultaría extremadamente difícil

y de crédito, señala el Manual de

funcionar sin los recursos

la ONU.

informáticos.

Otros delincuentes de la

Los procedimientos manuales, si es

informática pueden sabotear las

que existen, sólo serían prácticos

computadoras para ganarle

por un corto periodo. En caso de

ventaja económica a sus

un desastre, la interrupción

competidores o amenazar con

prolongada de los servicios de

daños a los sistemas con el fin de

computación puede llevar a

cometer extorsión. Los

pérdidas financieras significativas,

malhechores manipulan los datos

sobre todo si está implicada la

o las operaciones, ya sea

responsabilidad de la gerencia de

directamente o mediante los

informática. Lo más grave es que


se puede perder la credibilidad

Por lo tanto, la capacidad para

periféricos, y equipos asociados,

del público o los clientes y, como

recuperarse exitosamente de los

las instalaciones eléctricas, las

consecuencia, la empresa puede

efectos de un desastre dentro de

instalaciones de comunicación y

terminar en un fracaso total.

un periodo predeterminado debe

de datos.

ser un elemento crucial en un plan En un estudio realizado por la

estratégico de seguridad para una

Igualmente todo lo relacionado

Universidad de Minnesota, se ha

organización.

con la seguridad y salvaguarda de

demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento, saldrán del negocio en dos o tres años. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá.

las construcciones, el mobiliario y 4.9 Técnicas y herramientas relacionadas con la seguridad física y del personal. SEGURIDAD FISICA Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa,

equipo de oficina, así como la protección a los accesos al centro de sistematización. En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos físicos informáticos de la empresa.

tales como el hardware,

UNIDAD V Auditoria de la seguridad en la teleinformática.

5.1 Generalidades de la seguridad en el área de la teleinformática. En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se denomina teleinformática: la unión de la informática y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformática. Este trabajo se basa en conceptos fundamentales expresados de la manera más simple posible, pero a su vez siendo precisos. Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose, y a su vez, proporcionando un panorama general del tema. Luego mencionamos de forma genérica los elementos que integran un sistema teleinformática, desde un simple terminal hasta una red. Continuamos explicando las técnicas fundamentales de transmisión de datos, para comprender cómo viaja la información de un sistema a otro a través de los circuitos de telecomunicación. Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos, red, transporte, sesión, presentación y aplicación. También, mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta. Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en los conceptos básicos sobre

14


Programas de Comunicación y Gestión de Red. Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía Móvil. Además, establecimos los últimos desarrollos y las tendencias de la teleinformática, desde las redes digitales hasta el proceso distribuido. Por último, manifestamos la importancia de la relación que existe entre la teleinformática y la sociedad, en lo que respecta a la educación, la sanidad y la empresa. Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación. En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la información, el medio, que permite la transmisión, y el receptor, que recibe la información. La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompañados de sonidos. Posteriormente, comenzó la comunicación hablada a través de un determinado lenguaje, en el cuál cada palabra significaba algo y cada frase tenía un contenido informativo. Más tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de humo, destellos con espejos entre innumerables métodos de comunicación. Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada vez más importante. La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de cables a unas distancias considerables. Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación. 5.2 Objetivos y criterios de la auditoria en el área de la teleinformática.

un muy fuerte compromiso. Dijimos

verificar y promover las mejores

antes que la auditoría debía velar

prácticas para el mantenimiento

no sólo por los activos de la

de la más alta competitividad. Ser

Así ante la continua aparición de

empresa sino además por su

competitivo es continuar en la

nuevas herramientas de gestión, la

capacidad competitiva. Cuidar

lucha por la subsistencia o

auditoría interna se ve compelida

de esto último significa difundir,

continuidad de la empresa.

a velar entre otras cosas por la

apoyar y controlar las nuevas y

aplicación y buen uso de las

buenas prácticas. Así, haciendo

Como brillantemente lo expresa

mismas. Ello ciertamente implica

uso del benchmarking puede

Fernando Gaziano (Deloitte Chile),

15


"los auditores y los astrónomos

la hora de revisar el desarrollo se

compartimos plenamente una

verá si se realiza en un entorno

idea: el universo se expande. Así

seguro, etc.

dato, proceso, salida de los datos. 

como después del "big bang" un universo de planetas y estrellas

Protección de datos. Origen del Comunicaciones y redes. Topología y tipo de

Los controles directivos. Son los

comunicaciones, posible uso de

comenzó y continúa

fundamentos de la seguridad:

cifrado, protecciones ante virus.

expandiéndose, de la misma

políticas, planes, funciones,

Tipos de transacciones. Protección

forma el mundo del Auditor Interno

objetivos de control, presupuesto,

de conversaciones de voz en caso

es cada vez más amplio. Como

así como si existen sistemas y

necesario, protección de

nunca, probablemente hoy se

métodos de evaluación periódica

transmisiones por fax para

enfrenta a uno de los cambios más

de riesgos.

contenidos clasificados. Internet e

importantes en su profesión,

El desarrollo de las políticas.

Intranet, correo electrónico,

debiendo abordar aspectos

Procedimientos, posibles

control sobre páginas web, así

relacionados con el Gobierno

estándares, normas y guías.

como el comercio electrónico.

Corporativo y los nuevos riesgos a

Amenazas físicas externas.

El entorno de producción.

los que se enfrentan las

Inundaciones, incendios,

Cumplimiento de contratos,

organizaciones.

explosiones, corte de líneas o

outsourcing.

5.3 Síntomas de riesgo.

suministros, terremotos, terrorismo,

La Auditoría de la Seguridad Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto de que en algunas entidades se creó inicialmente la para revisar la seguridad, aunque después se hayan ido ampliando importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnología de información y comunicaciones, por lo que el no autorizados, la revelación de la información, entre otros problemas, tienen un impacto mucho mayor que hace algunos años. En la auditoría de otras áreas pueden también surgir revisiones solapadas con la seguridad; así a

16

entorno seguro, y que se

ubicación del centro de procesos,

incorporen controles en los

de los servidores, PCs,

productos desarrollados y que

computadoras portátiles (incluso

éstos resulten auditables. Con el

fuera de las oficinas); estructura,

uso de licencias (de los programas

diseño, construcción y distribución

utilizados). 

La continuidad de las

riesgos por agua, por accidentes

operaciones. Planes de

atmosféricos; contenido en

contingencia o de Continuidad.

paquetes}, bolsos o carteras que

los objetivos. Cada día es mayor la

impacto de las fallas, los accesos

El desarrollo de aplicaciones en un

huelgas, etc., se considera: la

de edificios; amenazas de fuego,

función de auditoría informática

se introducen o salen de los

No se trata de áreas no

edificios; visitas, clientes,

relacionadas, sino que casi todas

proveedores, contratados;

tienen puntos de enlace comunes:

protección de los soportes

comunicaciones con control de

magnéticos en cuanto a acceso,

accesos, cifrado con

almacenamiento y transporte.

comunicaciones, etc.

Control de accesos adecuado. Tanto físicos como lógicos, que se

Evaluación de riesgos

realicen sólo las operaciones permitidas al usuario: lectura,

Se trata de identificar riesgos,

variación, ejecución, borrado y

cuantificar su probabilidad e

copia, y quedando las pistas

impacto y analizar medidas que

necesarias para el control y la

los eliminen o que disminuyan la

auditoría. Uso de contraseñas,

probabilidad de que ocurran los

cifrado de las mismas, situaciones

hechos o mitiguen el impacto.

de bloqueo.

Para evaluarlos hay que considerar


el tipo de información

organizacionales que componen

almacenada, procesada y

la problemática de seguridad en

transmitida, la criticidad de las

las redes teleinformáticas,

operaciones, la tecnología usada,

ilustrando las operaciones,

. Análisis del sistema actual

el marco legal aplicable, el sector

técnicas y herramientas más

. Análisis de riesgos

de la entidad, la entidad misma y

usuales para garantizar

. Definición de políticas de

el momento. Los riesgos pueden

privacidad, autenticación y

seguridad

disminuirse (generalmente no

seguridad.

. Implantación de la seguridad

Introducción General a la

Servicios de Seguridad

Planeación de la Seguridad

pueden eliminarse), transferirse o asumirse.

Seguridad en Redes 5.4 Técnicas y herramientas de

. Modelo OSI para arquitecturas de

auditoría relacionadas con la

. Definiciones

Seguridad

seguridad en la teleinformática.

. Generalidades

. Modelo TCP/IP

. Intrusos Introducir al estudiante en los

. Amenazas

aspectos técnicos, funcionales y

. Ataques

UNIDAD VI Informe de la auditoria informática.

6.1 Generalidades de la seguridad del área física. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 6.2 Características del informe.

17

Objetivos, características y afirmaciones que contiene el

El informe de auditoría financiera

informe de auditoría

tiene como objetivo expresar una


opinión técnica de las cuentas

financiera, de los resultados y de

anuales en los aspectos

los recursos obtenidos y aplicados.

significativos o importantes, sobre si éstas muestran la imagen fiel del

Importancia El Informe de Auditoría, reviste gran

Se opina también sobre la

Importancia, porque suministra a la

patrimonio, de la situación

concordancia de la información

administración de la empresa,

financiera y del resultado de sus

contable del informe de gestión

información sustancial sobre su

operaciones, así como de los

con la contenida en las cuentas

proceso administrativo, como una

recursos obtenidos y aplicados

anuales.

forma de contribuir al

durante el ejercicio.

cumplimiento de sus metas y 

En su caso, explica las

objetivos programados.

Características del informe de

desviaciones que presentan los

auditoría:

estados financieros con respecto a

El Informe a través de sus

unos estándares preestablecidos.

observaciones, conclusiones y

1. Es un documento mercantil o público. 2. Muestra el alcance del trabajo. 3. Contiene la opinión del auditor.

recomendaciones, constituye el 

Podemos sintetizar que el informe

mejor medio para que las

es una presentación pública,

organizaciones puedan apreciar la

resumida y por escrito del trabajo

forma como están operando. En

realizado por los auditores y de su

algunas oportunidades puede

opinión sobre las cuentas anuales.

ocurrir que, debido a un descuido en su preparación, se pierde la

4. Se realiza conforme a un marco legal.

Concluido el Trabajo de Campo, el

Principales afirmaciones que contiene el informe: 

Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de auditoría.

Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad.

6.3 Estructura del informe.

Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situación

18

auditor tendrá como responsabilidad la confección del Informe de Auditoría como un producto final de este trabajo. El informe contendrá el mensaje del Auditor sobre lo que ha hecho y como lo ha realizado, así como los resultados obtenidos. Concepto Es el documento emitido por el Auditor como resultado final de su examen y/o evaluación, incluye información suficiente sobre Observaciones, Conclusiones de hechos significativos, así como Recomendaciones constructivos para superar las debilidades en cuanto a políticas, procedimientos, cumplimiento de actividades y otras.

oportunidad de hacer conocer a la empresa lo que realmente desea o necesita conocer para optimizar su administración, a pesar de que se haya emitido un voluminoso informe, pero inadvertidamente puede estar falto de sustentación y fundamento adecuado; en consecuencia su contenido puede ser pobre; con esto queremos hacer resaltar el hecho de que, el Informe debe comunicar información útil para promover la toma de decisiones. Lamentablemente esto no se logrará si el informe revela pobreza de expresión y no se aportan comentarios constructivos. Redacción del Informe La Redacción se efectuará en forma corriente a fin de que su contenido sea comprensible al


lector, evitando en lo posible el uso

. Evitará el uso de un lenguaje

• El informe técnico final deberá

de terminología muy

técnico, florido o vago.

presentarse en versión impresa y

especializada; evitando párrafos

. Evitará ser muy breve.

magnética (CD o disquete).

largos y complicados, así como

. Evitará incluir mucho detalle.

expresiones grandilocuentes y

. Utilizará palabras simples,

I. CONTENIDO DEL INFORME

confusas.

familiares al lector, es decir,

TÉCNICO

escribirá en el idioma que el lector La Redacción del Informe debe

entiende.

1. Título y código del proyecto

merecer mucha atención cuidado

2. Nombre del investigador

de parte del auditor para que

principal y de la Facultad, Centro

tenga la acogida y aceptación que los empresarios esperan de él, en este sentido el Informe debe: . Despertar o motivar interés. . Convencer mediante información sencilla, veraz y objetiva. 2. Requisitos del informe Claridad y simplicidad. La Claridad y Simplicidad, significan introducir sin mayor dificultad en la mente del lector del informe, lo que el Auditor ha escrito o pensó escribir. A veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es precisamente la falta de claridad en los conceptos que el Auditor tiene en mente, es decir, no hay una cabal comprensión de lo que realmente quiere comunicar, asimismo cuando el Informe está falto de claridad, puede dar lugar a una doble interpretación, ocasionando de este modo que, se torne inútil y pierda su utilidad. En consecuencia, para que el informe logre su objetivo de informar o comunicar al cliente, el Auditor:

19

6.4 Formato para el informe. El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los resultados de los proyectos financiados por la sede Bogotá, con respecto a los compromisos adquiridos en el proyecto aprobado. Además de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtención de los resultados esperados y de las actividades de investigación científica. • Los informes finales técnico y financiero, deben ser entregados a la Dirección de Investigación de la sede, al finalizar el periodo de ejecución del proyecto. • El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. • El informe debe contener un índice. Cada página del informe debe estar numerada. • Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados.

o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propósito de promover la divulgación de las actividades investigativas que adelanta la Sede Bogotá y para dar mayor difusión a los proyectos, deben incluir un resumen de una cuartilla que servirá de base para la elaboración de notas académicas dirigidas a los medios de comunicación de la Universidad. 5. Resumen técnico de los resultados obtenidos durante la realización del proyecto y de las principales conclusiones (máximo cinco páginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realización del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formación de recurso humano, capacitación, organización y/o participación en eventos científicos, etc., estos deben numerarse y adjuntarse como


anexos del informe (ver cuadro No.

aporte para el desarrollo del país,

Sede Bogotá (máximo dos

1).

de contribución a la solución de

páginas).

7. Descripción del impacto actual

problemas específicos, de

8. Conclusiones

o potencial de los resultados: En

fortalecimiento de la capacidad

.

términos de generación de nuevo

científica, y de fortalecimiento de

conocimiento a nivel mundial, de

la investigación y creación en la

20

Revista  

Revista editada de manera libre en word

Read more
Read more
Similar to
Popular now
Just for you