Issuu on Google+

CONTENIDO DEL CURSO: ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA UNIDAD I

Introducción a la auditoria informática. Conceptos de auditoría y auditoria Informática.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

1 Practica


- Planes de continuidad y

que dé a sus recursos

Recuperación

humanos y materiales.

de

desastres Auditoria gubernamental. Auditoría 1.2 Tipos de auditoría.

Financiera:

Consiste en una revisión exploratoria y critica de los controles subyacentes

Auditoría

contable

(de

estados financieros) – no es interés del curso. * La revisión de la eficaz gestión de los recursos Auditar

consiste

principalmente

informáticos.

Auditoría interna. La lleva a cabo un departamento

estudiar los mecanismos

y

de

laboral.

control

que

están

implantados

en

una

empresa u organización, determinando

si

los unos

determinados objetivos o estrategias, estableciendo los cambios que

Auditoría

características

existe relación laboral y

en

la

la

empresa como:

externa.

hacen

personas

que los resultados que nos arroje sean

- Eficacia

ser

las

firmas

contadores

- Seguridad

mismos.

auditoría

la

Informática

desarrollar en alguna o

(William. P Leonard) es un

combinación

examen

las

siguientes áreas:

* El control de la función - Administración del Ciclo

informática

de vida de los sistemas El

análisis

de

la

eficiencia de los Sistemas

- Servicios de Entrega y

Informáticos

Soporte

*

- Protección y Seguridad

La

completo

constructivo

de

y la

estructura organizativa de - Gobierno corporativo

verificación

cumplimiento

de

del la

Normativa en este ámbito

la empresa, institución

o

departamento gubernamental sus

control,

Auditoria de operaciones: Se

define

técnica

como

para

una

evaluar

función o una unidad con referencia a normas de la empresa, utilizando

personal

no

especializado en el área

Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los

los contribuyentes desde el punto

de

(SHCP),

vista

físico

direcciones

tesorerías

de

estatales

o

o

hacienda tesorerías

municipales. Auditoria de resultados de

o

de

cualquier otra entidad y de

por un contador público.

obligaciones fiscales de

Auditoria administrativa.

de

contabilidad

diferentes impuestos y

Generalmente se puede

son:

*

de o

independientes.

de

de

de estudio.

imparciales como pueden

la consecución de los

objetivos

No

externas al negocio para - Eficiencia

registros

sistemáticamente de una

administradores

Los

relación

sirve para mejorar ciertas

- Rentabilidad

se deberían realizar para

una

La auditoría informática

mismos son adecuados y cumplen

existe

los

de una empresa realizada

dentro de la organización

en

y

métodos

de

medios

de

programas: Esta auditoría la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas

operación y empleo establecidas.

3 Practica


Auditoria

Financieros, lo cual como

Inteligencia artificial: Las

Este tipo de auditoría

de

legalidad:

se

computadoras

tiene

totalmente

como

finalidad

observa

revisar si la dependencia

pues

o entidad, en el desarrollo

Auditoría

de sus

Sistema de

actividades.

Información

examen que proporciona una evaluación objetiva y

es

equivalente,

puede

emulen

del

comportamiento

Tributario, Externa

programas

del

haría

Administrativo, Auditoría

Algunos

Externa del Sistema de

aplicación

de

la

informática

son

las

Información

Automático

campos

de

siguientes:

humanos, financieros y materiales.

examen 1.2.1 Auditoría interna y externa. Auditoría

Externa

y

evalúa

cualquiera de los sistemas de información de una organización y emite una opinión independiente sobre los pero

empresas

las

generalmente

requieren

de

la

evaluación de su sistema de información financiero

en

forma

independiente

para

otorgarle validez ante los usuarios del producto de este,

por

lo

cual

tradicionalmente se ha asociado Auditoría

el

crítico,

sistemático y detallado de un

mismos,

la

responden

una

persona

inteligente. Instrumentación

y

control: Instrumentación electrónica,

electro

medicina,

robots

industriales, entre otros. La auditoría Interna es el

examina

de

como previsiblemente lo

Sistema de Información

etc.

La

el

mente humana. Los

constructiva acerca del grado en que los recursos

se

programan de forma que

existir.

Externa

Auditoría Auditoría integral: Es un

no

sistema

información

de

de

una

unidad económica, realizado

por

Auditoría de Estados

humanística: Se usan la las computadoras para la resolución

de

cálculos

un

El

Aplicaciones técnicas: Usa

profesional con vínculos

la

laborales con la misma,

facilitar

utilizando

ingeniería y de productos

técnicas

computadora diseños

para de

determinadas y con el

comerciales, trazado de

objeto de emitir

planos, etc.

informes

y

sugerencias

formular

Documentación

e

el

información: Es uno de los

mejoramiento

de

la

campos más importantes

misma.

informes

para

la

utilización

Control

Interno

Informático

puede

definirse como el sistema integrado

al

proceso

administrativo,

en

la

planeación, organización, dirección y

para

Estos

1.4 Control interno.

matemáticos, recuentos numéricos, etc.

de

control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y

son de circulación interna

computadoras. Estas se

y no tienen

mejorar los índices de

usan para el

economía,

trascendencia terceros

pues

a no

los se

almacenamiento

de

grandes

de

cantidades

producen bajo la figura de

datos y la recuperación

la Fe Pública.

controlada de los mismos

eficiencia

y

efectividad

de

procesos

operativos

los

automatizados.

en bases de datos.

término

Externa

Investigación científica y

También se puede definir

a 1.3 Campo de la auditoria informática.

Gestión

administrativa:

el Control Interno como

Automatiza las funciones

cualquier

de gestión típicas de una

acción realizada manual

empresa.

actividad

o


y/o

automáticamente

para

Audit

and

Control

Association).

prevenir, corregir errores o

irregularidades

puedan

afectar

funcionamiento

de

que al un

sistema para conseguir

La estructura del modelo COBIT propone un marco de

acción

donde

se

evalúan los criterios de

sus objetivos.

información, como por ejemplo la

controles detallados, que

proveer la información

aseguran que los procesos

pertinente y confiable que

y recursos de información

requiere una organización

y tecnología contribuyen

para lograr sus objetivos.

al logro de los objetivos del

negocio

en

un

mercado cada vez más exigente,

complejo

y

diversificado”, señaló un

El

conjunto

de

lineamientos y estándares internacionales conocidos como COBIT, define un

informe de ETEK.

marco de referencia que 1.5 Modelos de control

seguridad y calidad, se

utilizados en auditoria

auditan los recursos que

informática.

comprenden la tecnología

COBIT, lanzado en 1996,

procesos de las unidades

de información, como por

es una herramienta de

de

ejemplo

gobierno de TI que ha

información

cambiado la forma en que

organizaciones en cuatro

trabajan los profesionales

“dominios” principales, a

de

saber:

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una

organización,

es

el

recurso

humano, instalaciones,

sistemas,

se realiza una evaluación

tecnología.

Vinculando

-Planificación

sobre

procesos

tecnología informática y

organización

en

prácticas de control, el

los

involucrados

la

organización.

modelo COBIT consolida y

fuentes

los auditores involucrados

El COBIT es un modelo de

en el

evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles

Objetivos de Control para Tecnología

de

Información y Tecnologías relacionadas

(Control

Objetives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information

Systems

de

de

las

específicos de IT desde una

perspectiva

de

negocios. “La adecuada implementación

de

un

modelo COBIT en una organización,

en

un

recurso crítico para la gerencia,

automatizada,

para

evaluar de manera ágil y consistente

el de

objetivos de control y

los

-Adquisición

e

-Soporte y Servicios - Monitoreo

los

profesionales de control y Estos dominios agrupan

los auditores.

objetivos de control de COBIT se aplica a los

alto nivel, que cubren

sistemas de información

tanto los aspectos de

de

información, como de la

toda

la

empresa,

incluyendo

los

tecnología

computadores personales que la respalda. Estos

y las redes. Está

provee una herramienta

cumplimiento

globales

prominentes

y

implantación

armoniza estándares de

usuarios y por supuesto,

Las siglas COBIT significan

tecnología

entre otros, y finalmente

decir, administradores IT,

proceso.

clasifica los

dominios y objetivos de basado en la filosofía de

control facilitan que la

que

generación

los

recursos

necesitan

TI

procesamiento

un

información cumplan con

administrados

por

conjunto

procesos

de

y

ser

naturalmente agrupados

las

para

efectividad,

de

características

la

de

eficiencia,

confidencialidad,

5 Practica


integridad, disponibilidad,

rentabilidad de los medios

Únicamente en los casos

decidiera

cumplimiento

informáticos

en el que

posteriores auditorías a

y

confiabilidad.

de

la

empresa

otros profesionales, éstos el auditor dedujese la

auditada,

estando

obligado Asimismo,

se

tomar

cuenta

en

deben los

recursos que proporciona la

tecnología

de

a

presentar

plataformas tecnológicas, instalaciones y recurso humano.

tipo

de

empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los

índices

de sobre

vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de

objetivos

del

negocio

apalancado en procesos tecnológicos”, finalizó el informe de ETEK.

poder tener acceso a los

las

informes de los trabajos

exigencias propias de su

profesionales,

éstos

cometido, este podrá

deberían

tener

reforzamiento

del

sistema y el estudio de las

a

soluciones proponer

un

cambio

problemas detectados en

significativo

el sistema informático de

determinados elementos

sobre

esta última. En ningún

o

auditado.

caso está justificado que

informático globalmente

su

trabajo del

beneficio.

el

propio

del

de

propio

contemplado. estudiado

sistema

Una

el

sistema

informático a auditar, el

actitud que se anteponga

auditor deberá establecer

intereses personales del

los requisitos mínimos,

auditor a los del

aconsejables

el

sistema

del

del grado de cobertura que dan las aplicaciones a las

necesidades

estratégicas y operativas de

información

de

la

empresa. deberá

considerarse

y

óptimos

para

su

no

adecuación a la finalidad

ética. Para garantizar el

para la que ha sido

beneficio

auditado

diseñado.

El

necesaria

deberá

lógicamente

como

como

del la

independencia del

auditor

abstenerse

UNIDAD II Planeación de la auditoria Informática.

de

recomendar este

último

2.1 Fases de la auditoria.

deberá evitar estar ligado

actuaciones

en cualquier forma, a

innecesariamente

intereses

onerosas, dañinas o que

de

determinadas

marcas,

productos o equipos

generen

riesgos

injustificados auditado.

Una

para

el

de

las

cuestiones más

1.6 Principios aplicados a

auditor al sistema del

controvertidas,

los

auditado debe implicar

de la aplicación de este

una cierta simbiosis con el

principio, es la referente a

mismo, a fin de adquirir un

Fase I: Conocimientos del Sistema Fase

II:

Análisis

de

transacciones y recursos

cliente. La adaptación del

informáticos.

anteriormente realizados

vez

Cualquiera

compatibles con los de su

auditores

los trabajos

cualitativamente

prisma

poder

acceso a los informes de

más idóneas según los

auditor,

evaluar el logro de los

pudiera

del

auditado

incertidumbre

sistema acomodarse

realice “Cualquier

deberías

imposibilidad de que el

recomendaciones acerca

información, tales como: datos, aplicaciones,

encomendar

respecto

Fase III: Análisis de riesgos y amenazas

facilitar el derecho de las

Fase

organizaciones auditadas

controles

IV:

Análisis

de

conocimiento

El auditor deberá ver

pormenorizado

sus

a la libre elección del

Fase V: Evaluación de

cómo se puede conseguir

características intrínsecas.

auditor. Si el auditado

Controles

la

máxima

eficacia

y

de


Fase VI: El Informe de

objetivos

auditoria

cumplir,

que

debe

Fase VII: Seguimiento de

tiempos (una empresa no

las Recomendaciones

pude dejar sus equipos y

empresa.

Los

auditores

independientes

podrán

realizar las pruebas de cumplimiento durante el

2.1.3 Revisión detallada.

periodo preliminar.

personal que lo opera sin trabajar porque esto le genera

2.1.1 Planeación.

sustanciosas),

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características

de

área

dentro del organismo a auditar,

sus

pérdidas

sistemas,

detallada

herramientas

y

conocimientos previos, así como de crear su equipo de auditores expertos en

en

es

fundamental,

pues

habrá que hacerla desde el punto de vista de los

muertos a la hora de

sistemas

los y

procedimientos. •

Evaluación

de

los

2.1.2 Revisión preliminar.

tenga

un

profundo entendimiento

del

área

de

informática.

debe de armarse de un conocimiento amplio del área que va a auditar, los

aplicación

de

tales

pruebas a todo el periodo restante puede no ser necesaria, dependiendo fundamentalmente resultado

de

del estas

pruebas en el periodo preliminar así como de la del

El auditor debe de decidir

que el propietario de dicha empresa, ordena una

auditoria

cuando

siente que un área tiene una falla o

habrá puntos claves que nos

debe

continuar

periodo

restante,

que

elaborando pruebas de

puede obtenerse de las

consentimiento, con la

pruebas

esperanza

realizadas por el auditor

de

obtener

sustantivas

independiente.

mayor confianza por medio del sistema de

sugiere, por esta razón se

se

instruya

sean

control

interno,

o

proceder directamente a revisión con los usuarios (pruebas compensatorias) o a las

La determinación de la extensión de las pruebas de

cumplimento

realizará

sobre

se bases

estadísticas o sobre bases subjetivas. El

pruebas sustantivas.

hay que recordar que las

muestreo estadístico es,

auditorias parten desde

en principio, el medio

un ámbito administrativo

2.1.4

Examen

y

y no solo desde la parte

evaluación

idóneo para expresar en

de

la

tecnológica, porque al fin

información.

términos cuantitativos el

de

En esta fase el auditor

la

cumplimiento, dentro del

revisados,

equipos de cómputo.

auditor

Cuando éste sea el caso,

evidencia

productivamente como se de

necesaria para que el

iniciar la auditoria.

simplemente no trabaja

Evaluación

obtener la información

dentro

dos objetivos:

de

evitar tiempos

Es de tomarse en cuenta auditoría

los

de los controles usados

el caso de

informática, la planeación

son

la materia con el fin de

organización y equipo. En

la

Los objetos de la fase

juicio del auditor respecto a la

cuentas

hablamos

de

tiempo

y

de

costo

producción, ejercicio de ventas, etc. Es decir, todo

Periodo en el que se desarrollan las pruebas y su extensión

razonabilidad, determinando

la

extensión de las pruebas y evaluando su resultado.

aquello que representa un gasto para la

7 Practica


Cuando se utilicen bases

errores

una

Una Librería de Áreas y

1 pruebas para identificar

subjetivas se deberá dejar

repercusión directa en los

tienen

una Librería de Pruebas

errores

constancia en los papeles

estados financieros, o si

pueden

procesamiento o de falta

de trabajo de las razones

los puntos fuertes del

mantenida para proveer

de

que han conducido a tal

control

Áreas y Pruebas Standard

confidencialidad.

eliminarían

el

error.

también

ser

y

bases

de

selección

en

cada

Pruebas

de

del

control

interno

Realizados

los

cuestionarios

En una auditoria existen

Las Áreas de Auditoria

4 prueba para comparar

los siguientes

módulos

estructuran sus pruebas

con

para ayudarle a planificar

en programas de trabajo

contadores físicos.

y ejecutar pruebas:

lógicos y pueden usarse para capturar información

Aéreas de Auditoria

acuerdo

con

procedimientos

relacionada Controles

objetivos

con de

datos

o

5 confirmaciones de datos

los cada

6 pruebas para confirmar la

programa de trabajo.

los

vistos,

los

con fuentes externas

Registro de Riesgos y

gráficamente el sistema

adecuada

comunicación. Plan de Pruebas 7 prueba para determinar

hemos de conjugar

Realizar pruebas

ambos a fin de realizar un análisis e identificar los puntos fuertes y débiles del sistema.

Permite

2.1.6

especificar

la

Pruebas

falta de seguridad.

sustantivas. 8

estructura bajo la cual se

pruebas

para

determinar problemas de

agruparan las pruebas.

legalidad. El objetivo de las pruebas

Permite

planificar

ejecutar esa

la inconsistencia de datos.

y

representado

labor

identificación,

de influye

primordialmente

la

habilidad para entender el sistema y comprender los puntos fuertes y débiles de

calidad de los datos. 3 pruebas para identificar

controles de usuario.

En

o

auditoria. 2.1.5

de

seguridad

2 prueba para asegurar la

selección.

Evaluación

el

para su

elección, justificando los criterios

en

su

relacionadas riesgos

con

y

definidos

los

controles para

esta

es

obtener

evidencia suficiente que permita al auditor emitir su

juicio

en

las

pruebas

con

independencia

del

ocurrir materiales proceso

pérdidas durante de

el

Permite

la v

registrar

el

resultado y el status de

Se pueden identificar 8

nos dará el nivel de

cada

diferentes

confianza de los controles

(completadas, revisadas o

que

aprobadas).

la

empresa, y será preciso determinar si los

Riesgo

información.

La conjugación de ambas

en

sistemas de acuerdo al riesgo.

conclusiones

Controles.

operan

2.2 Evaluación de los

acerca de cuándo pueden Permite agregar, editar y

Registro de Riesgos y

interno.

sustantivas

auditoría.

borrar control

y

pruebas

prueba

sustantivas:

pruebas

Proximidad o posibilidad de un daño, peligro, etc. v


Cada

uno

de

imprevistos,

los

hechos

desafortunados, etc., que

etc., que contribuyen a

que habrá de participar

grupo

hacer

en la auditoria.

ya que debemos analizar

más

seguro

el

funcionamiento o el

no sólo el punto de vista

puede cubrir un seguro.

de uso de una cosa: cierre de

v

seguridad,

cinturón

de

Uno de los esquemas generalmente aceptados

seguridad. Sinónimos:

amenaza,

para tener un adecuado

contingencia, emergencia,

control es que el personal

urgencia, apuro.

que 2.4 Personal participante.

intervenga

Una de las partes más Cualidad o estado de

importantes

seguro

planeación de la auditoría en

v Garantía o conjunto de

en

informática

personal

la

es

que

el

deberá

participar, ya que se

sobre

el del usuario del sistema.

con

(eficiencia)

y

se

le

retribuya o

Conjunto de organismos, medios, medidas, etc., de la administración estatal

puedan ayudar a llevar la auditoria

de

manera

correcta y

Con estas bases debemos considerar

los

conocimientos, la práctica profesional

en el tiempo estimado.

problemas y necesidades

Aquí no se verá el número

de los trabajadores, como

de persona que deberán

enfermedad,

participar, ya que esto depende

de

dimensiones

las

de

la

organización, de los

con

aportaciones del Estado,

sistemas y de los equipos,

trabajadores

lo

y

empresarios.

que

considerar exactamente

se

deberá son las

características que debe Se dice también de todos objetos, medidas,

la

que

debe

en

cumplir cada uno del personal

comenzar por obtener un diagnostico

con

información verdadera y a tiempo de lo que sucede en la organización bajo análisis,

la

esta

obtención

información

auditoria.

riesgos,

maternidad o jubilación;

y

tener el personal que intervendrá

laborales, incapacidad,

información

D.O. tenga éxito debe

capacitación

para prevenir o remediar

accidentes

3.1 Recopilación de la organizacional.

un

ciertas características que

financia

optimización de recursos

Para que un proceso de contar

equipo seleccionado y con

posibles

al cual se le exija la

su trabajo.

debe

Ejemplo: Seguridad Social

función informática.

alto sentido de moralidad,

el

cumplimiento de algo.

dispositivos,

informática, sino también

compense justamente por

garantías que se da a

aquellos

de

debidamente capacitado, que tenga un

se

dirección

UNIDAD III Auditoria de la

v

los

la

esté

Seguridad

alguien

multidisciplinario,

planeada

de

debe en

la ser

forma

estructurada para También se deben contar

garantizar una generación

con personas asignadas

de datos que ayuden

por los usuarios para que

posteriormente

en el momento que se

análisis.

solicite

continuo en el cual se

información,

o

Es

su un

ciclo

bien se

planea la recolección

efectúe alguna entrevista

de datos, se analiza, se

de

retroalimentan y se da un

comprobación

hipótesis,

de nos

seguimiento.

proporcionen aquello que se

está

solicitando,

y

complementen el

9 Practica


La recolección de datos

evaluación

puede darse de varias

funcionamiento

de

su

maneras:

seguida de sugerencias

actual,

para mejorar. El propósito principal de la auditoria de recursos

• Cuestionarios

humanos

• Entrevistas

es

mostrar

programa,

localizando

prácticas y condiciones Información

documental (archivo)

que son perjudiciales para

situaciones reales para

Toda la información tiene un valor en sí misma, el método de obtención de información

que

no

justificando su costo, o prácticas y condiciones que deben incrementarse.

estudiar tus la comparación con el

reacciones. En ocasiones

patrón pueden evaluarse

puede haber más de un

los resultados obtenidos y

entrevistador, con el fin

verificar que ajustes y

de tener más de un punto de vista a la hora de elegir

correcciones

deben

el

realizarse en el sistema, con el fin de que funcione

candidato final.

Modalidades 3.3 Entrevistas con el

de

la

Entrevista Personal

personal de informática. La entrevista es uno de los eslabones finales para

directamente ligado a la La auditoría es un sistema disponibilidad, dificultad y

de revisión y control para

costo. Existen ventajas y

informar

a

la

desventajas en el uso de

administración sobre la

cada

eficiencia y la eficacia del

estas

en

alcanzados. Por medio de

están

está

de

ponerte

mejor.

la empresa o

una

intentará

los objetivos

cómo está funcionado el

• Observación •

con los resultados o con

herramientas, su utilidad

programa que

dependerá del objetivo

lleva a cabo.

conseguir

la

Estructurada (dirigida)

posición

deseada. Desde el otro lado del mostrador

y

habiendo

El entrevistador dirige la conversación y hace las

entrevistado

a

5.000

profesionales en sistemas entre nuestro equipo de

o guión. El entrevistador

selectores,

medios para llevar a cabo

valiosos consejos en esta

preguntas a todos los

nota.

candidatos.

Es un diálogo directo

Se recomienda contestar

entre el entrevistador y

a las preguntas aportando

entrevistado.

El

aquella información que

la

se pide, con claridad y

en tiempo y forma para su posterior análisis.

El

sistema

de

administración recursos

evaluación y control

entrevistador sistemático funcionamiento.

las

mismas

humanos

de permitir una continua

recursos humanos

formulará

de

necesita patrones capaces

3.2 Evaluación de los

dejamos

siguiendo un cuestionario

que se busque y los esa recolección de datos

te

preguntas al candidato

de

su

dirige

conversación e intenta

brevedad.

obtener la máxima información posible del candidato.

No estructurada (libre)

Te preguntará por tu

El entrevistador te dará la

personal de una empresa

currículum, experiencias,

iniciativa a ti, y deberás

y la

habilidades, aficiones e

desenvolverte

La auditoría de recursos

Patrón en in criterio o un

humanos puede definirse

modelo que se establece

como el análisis de las

previamente

políticas y prácticas de

permitir la comparación

para

por

tu


cuenta. El entrevistador

relacionar tus respuestas

podría empezar con la

y comentarios con las exigencias del puesto al

pregunta: “Háblame de

interno en una revisión en una revisión de estados Existencia de un sistema presupuestal que permita

que optas.

ti”, y luego seguir con

identificar,

preguntas generales, que

analizar,

surgen en función del

registrar

desarrollo

de

la

3.4 Situación presupuestal

reunir, clasificar, y

producir

de

Lo más aconsejable es siguiendo tu

el

historial

profesional.

También

puedes preguntar si está

El estudio y evaluación del control interno deberá

flujos

de

particular. para

en

Aprovecha llevar

la

conversación a los puntos fuertes

que

deseas

destacar en relación con

los

“Estudio

y

del

Interno”,

emitido por la Comisión Normas

y

Procedimientos Auditoría

del

de

bases -

Existencia

de

autorización,

procesamiento

y

clasificación

de

transacciones,

un anual

y

lineamientos

presupuestarios

Mexicano de Contadores

de base para determinar el grado de confianza que se depositará en él y le

y

evaluación, incluyendo los aplicables

a

Existencia

sistema

de

de

la

actualización de cifras y a

un

registro

presupuestario Existencia

de

procedimiento

documentación soporte y verificación

c.

d.

salvaguarda física de

Instituto

Públicos, A.C., éste servirá

puesto ofertado.

de

procedimientos relativos

Control

de

Existencia

presupuesto autorizado

dispuesto en el boletín 3050

a.

b. Existencia e políticas,

de

el

y

partidas devengadas

a algo

efectivo

efectuarse conforme a lo

Evaluación

interesado en conocer

considerar

siguientes aspectos:

las

operaciones basadas en

de

deberá

información cuantitativa

guión

el

auditor

y financiera.

conversación.

empezar

presupuestarios,

un de

autorizaciones e.

Procedimientos

de

registro, control y reporte presupuestario

los controles

permita determinar la Semi-estructurada (mixta) naturaleza,

alcance

y

oportunidad, que va a dar Es una combinación de las dos

anteriores.

entrevistador

El

utilizará

preguntas directas para conseguir

informaciones

precisas sobre

a los procedimientos de auditoría, por lo que el auditor

para

el

y

objetivos

deberá

preguntas a

motivaciones. seguir

un

tus Intenta orden

- Existencia de factores que

aseguren

estado

analítico

de

recursos

Vigilancia

el

presupuestarios

establecimiento

y

ejercicio

mantenimiento

de

sobre

el

presupuestario

del gasto, tal como lo establecen los Términos

objeto de identificar si

de

están

auditorías a Órganos

operando

Referencia

ser modificados cuando

Desconcentrados

existan

Entidades

cambios

para

- Existencia de riesgo en la

y

Paraestatales

de la SFP, así como el flujo

importantes.

de efectivo que detalle el origen y el destino de los

ambiente de control

información financiera

y

controles internos con

un

discursivo, sé conciso e intenta

el

efectivamente y si deben

indirectas para sondearte respecto

Obtener

electrónico de datos. -

cumplimiento de los

considerar lo siguiente: ti,

relativos al procesamiento

Para efectos de estudio y evaluación

del

egresos

control

11 Practica


(Art.103 de la Ley Federal

salvaguardar la integridad

Código

de Presupuesto y

de la información

programa

oculto

en

un

Esto puede derivar en que Responsabilidad

para un atacante sea más

almacenada

Hacendaria)

fácil lograr tomar y copiar

computadora, así como

una cinta de la sala, que

de controlar el mal uso de

intentar acceder vía lógica

la información.

UNIDAD IV Evaluación de

de

una

Un método eficaz para proteger

a la misma.

la seguridad.

Generalidades

de

la

seguridad del área física.

consiste en la “aplicación de

barreras

físicas

procedimientos

y de

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos,

contramedidas

software de control de acceso. Los paquetes de

salvaguardar

control de acceso

la

información generada por los

sistemas,

por

el

refiere

virus,

etc. luego

tratados); la seguridad de la misma será nula si no previsto

como

combatir un incendio.

al usuario una contraseña y por los programas en

antes de permitirle el

aplicación.

acceso a información confidencial. Sin embargo,

a

los

los paquetes de control Identifica individualmente a cada usuario y sus actividades en el sistema,

de seguridad

datos, a los programas de

sofisticados

uso

computación, por lo que

como

los

medios

de

acceso remoto al y desde

no general, de uso específico, de las redes y terminales.

de

medios

de

olvidados a la hora del

almacenamiento

de

diseño de un sistema

datos.

Si

tratados a continuación se prevén, otros, como la

La

falta

lógica

o

de

seguridad

su

violación

conveniente de

esos

paquetes por si solos para

adecuada.

puede traer las siguientes consecuencias

a

la

4.3 Seguridad personal.

organización:

bien

algunos de los aspectos

es

depender

en

tener una seguridad

proteger el hardware y

Informático.

eludidos por delincuentes

Centro de Cómputo así

el mismo; implementados

más

componentes pueden ser

dentro y alrededor del

La seguridad física es uno aspectos

de acceso basados en

y restringe el acceso a

para

los

protegen contra el acceso no autorizado, pues piden

software de desarrollo

información confidencial” Se

el

encarga de controlar y

amenazas a los recursos e (1).

es

ante

controles y mecanismos

(conceptos

ha

prevención y

de

La seguridad lógica se

control, como medidas de

se

sistemas

computación

Así, la Seguridad Física

Hackers,

Entrada de virus

4.2 Seguridad lógica y confidencial.

A finales del siglo XX, los Cambio de los datos antes

Sistemas Informáticos se

detección de un atacante

o cuando se le da entrada

han constituido en las

interno a la

a la computadora.

herramientas

más

poderosas

para

La seguridad lógica se empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

encarga de los controles de

acceso

diseñados

que

están para

Copias de programas y /o

materializar uno de

información. los conceptos más vitales y

necesarios

para


cualquier

organización

empresarial, los Sistemas de

Información

de

como sinónimo de que,

actividad

en dicha

propensa a errores. Sistemas de claves de

la entidad,

empresa.

altamente

antes

de

acceso

realizarse la auditoría, ya La Informática hoy, está

se

habían

subsumida en la gestión

fallas.

detectado

Controles detectives

4.5 Seguridad en los datos y software de aplicación.

integral de la empresa, y por eso las normas y

Son

estándares propiamente

evitan que ocurran las

Este apartado aborda los

causas del riesgo sino que

aspectos

los

componente lógico del

El concepto de auditoría

informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En

consecuencia,

las

Es un examen crítico que se realiza con el fin de evaluar

la

eficacia

y

informáticas

de

forman parte de lo que se denominado

el

una

detecta

que

luego

no

de

ocurridos. Son los más

sistema:

importantes para

datos.

la

empresa.

sección,

un

organismo, una entidad, etc.

no gestiona

controles de seguridad.

medidas para restringir y controlar

preventivos.

dichos

Ejemplo:

Archivos

y

procesos que sirvan como

a

acceso

recursos,

a los

para

software (tanto operativo

como

de

considerar para garantizar

ayuda a la toma de

debido

el

gestión) y los criterios a

propiamente la empresa,

ende,

se

eficiencia de los controles

pistas de auditoría

decide por sí misma. Por

ello,

asegurar la fiabilidad del 4.4 Clasificación de los

no

Para

y

sirven para evaluar la

Cabe

pero

programas

procedimientos

aclarar que la Informática

decisiones,

al

el auditor. En cierta forma

"management" o gestión de

asociados

distingue entre las

eficiencia

organizaciones

ha

es mucho más que esto.

aquellos

la

Clasificación general de Procedimientos

los controles

de

integridad

de

la

información.

validación

su

importancia en el Control de acceso. funcionamiento de una empresa,

existe

la

Controles Correctivos Controles Preventivos

Auditoría Informática.

Sistemas

de

Ayudan a la investigación

identificación, asignación

Son aquellos que reducen

y corrección de las causas

y cambio de derechos de

El término de Auditoría se

la frecuencia con que

del riesgo. La corrección

acceso,

control

de

ha

ocurren las causas del

adecuada puede resultar

accesos,

restricción

de

riesgo, permitiendo cierto

difícil e ineficiente, siendo

terminales, desconexión

considerado como una

necesaria la implantación

de la sesión, limitación de

evaluación cuyo único

de controles defectivos

reintento.

empleado

incorrectamente

con

frecuencia ya que se ha

margen de violaciones.

sobre fin es detectar errores y

Ejemplos:

Letrero

"No

señalar fallas. A causa de

fumar" para salvaguardar

esto, se ha tomado la

las instalaciones

los

controles

correctivos, debido a que la corrección de errores

Software de base.

es en sí una

frase "Tiene Auditoría"

13 Practica


Control de cambios y

Adquisición de software

Datos

versiones, control de uso

estándar.

cumplan normas

(SGBD)

que

a

de programas de utilidad, control

de

uso

'performance'.

ellos Metodología,

pruebas,

condiciones,

garantías,

contratos,

pueden

las

volumen se deberá elegir las necesidades de la

Es

interno de la empresa o bien

sean

paquetes

estándar adquiridos en el mercado.

importante

utilización

la de

metodologías de diseño Los datos es decir, la información

que

se

procesa y se obtiene son

producto de desarrollo

de datos. El equipo de analistas y diseñadores deben hacer uso de una

la parte más importante de

todo

el

sistema

informático y su

misma metodología de diseño, la cual debe estar en concordancia con la

razón de ser. Un sistema informático existe como

relacional, red, o bien

suministrar

orientada a objetos.

información.

satisfactoria.

Documentación: esta

existe,

actualizada,

es

accesible.

conjunto de elementos lógicos

sin

ninguna

Debe

realizarse

estimación

utilidad.

previa

como y quien lo controla.

aspectos tales

distintos

integridad

e

que

se

aplicarán a los datos:

para

recuperar los datos en

mayoría

de

como el número mínimo y

. Participación de personal

sistemas

tienen

la

máximo de registros de

externo.

información

organizada

cada entidad del modelo

en sendas Bases de Datos.

de

datos

Los criterios que se

predicciones

y

el acceso no

autorizado a los datos. ello

deberán

identificarlos.

Procedimientos

de

restringir el acceso no

para

autorizado a los datos.

continuación

Debiendo identificar los

hacen referencia a la

distintos

seguridad de los Sistemas de Gestión de Bases de

prohibir

para

las

crecimiento. a

Procedimientos

Para

inmensa

. Control de cambios.

la

en

la

prueba.

confidencialidad

del

actualidad

citan

seguridad,

una

volumen necesario para el basada

. Entornos real y de

de

archivos.

. Estándares: se aplican,

. Control de calidad.

procedimientos

o de corrupción de los

ésta, se reduciría a un

En

datos, deben definirse los

casos de caída del sistema

almacenamiento de datos

Involucración del usuario.

En la fase de diseño de

Procedimientos

que es capaz de tratar y

. Metodología: existe, se es

cuestión.

Datos elegida jerárquica,

Sin aplica,

empresa o proyecto en

arquitectura de la Base de

tal desde el momento en

Desarrollo de software.

de

Datos.

software de aplicación, es

sean

estimaciones

el SGBD más adecuado a

derechos,

todo lo concerniente al

aplicaciones de gestión,

información y

de datos convencionales.

Diseño de bases de datos.

decir, todo lo relativo a las

la

aplicables a los archivos

soporte técnico.

En este apartado se trata

información,

ser

capacitación,

licencias, Software de aplicación.

la

necesidad de compartir ANSI, si bien muchos de

de

recursos y medición de

de usuarios que accederá

A

partir

de

distintos

factores como el número

usuario que

perfiles

de


accederán a los archivos

entre

de la aplicación y los

aspectos.

subconjuntos

algunos

otros

enfoques para este tipo

estudiar

de procedimientos:

contradicciones que pudieran existir, pero

Creación de bases de

Confidencialidad

datos.

en roles, que consiste en la

Procedimientos

para

mantener la consistencia corrección

de en

la todo

momento.

Debe crearse un entorno de desarrollo con datos de prueba, de modo que las

actividades

del

el entorno de

de datos, que se refiere al tipo, longitud y rango aceptable en cada caso, y la

de

los

explotación. Los datos de prueba

acciones

que

les

permitidas

deben

negocio.

actualización,

alta,

borrado,

creación/eliminación

dimensionados

de

Administrador de Datos, ya que es importante centralizar en personas especializadas en el tema las tareas de redacción

manera que permitan la

4.6 Controles para evaluar

realización de pruebas de

software de aplicación.

normas

referentes al gestor de datos utilizado, definición de

estándares

y

General

informática

no

de

la

empresa.

Los

Procedimientos Informáticos.

Se verificará su existencia, al menos en los sectores más

importantes.

Por

ejemplo, Una vez conseguida la otras

aplicaciones,

rendimiento

de con

Operatividad Sistemas,

de

el

los

segundo

objetivo de la auditoría es

En la fase de creación, deben desarrollarse los procedimientos

de

seguridad,

verificación

de

la

confidencialidad

e

etapa de

las

máquinas

estar

debería

firmada por

responsables

los de

Explotación. Tampoco el

en

departamento

el de

y

su

coherencia con las del resto de la empresa. Para

Aplicación

podría

producirse si no existieran los

Procedimientos

de

Backup y Recuperación correspondientes.

ello,

diseño: .

existentes

la recepción definitiva de

alta de una nueva

las normas teóricamente

Informática

integridad definidos en la de

Norma

Generales

observancia de un

Normativa

General .

2.

de

volúmenes altos.

designarse

esta

estructura de las tablas).

la Debe

que

contradicción con alguna (lectura,

estar

referencia a las relaciones las tablas y reglas del

todo verificando

Informática no está en

hace

que deben existir entre

sobre

son

integración con que

carezcan de normativa, y

tablas, modificación de la

Básicamente existen dos niveles de integridad: la

definición

basada

perfiles de usuario y las

desarrollo no interfieran

lógica,

las

registrando las áreas que

modificar o consultar.

información

fondo

de

información que podrán

y

a

habrán

Construcción

de

los

nomenclatura, diseño de

procedimientos de copia y

procedimientos de

restauración de datos.

arranque,

.

de

revisarse

sucesivamente y en este orden:

3.

Los

Procedimientos

Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales. Así,

recuperación

Construcción

de

los

de datos, asesoramiento

procedimientos

al personal de desarrollo

restricción y control de acceso.

Existen

de dos

1. Las Normas Generales de

la

Instalación

Informática. Se realizará una revisión inicial sin

Explotación no debería explotar una Aplicación sin

haber

exigido

a

15 Practica


Desarrollo la pertinente

A medida que se va

experiencia para seguirles

"gusanos" o "virus", que

documentación.

ampliando

la pista -.

pueden

Del

mismo modo, deberá comprobarse que los

Procedimientos

la

Internet,

asimismo va aumentando

completamente

el uso indebido de la

sistemas o borrar

misma. Los denominados delincuentes

los

Procedimientos

cibernéticos se pasean a

Generales. En todos los

su aire por el mundo

casos

virtual,

incurriendo

en

delitos

tales

el

anteriores,

a

su

vez,

deberá verificarse que no existe

como

acceso sin autorización o "piratería

contradicción informática", el fraude, el

los

sabotaje informático, la

Generales de la

trata de niños con fines pornográficos y el acecho.

propia empresa, a los que

Controles crímenes

para y

fraudes informáticos.

pierden unos 500 millones de dólares al año debido a los piratas que les roban números de tarjeta de crédito y de llamadas. Dichos números

se

pueden

informática

especiales

son

tan

puede

tratarse

redes de computadoras han crecido de manera asombrosa. Hoy en día, el número de usuarios que se

delincuentes

pagan

sus sus

cuentas, realizan negocios y hasta consultan con sus médicos online supera los 200 millones, comparado con 26 millones en 1995.

Algunos

virus

dirigidos

contra

computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio

de

disquetes

"infectados"; también se están

propagando por

las

redes, con frecuencia camuflados en mensajes electrónicos

o

en

programas "descargados" de la red.

codificarlos en bandas

magnéticas

de

tarjetas bancarias y de

4.8 Plan de contingencia,

crédito, señala el Manual

seguros,

de la ONU.

de

pueden

procedimientos

recuperación

de

desastres.

pasar desapercibidos a través de las fronteras, ocultarse tras incontables "enlaces" o

desvanecerse ningún

sin dejar

documento

directamente

de las

comunicaciones

o

esconder delictivas

en

"paraísos informáticos" o sea, en países que carecen

informática

pueden

Medida que las empresas

computadoras

rastro. Pueden despachar

pruebas

Otros delincuentes de la sabotear

simplemente hacen

duro.

de

estudiantes, terroristas o figuras del

En los años recientes las

para

los

todos los datos del disco

últimamente

que utilizan programas

crimen organizado. Estos

compras,

consumidores

Los delincuentes de la diversos como sus delitos;

comunican,

los

de dinero a falsificadores

sometida.

prevenir

que

vender por jugosas sumas

la Informática debe estar

4.7

Estados Unidos, se calcula

de las cuentas online sus

alguna con la Normativa y Procedimientos

Según datos recientes del Servicio Secreto de los

Específicos no se opongan a

paralizar

de

leyes

o

ganarle económica

a

las

se han vuelto cada vez

para

más dependientes de las

ventaja

computadoras y las redes

sus

para

manejar

sus

competidores o

actividades,

amenazar con daños a los

la disponibilidad de los

sistemas con el fin de

sistemas informáticos se

cometer extorsión. Los

ha

malhechores

Actualmente, la mayoría

los

datos

manipulan o

las

operaciones,

vuelto

crucial.

de las empresas necesitan un nivel

ya sea directamente o

alto de disponibilidad y

mediante

algunas requieren incluso

los

llamados


un

nivel

continuo

de

disponibilidad, ya que les

dos o tres años. Mientras

actividades cotidianas, es

vaya en

habitual el uso de Igualmente

todo

lo

aumento la dependencia

relacionado

con

la

de la disponibilidad de los

seguridad y salvaguarda

relacionados

funcionar sin los recursos

recursos

informáticos,

de las construcciones, el

teleinformática.

informáticos.

este

porcentaje

mobiliario y equipo de

resultaría extremadamente difícil

seguramente crecerá.

procedimientos

manuales, existen,

si

es

sólo

que serían

al Por lo tanto, la capacidad para

prácticos por un corto

exitosamente

periodo. En caso de un

efectos de un desastre

desastre, la interrupción

dentro de un periodo

de

de

En

sí,

es

todo

lo

con

la

servicios de computación

ser un elemento crucial

de riesgos y protección de

puede llevar a pérdidas

en un plan estratégico de

los

financieras significativas,

seguridad

informáticos de la

sobre

organización.

todo

si

está

conceptos fundamentales

a su vez siendo precisos.

seguridad, la prevención

una

Este trabajo se basa en

más simple posible, pero

relacionado

los

para

la

expresados de la manera

sistematización.

los

predeterminado debe prolongada

centro

recuperarse de

con

oficina, así como la protección a los accesos

Los

expresiones y conceptos

recursos

físicos

Comenzamos evolución

de

la

teleinformática y de la manera

empresa.

implicada la

por

introducir la historia y

en

que

fue

desarrollándose, y a su vez,

responsabilidad

de

la

gerencia de informática. Lo más grave es que se puede

perder

la

credibilidad del público o

4.9

Técnicas

y

herramientas relacionadas seguridad

proporcionando UNIDAD V Auditoria de la

con

la

física y

del

seguridad

en

la

teleinformática.

general

tema.

del

Luego

mencionamos de forma

personal.

los clientes y,

panorama

un

genérica los elementos que integran un sistema

como

consecuencia,

la

empresa puede terminar en un fracaso total.

por la Universidad de se

ha

demostrado que más del 60% de las empresas que sufren un

un plan de recuperación en

funcionamiento,

saldrán del negocio en

teleinformática, desde un simple terminal hasta una red.

Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los

sistemas

computacionales

de

la

En la actualidad tiene una gran trascendencia tanto técnica como social, lo que

se

denomina

teleinformática: la unión

empresa, tales

de la

desastre y que no tienen ya

seguridad en el área de la

SEGURIDAD FISICA

teleinformática.

En un estudio realizado Minnesota,

5.1 Generalidades de la

como

el

periféricos,

equipos

asociados, instalaciones las

las eléctricas,

instalaciones

de

informática

y

las

telecomunicaciones. Tanto

las

técnicas

fundamentales transmisión

de

de datos,

para comprender cómo viaja la información de un

hardware, y

Continuamos explicando

en

la

vida

profesional como en las

sistema a otro a través de los

circuitos

de

telecomunicación.

comunicación y de datos.

17 Practica


Las

técnicas

comunicación

de

educación, la sanidad y la

Posteriormente, comenzó

cables a unas distancias

se

empresa.

la comunicación hablada a

considerables.

estructuran en niveles:

través de un determinado

físico, enlace de datos,

lenguaje, en el cuál cada

red, transporte, sesión, presentación y aplicación.

Explicaremos claramente la

importancia

teleinformática

de

la

y

su

mencionamos

las redes de área local ya

historia

desde

dio origen al teléfono cada

frase

tenía

un

contenido informativo.

lo

que

a

la

teleinformática respecta.

Hicimos inca pié en la red

comienzo ya que es

tarde Más tarde, el hombre

uno de los factores que ha

tubo necesidad de realizar

constituido y constituye

comunicaciones

un elemento fundamental

distancia

para la evolución de la

ejemplo, entre personas

humanidad:

de dos aldeas

la

a

como

por

comunicación. pero con visibilidad entre

básicos sobre

ambas, o bien entre un En una comunicación se información

Comunicación y Gestión

desde una persona a otra

de Red.

e

Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía Móvil.

últimos desarrollos y las tendencias

de

la

teleinformática, desde las redes digitales hasta el proceso

y

la

a través de la televisión habilitaron

un

gran

número de técnicas y métodos que luego

lo que respecta a la comunicación.

aparecen

las 5.2 Objetivos y criterios

señales de

de la auditoria en el área

elementos: el emisor, que

humo,

destellos

da origen a la

espejos

con

de la teleinformática.

entre

innumerables métodos de información, que

el

medio,

permite

comunicación.

Así

la

aparición

transmisión, y el receptor,

La primera comunicación que

existió

entre

los

ante

la

continua

de

nuevas

herramientas de gestión, Con el paso del tiempo y

la auditoría interna se ve

la evolución tecnológica,

compelida a velar entre

la

otras cosas por

comunicación

a

distancia comenzó a ser cada vez más importante.

la aplicación y buen uso

hombres fue a base de

de

signos

ciertamente implica un

o

gestos

que

expresaban

las

mismas.

Ello

muy fuerte compromiso. La

primera

técnica

utilizada surgió con la

Dijimos

antes

que

la

auditoría debía

aparición del telégrafo y

importancia

de

la

relación que existe entre la teleinformática y la sociedad,

donde

tres

determinadas

Por último, manifestamos la

intervienen

intuitivamente

distribuido.

radio

barco y la costa. Es aquí

que recibe la información.

Además, establecimos los

la

transmisión de imágenes

fueron muy importantes a

TCP/IP, y en los conceptos

transmite

comunicación

distancia. Más

situadas a cierta distancia

de

la

directa de la voz a larga

Internet y su protocolo

Programas

para

el

que son muy importantes en

se

desarrolló la técnica que

palabra significaba algo y

desarrollo a través de la También,

Posteriormente

en

respecta a la

lo

que

manifestaciones sentido

propio.

con Estos

el

código

morse

que

velar no sólo por los

permitieron

activos de la empresa sino

gestos iban acompañados

comunicaciones a través

además por su capacidad

de sonidos.

de

competitiva. esto

último

difundir,

Cuidar

de

significa


apoyar y controlar las

enfrentan

seguridad; así a la hora de

edificios; visitas, clientes,

nuevas

organizaciones.

revisar el desarrollo se

proveedores,

5.3 Síntomas de riesgo.

verá si se realiza en un

contratados;

entorno seguro, etc

de

y

buenas

las

prácticas. Así, haciendo uso

del

puede

benchmarking verificar

y

para

Los controles directivos. el

mantenimiento de la más

La

Auditoría

de

la

Seguridad

lucha

por

la

Para muchos la seguridad siendo

el

área

principal a auditar, hasta de

la

empresa.

el

punto

de

que

en

algunas entidades se creó inicialmente

Como brillantemente lo expresa

Fernando

Gaziano (Deloitte Chile), "los

auditores

y

los

astrónomos compartimos plenamente una idea: el universo se expande.

Así

como

después del "big bang" un universo de planetas y estrellas

comenzó

y

continúa expandiéndose,

de

la

misma forma el mundo del Auditor Interno es cada vez más amplio. Como

nunca,

probablemente hoy

cambios más importantes en su profesión, debiendo relacionados

seguridad,

aunque

después se hayan ido ampliando los objetivos. Cada día es

la

información,

especialmente basados en el uso de tecnología de información y comunicaciones, por lo que el impacto de las los

accesos

no

otros

realicen

periódica de riesgos.

operaciones permitidas al

impacto

mucho

un

mayor

que hace algunos años.

En la auditoría de otras áreas

Corporativo y los nuevos riesgos a los que se

se las

de

las

políticas. Procedimientos,

variación,

posibles

borrado

estándares,

normas y guías.

ejecución, y

copia,

quedando

las

y

pistas

necesarias para el control Amenazas externas.

físicas Inundaciones,

corte

y la auditoría. Uso de contraseñas, cifrado

explosiones,

de

líneas

o

suministros, terremotos,

de las mismas, situaciones de bloqueo.

terrorismo, huelgas, etc.,

se

considera:

la

ubicación del centro de procesos,

de

servidores,

de

datos.

Origen del dato, proceso, salida de los datos.

los PCs,

computadoras portátiles (incluso fuera de las

Comunicaciones y redes. Topología

y

tipo

de

comunicaciones,

posible

uso

cifrado,

de

protecciones ante virus. Tipos de estructura, y

transacciones. Protección

distribución de edificios;

construcción

de conversaciones de voz

amenazas

en

de

fuego,

caso

riesgos por agua, por

protección

accidentes

transmisiones

necesario, de por

fax

para contenidos

el

Gobierno

que

sólo

usuario: lectura, desarrollo

oficinas); tienen

accesos

como lógicos,

de la información, entre

problemas,

de

métodos de evaluación

autorizados, la revelación

aspectos con

Control

Protección

relacionada con sistemas

fallas,

control,

como si existen sistemas y

incendios,

mayor la importancia de

transporte.

adecuado. Tanto físicos

diseño,

se enfrenta a uno de los

abordar

informática para revisar la

de

presupuesto, así

El

la función de auditoría

acceso, almacenamiento y

funciones,

objetivos

sigue

subsistencia o continuidad

soportes

políticas,

planes,

competitivo es continuar la

Son los fundamentos de la seguridad:

alta competitividad. Ser en

los

magnéticos en cuanto a

promover las mejores prácticas

protección

pueden

surgir solapadas

también revisiones

con

la

atmosféricos;

contenido

en paquetes}, bolsos o

clasificados.

carteras

Intranet,

que

se

introducen o salen de los

Internet

e

correo

electrónico, control sobre

19 Practica


páginas web, así como el

mitiguen el impacto. Para

comercio electrónico.

evaluarlos considerar

El entorno de producción. Cumplimiento

hay el

tipo

de

seguridad del área física. Introducción General a la Seguridad en Redes

información

de

contratos, outsourcing. desarrollo

aplicaciones

de

en

un

entorno seguro, y que se incorporen controles en los

Es muy importante ser

almacenada, procesada y transmitida, la criticidad

El

6.1 Generalidades de la

que

de las operaciones, la tecnología

usada,

el

consciente que por más . Definiciones

que nuestra empresa sea la más segura desde el

. Generalidades

punto de vista de ataques

marco legal aplicable, el sector de

. Intrusos

externos,

la entidad, la entidad

. Amenazas

Hackers,

productos

desarrollados y que éstos

misma y el momento. Los resulten auditables. Con el uso de licencias (de los programas utilizados).

pueden

(conceptos . Ataques

operaciones. Planes de o

se

eliminarse), transferirse o

Planeación

de

la

como

combatir un incendio.

de La seguridad física es uno Técnicas

y

Análisis

del

sistema

No se trata de áreas no sino

que

casi todas tienen puntos enlace

relacionadas seguridad

con en

la la

teleinformática.

comunicaciones

con Introducir al estudiante

cifrado

con

comunicaciones, etc.

componen problemática

Evaluación de riesgos

que

redes

teleinformáticas,

su

operaciones, técnicas y

probabilidad e impacto y

herramientas más usuales

analizar medidas que los

para

eliminen

privacidad, autenticación y

hechos

o

seguridad.

a

otros, como la detección de un atacante interno a la empresa que intenta a acceder

Servicios de Seguridad

las

Modelo

OSI

arquitecturas

para de

operaciones de la misma, no.

Seguridad . Modelo TCP/IP Esto puede derivar en que

garantizar

para un atacante sea más UNIDAD VI Informe de la auditoria informática.

la probabilidad de que

tratados

continuación se prevén,

físicamente a una sala de

riesgos,

disminuyan

seguridad

.

Se trata de identificar

que

la

bien

de

ilustrando

o

de

Si

la

seguridad en las

cuantificar

Implantación

y

organizacionales

más

algunos de los aspectos

en los aspectos técnicos, funcionales

aspectos

informático.

. Definición de políticas de

.

control de accesos,

los

diseño de un sistema . Análisis de riesgos

seguridad

comunes:

de

olvidados a la hora del

actual

herramientas de auditoría

los

previsto

Seguridad

5.4

ocurran

ha

asumirse.

.

de

luego

la misma será nula si no

disminuirse

Continuidad.

relacionadas,

etc.

tratados); la seguridad de

(generalmente no pueden

La continuidad de las contingencia

riesgos

virus,

fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.


significativos

o

importantes, Así, la Seguridad Física consiste en la “aplicación de

barreras

físicas

procedimientos

y de

sobre

éstas muestran la imagen fiel del patrimonio, de la situación financiera y del

unos Expresa si las cuentas anuales

contienen y

han

sido

con la legislación

Podemos sintetizar que el

los recursos obtenidos y ante

amenazas a los recursos e

aplicados

durante

el

vigente y, también, si dichas cuentas han sido

ejercicio.

información

elaboradas teniendo en

confidencial”(1).

Se

cuenta

refiere a los controles y mecanismos de seguridad

preestablecidos.

la

formuladas de acuerdo operaciones, así como de

contramedidas

estándares

información necesaria y suficiente

resultado de sus

control, como medidas de prevención y

financieros con respecto a

si

el

principio

es

una

presentación

pública,

resumida y por escrito del trabajo realizado por los auditores y de

contable de uniformidad. Características

informe

del su

informe de auditoría:

opinión

sobre

las

cuentas anuales.

dentro y alrededor del Centro de Cómputo así como

los

medios

de

acceso remoto al y desde el mismo; implementados

1.

Es

un

documento 6.3

mercantil o público. Asimismo, expresa si las

para

en todos los aspectos 2. Muestra el alcance del

medios

de

trabajo.

almacenamiento

de

significativos, la imagen fiel del patrimonio, de la

datos.

auditor. Características

los resultados y de los recursos

obtenidos

y

aplicados.

del

Concluido el Trabajo de Campo, el auditor tendrá

situación financiera, de 3. Contiene la opinión del

como responsabilidad la confección del Informe

de

Auditoría

como un producto final de

informe.

este trabajo. El informe contendrá el mensaje del

4. Se realiza conforme a

Auditor sobre lo que ha

un marco legal.

hecho y

Objetivos, características y

del

cuentas anuales reflejan,

proteger el hardware y

6.2

Estructura

informe.

afirmaciones

Se opina también sobre la

que

contiene el informe de auditoría

concordancia Principales

afirmaciones

que contiene el informe:

de

la

como lo ha realizado, así

información contable del

como

informe de gestión con la

obtenidos.

los

resultados

contenida en las cuentas anuales. El informe de auditoría financiera objetivo

tiene expresar

como una

opinión técnica de las cuentas anuales en los aspectos

Indica

el

alcance

Concepto

del

trabajo y si ha sido posible

Es el documento emitido

llevarlo a cabo y de acuerdo con qué normas de auditoría.

por

el

Auditor

En su caso, explica las

resultado

desviaciones

examen y/o evaluación,

presentan

que los

final

como de

su

estados

21 Practica


incluye

puede ocurrir que, debido

párrafos

suficiente sobre

información

a un descuido en su

complicados,

largos

Observaciones,

preparación, se pierde la

Conclusiones de hechos

oportunidad

significativos, así como

conocer a la empresa lo

Recomendaciones

que realmente desea o

así

y como

expresiones

constructivos

para

superar las debilidades en

necesita

de

conocer

hacer

a

políticas,

procedimientos, cumplimiento

de

actividades y otras.

y

confusas.

merecer

mucha

atención cuidado de parte

que se haya emitido un

del

voluminoso informe, pero

tenga

inadvertidamente puede

aceptación que

auditor la

para

que

acogida

y

de de él, en este sentido el

Importancia

y fundamento adecuado;

El Informe de Auditoría, reviste gran Importancia, porque suministra a la administración empresa,

de

la

información

sustancial sobre

su

proceso

administrativo, como una forma de contribuir al cumplimiento

de

metas

objetivos

y

sus

programados.

en

consecuencia

contenido

su

puede

hay

una

cabal

asimismo

cuando el Informe está falto de claridad, puede dar lugar a una doble interpretación, ocasionando de este modo que, se torne inútil

los empresarios esperan

sustentación

no

comunicar, La Redacción del Informe

falto

los

comprensión de lo que

administración, a pesar de

estar

en

realmente quiere

debe cuanto

claridad

conceptos que el Auditor tiene en mente, es decir,

grandilocuentes

para

optimizar su

de

y pierda su utilidad. En consecuencia, para que el informe logre su objetivo

Informe debe:

de informar o comunicar

ser

al

pobre; con esto queremos hacer resaltar el hecho de

. Despertar o motivar

que, el

interés.

Informe debe comunicar

.

información

información

útil

para

promover la toma de

Convencer

mediante sencilla,

veraz y objetiva.

Lamentablemente esto no

revela

pobreza

lenguaje técnico, florido o

. Evitará ser muy breve. 2. Requisitos del informe

de

. Evitará incluir mucho detalle.

expresión y no se aportan comentarios

. Evitará el uso de un vago.

decisiones. se logrará si el informe

cliente, el Auditor:

.

Claridad y simplicidad.

constructivos.

Utilizará

simples,

palabras

familiares

al

La Claridad y Simplicidad,

lector, es decir, escribirá

El Informe a través de sus

significan introducir sin

en el idioma que el lector

observaciones,

mayor dificultad en la

entiende.

conclusiones

y

recomendaciones, constituye el mejor medio para

que

las

organizaciones puedan apreciar la forma como están operando. En algunas

oportunidades

Redacción del Informe

mente

del

lector

del

La Redacción se efectuará

informe, lo que el Auditor

en forma corriente a fin

ha

de que su contenido sea comprensible al lector, evitando en lo posible el uso de terminología especializada;

escrito o pensó escribir. A

muy

Formato

para

el

informe.

veces lo que ocasiona la deficiencia de claridad y simplicidad del informe es

evitando

6.4

precisamente la falta

El formato para informes finales está enfocado a apoyar

y

facilitar

el


proceso de evaluación de

• El informe técnico final

principales

los

deberá

(máximo

1).

cinco páginas).

7. Descripción del impacto

resultados

de

los

proyectos

presentarse

versión

impresa

magnética financiados por la sede

en o

actual o potencial de los

disquete).

6. Cuadro de resultados obtenidos: De acuerdo a

compromisos adquiridos

los objetivos y resultados

en el proyecto aprobado. I.

CONTENIDO

DEL

INFORME TÉCNICO

el

informe (ver cuadro No.

y

(CD

Bogotá, con respecto a los

Además de reportar sobre

conclusiones

resultados: En términos de generación de nuevo conocimiento a nivel

esperados planteados en el proyecto aprobado,

mundial, de aporte para el desarrollo del país, de

cumplimiento

de

objetivos y el impacto logrado a partir del uso y obtención

relacione los resultados

los

de

los

resultados esperados y de las actividades de

obtenidos 1. Título y código del proyecto 2.

investigación científica.

Nombre

del

Facultad,

Centro

o

Instituto al que pertenece 3. Fecha de entrega del

• Los informes finales técnico

y

financiero,

deben ser entregados a la Dirección de

Sinopsis

Con

el

al finalizar el periodo de

de

divulgativa:

propósito

de

las

actividades

investigativas

que

adelanta la Sede Bogotá

ejecución del proyecto. • El informe debe ser previamente

por el respectivo Consejo

realización del proyecto, soportados

por

sus

respectivos

contribución a la solución de problemas específicos, de fortalecimiento de la capacidad científica, y de fortalecimiento

de

la

investigación y creación indicadores

verificables:

publicaciones, registros,

patentes,

en

la

Sede

Bogotá

(máximo dos páginas).

normas,

certificaciones, memorias, formación

promover la divulgación

Investigación de la sede,

aprobado

Informe 4.

la

los cuales deben estar

investigador principal y de la

durante

de

8. Conclusiones

recurso .

humano, capacitación, organización y/o

participación

en

eventos científicos, etc., estos deben numerarse y adjuntarse como anexos

y para dar mayor difusión

del

a los proyectos, deben incluir un resumen de una cuartilla que servirá de

Directivo de cada

base para la elaboración Facultad,

Centro

o

de

Instituto. notas •

El

informe

debe

académicas

dirigidas a los medios de

contener un índice. Cada

comunicación

página del informe debe

Universidad.

de

la

estar numerada. • Cada anexo debe estar numerado

haciendo

referencia a lo anotado en los cuadros de resultados.

5. Resumen técnico de los resultados

obtenidos

durante la realización del proyecto

y

de

las

23 Practica


REVISTA 1C TCSI