Contenido del Curso: Administración de la función informática
UNIDAD I Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.
Los objetivos Informática son:
de
la
auditoría
La auditoría informática sirve para mejorar ciertas características en la empresa como:
* El control de la función informática
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:
- Eficiencia
* El análisis de la eficiencia de los Sistemas Informáticos
- Gobierno corporativo
- Eficacia
* La verificación del cumplimiento de la Normativa en este ámbito
- Administración del Ciclo de vida de los sistemas
- Rentabilidad
- Servicios de Entrega y Soporte
- Seguridad
* La revisión de la eficaz gestión de los recursos informáticos.
- Protección y Seguridad Planes de continuidad Recuperación de desastres.
1.2 Tipos de auditoría.
pueden ser las firmas de contadores o •
administradores independientes. •
•
Auditoría
interna.
•
La
lleva
a
cabo
Auditoría Financiera: Consiste en una revisión exploratoria
Auditoría contable (de estados financieros) – no es interés del curso.
•
y
critica
de
los
controles
Auditoria administrativa. (William. P Leonard) es
subyacentes y los registros de contabilidad de
un examen completo y constructivo de la
una empresa realizada por un contador público.
estructura
un
y
organizativa
de
la
empresa,
departamento dentro de la organización y existe
institución o departamento gubernamental o de
una relación laboral.
cualquier otra entidad y de sus métodos de
técnica para evaluar sistemáticamente de una
control, medios de operación y empleo que dé
función o una unidad con referencia a normas de
a sus recursos humanos y materiales.
la empresa, utilizando personal no especializado
Auditoría externa. No existe relación laboral y la
Auditoria de operaciones: Se define como una
en el área de estudio.
hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como
•
•
Auditoria gubernamental.
•
Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde 1.3 Campo de la auditoria informática.
el punto de vista físico (SHCP), direcciones o
1.5 Modelos de control utilizados en auditoria informática.
tesorerías de hacienda estatales o tesorerías •
municipales.
Algunos campos de aplicación de la informática
Auditoria de resultados de programas: Esta
son las siguientes:
El COBIT es precisamente un modelo para
Investigación científica y humanística: Se usan la
auditar la gestión y control de los sistemas de
el logro de los objetivos y las metas establecidas.
las computadoras para la resolución de cálculos
información y tecnología, orientado a todos los
Auditoria de legalidad: Este tipo de auditoría
matemáticos, recuentos numéricos, etc.
sectores
Aplicaciones técnicas: Usa la computadora para
administradores IT, usuarios y por supuesto, los
facilitar diseños de ingeniería y de productos
auditores involucrados en el proceso.
auditoría la eficacia y congruencia alcanzadas en •
tiene como finalidad revisar si la dependencia o
•
•
entidad, en el desarrollo de sus actividades.
•
Auditoría
integral:
Es
un
examen
una
evaluación
objetiva
y
constructiva
acerca del grado en que los
•
recursos humanos, financieros y materiales.
1.2.1 Auditoría interna y externa.
•
La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una
•
los
mismos,
pero
las
empresas
generalmente requieren de la evaluación de su sistema de información financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el término
Tributario, Auditoría Externa del Sistema de Información Administrativo, Auditoría Externa del Sistema de Información Automático etc. La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto
de
emitir
informes
y
formular
sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Pública.
decir,
campos más importantes para la utilización de
para Tecnología de Información y Tecnologías
computadoras.
el
relacionadas (Control Objetives for Information
almacenamiento de grandes cantidades de datos
Systems and related Technology). El modelo es el
y la recuperación controlada de los mismos en
resultado de una investigación con expertos de
bases de datos.
varios
Gestión administrativa: Automatiza las funciones
(Information
de gestión típicas de una empresa.
Association).
•
Estas
se
usan
para
países,
desarrollado
Systems
Audit
por and
ISACA Control
Inteligencia artificial: Las computadoras se el
La estructura del modelo COBIT propone un
comportamiento de la mente humana. Los
marco de acción donde se evalúan los criterios
programas responden como previsiblemente lo
de información, como por ejemplo la seguridad y
haría una persona inteligente.
calidad, se auditan los recursos que comprenden
Instrumentación y control: Instrumentación
la tecnología de información, como por ejemplo
electrónica,
el recurso humano, instalaciones, sistemas, entre
de
forma
electro
que
emulen
medicina,
robots
otros, y finalmente se realiza una evaluación
industriales, entre otros.
sobre
los
procesos
involucrados
en
la
organización.
Financieros, lo cual como se observa no es Auditoría Externa del Sistema de Información
es
Las siglas COBIT significan Objetivos de Control
Auditoría Externa a Auditoría de Estados totalmente equivalente, pues puede existir.
organización,
Documentación e información: Es uno de los
programan
organización y emite una opinión independiente sobre
una
comerciales, trazado de planos, etc.
que
proporciona
de
1.4 Control interno. El COBIT es un modelo de evaluación y El Control Interno Informático puede definirse
monitoreo que enfatiza en el control de negocios
como
proceso
y la seguridad IT y que abarca controles
administrativo, en la planeación, organización,
específicos de IT desde una perspectiva de
dirección y control de las operaciones con el
negocios. “La adecuada implementación de un
objeto de asegurar la protección de todos los
modelo COBIT en una organización, provee una
recursos informáticos y mejorar los índices de
herramienta automatizada, para evaluar de
economía, eficiencia y efectividad de los
manera ágil y consistente el cumplimiento de los
procesos operativos automatizados.
objetivos de control y controles detallados, que
el
sistema
integrado
al
aseguran que los procesos y recursos de También se puede definir el Control Interno
información y tecnología contribuyen al logro de
como cualquier actividad o acción realizada
los objetivos del negocio en un mercado cada
manual y/o automáticamente para prevenir,
vez más exigente, complejo y diversificado”,
corregir errores o irregularidades que puedan
señaló un informe de ETEK.
afectar al funcionamiento de un sistema para conseguir sus objetivos.
COBIT, lanzado en 1996, es una herramienta de
“Cualquier tipo de empresa puede adoptar una
diseñado.
gobierno de TI que ha cambiado la forma en que
metodología COBIT, como parte de un proceso
abstenerse
trabajan
los
profesionales
de
El
auditor de
deberá
lógicamente
recomendar
actuaciones
tecnología.
de reingeniería en aras de reducir los índices de
innecesariamente onerosas, dañinas o que
Vinculando tecnología informática y prácticas de
incertidumbre sobre vulnerabilidades y riesgos
generen riesgos injustificados para el auditado.
control, el modelo COBIT consolida y armoniza
de los recursos IT y consecuentemente, sobre la
Una de las cuestiones más controvertidas,
estándares de fuentes globales prominentes en
posibilidad de evaluar el logro de los objetivos
respecto de la aplicación de este principio, es la
un recurso crítico para la
del
referente
gerencia,
los
negocio
apalancado
en
procesos
profesionales de control y los auditores.
tecnológicos”, finalizó el informe de ETEK.
COBIT se aplica a los sistemas de información de
1.6 Principios aplicados a los auditores
toda la empresa, incluyendo los computadores
informáticos.
a
facilitar
el
derecho
de
las
organizaciones auditadas a la libre elección del auditor. Si el auditado decidiera encomendar posteriores
personales y las redes. Está basado en la filosofía de
que
los
recursos
necesitan
auditorías a otros profesionales, éstos deberías
ser
El auditor deberá ver cómo se puede conseguir
poder tener acceso a los informes de los trabajos
administrados por un conjunto de procesos
la máxima eficacia y rentabilidad de los medios
profesionales, éstos deberían poder tener acceso
naturalmente
agrupados
TI
la
informáticos de la empresa auditada, estando
a los informes de los trabajos anteriormente
información pertinente y confiable que requiere
para
proveer
obligado a presentar recomendaciones acerca
realizados sobre el sistema del auditado.
una organización para lograr sus objetivos.
del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas
del grado de cobertura que dan las aplicaciones
El conjunto de lineamientos y estándares
detectados en el sistema informático de esta
a las necesidades estratégicas y operativas de
internacionales conocidos como COBIT, define
última.
información de la empresa.
un marco de referencia que clasifica los procesos de las unidades de tecnología de información de
En ningún caso está justificado que realice su
las
trabajo
organizaciones
en
cuatro
“dominios”
principales, a saber:
el
prisma
del
propio
beneficio.
Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá
-Planificación y organización
considerarse como no ética.
-Adquisición e implantación
Para garantizar el beneficio del auditado como la necesaria independencia del auditor, este último
-Soporte y Servicios
deberá evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o
- Monitoreo
equipos compatibles con los de su cliente. La adaptación del auditor al sistema del auditado
Estos dominios agrupan objetivos de control de
debe implicar una cierta simbiosis con el mismo,
alto nivel, que cubren tanto los aspectos de
a fin de adquirir un conocimiento pormenorizado
información, como de la tecnología que la
de sus características intrínsecas. Únicamente en
respalda. Estos dominios y objetivos de control
los casos en el que el auditor dedujese la
facilitan que la generación y procesamiento de la
imposibilidad
información cumplan con las características de
acomodarse a las exigencias propias de su
efectividad,
cometido, este podrá proponer un cambio
integridad,
eficiencia, disponibilidad,
confidencialidad, cumplimiento
y
confiabilidad.
de
que
el sistema
pudiera
cualitativamente significativo de determinados elementos o del propio sistema informático globalmente contemplado.
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de
Una vez estudiado el sistema informático a
información, tales como: datos, aplicaciones,
auditar, el auditor deberá establecer los
plataformas tecnológicas, instalaciones y recurso
requisitos mínimos, aconsejables y óptimos para
humano.
su adecuación a la finalidad para la que ha sido
UNIDAD II Planeación de la auditoria Informática. 2.1 Fases de la auditoria. Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y
equipo de auditores expertos en la materia con
Cuando éste sea el caso, la aplicación de tales
el fin de evitar tiempos muertos a la hora de
pruebas a todo el periodo restante puede no ser
iniciar la auditoria.
necesaria, dependiendo fundamentalmente del
recursos Fase
III:
resultado de estas pruebas en el periodo Análisis
de
riesgos
y
amenazas Fase IV: Análisis de controles
Fase VI: El Informe de auditoria VII:
Seguimiento
preliminar así como de la evidencia del
dicha empresa, ordena una auditoria cuando
cumplimiento, dentro del periodo restante, que
siente que un área tiene una falla o simplemente
puede obtenerse de las pruebas sustantivas
no trabaja productivamente como se sugiere,
realizadas por el auditor independiente.
por esta razón habrá puntos claves que se nos
Fase V: Evaluación de Controles
Fase
Es de tomarse en cuenta que el propietario de
de
las
Recomendaciones
instruya sean revisados, hay que recordar que las
La determinación de la extensión de las pruebas
auditorias parten desde un ámbito
de cumplimento se realizará sobre bases
administrativo y no solo desde la parte
estadísticas o sobre bases subjetivas. El
tecnológica, porque al fin de cuentas hablamos
muestreo estadístico es, en principio, el medio
de tiempo y costo de producción, ejercicio de
idóneo para expresar en términos cuantitativos
ventas, etc. Es decir, todo aquello que
el juicio del auditor respecto a la razonabilidad,
representa un gasto para la empresa.
determinando la extensión de las pruebas y evaluando su resultado.
2.1.1 Planeación.
2.1.3 Revisión detallada. Cuando se utilicen bases subjetivas se deberá
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área
Los objetos de la fase detallada son los de
dejar constancia en los papeles de trabajo de las
obtener la información necesaria para que el
razones que han conducido a tal elección,
auditor tenga un profundo entendimiento de los
justificando los criterios y bases de selección.
controles usados dentro del área de informática. Evaluación del control interno
dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos: • Evaluación de los sistemas y procedimientos. • Evaluación de los equipos de cómputo.
El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la
Realizados los cuestionarios y representado
esperanza de obtener mayor confianza por
gráficamente el sistema de acuerdo con los
medio del sistema de control interno, o proceder
procedimientos vistos, hemos de conjugar
directamente a revisión con los usuarios
ambos a fin de realizar un análisis e identificar
(pruebas compensatorias) o a las pruebas
los puntos fuertes y débiles del sistema.
sustantivas. En esa labor de identificación, influye primordialmente la habilidad para entender el
2.1.2 Revisión preliminar.
2.1.4 Examen y evaluación de la información.
En esta fase el auditor debe de armarse de un
Periodo en el que se desarrollan las pruebas y su
conocimiento amplio del área que va a auditar,
extensión
sistema y comprender los puntos fuertes y débiles de su control interno. La conjugación de ambas nos dará el nivel de confianza de los controles que operan en la
los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal
Los auditores independientes podrán realizar las
empresa, y será preciso determinar si los errores
que lo opera sin trabajar porque esto le genera
pruebas de cumplimiento durante el periodo
tienen una repercusión directa en los estados
pérdidas sustanciosas), herramientas y
preliminar.
financieros, o si los puntos fuertes del control
conocimientos previos, así como de crear su
eliminarían el error.
2.1.5 Pruebas de controles de usuario.
1 pruebas para identificar errores en el
Se dice también de todos aquellos objetos,
procesamiento o de falta de seguridad o
dispositivos, medidas, etc., que contribuyen a
confidencialidad.
hacer más seguro el funcionamiento o el uso de
2 prueba para asegurar la calidad de los datos.
una cosa: cierre de seguridad, cinturón de
3 pruebas para identificar la inconsistencia de
seguridad.
En una auditoria existen los siguientes módulos
datos.
para ayudarle a planificar y ejecutar pruebas:
4 prueba para comparar con los datos o contadores físicos.
2.4 Personal participante.
•
Aéreas de Auditoria
5 confirmaciones de datos con fuentes externas
•
Registro de Riesgos y Controles
6 pruebas para confirmar la adecuada
Una de las partes más importantes en la
•
Plan de Pruebas
comunicación.
planeación de la auditoría en informática es el
•
Realizar pruebas
7 prueba para determinar falta de seguridad.
personal que deberá participar, ya que se debe
Permite especificar la estructura bajo la cual se
8 pruebas para determinar problemas de
contar con un equipo seleccionado y con ciertas
agruparan las pruebas.
legalidad.
características que puedan ayudar a llevar la
auditoria de manera correcta y en el tiempo
Permite planificar y ejecutar pruebas relacionadas con los riesgos y controles definidos
2.2 Evaluación de los sistemas de acuerdo al
para esta auditoría.
riesgo. Aquí no se verá el número de persona que
Permite agregar, editar y borrar pruebas con independencia del Registro de Riesgos y
Riesgo
Permite registrar el resultado y el status de cada
deberán participar, ya que esto depende de las dimensiones de la organización, de los sistemas y
Controles.
estimado.
prueba (completadas, revisadas o aprobadas).
Proximidad o posibilidad de un daño, peligro,
de los equipos, lo que se deberá considerar son
etc.
exactamente las características que debe cumplir cada uno del personal que habrá de participar en
Una Librería de Áreas y una Librería de Pruebas
Cada uno de los imprevistos, hechos
pueden también ser mantenida para proveer
desafortunados, etc., que puede cubrir un
Áreas y Pruebas Standard para su selección en
seguro.
la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
cada auditoria. Las Áreas de Auditoria estructuran sus pruebas
Sinónimos: amenaza, contingencia, emergencia,
personal que intervenga esté debidamente
urgencia, apuro.
capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimización de
en programas de trabajo lógicos y pueden usarse para capturar información relacionada con los
Seguridad
recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
objetivos de cada programa de trabajo.
Cualidad o estado de seguro Con estas bases debemos considerar los
2.1.6 Pruebas sustantivas.
Garantía o conjunto de garantías que se da a
conocimientos, la práctica profesional y la
alguien sobre el cumplimiento de algo.
capacitación que debe tener el personal que intervendrá en la auditoria.
El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor
Ejemplo: Seguridad Social Conjunto de
emitir su juicio en las conclusiones acerca de
organismos, medios, medidas, etc., de la
También se deben contar con personas
cuándo pueden ocurrir pérdidas materiales
administración estatal para prevenir o remediar
asignadas por los usuarios para que en el
durante el proceso de la información.
los posibles riesgos, problemas y necesidades de
momento que se solicite información, o bien se
los trabajadores, como enfermedad, accidentes
efectúe alguna entrevista de comprobación de
Se pueden identificar 8 diferentes pruebas
laborales, incapacidad, maternidad o jubilación;
hipótesis, nos proporcionen aquello que se está
sustantivas:
se financia con aportaciones del Estado,
solicitando, y complementen el grupo
trabajadores y empresarios.
multidisciplinario, ya que debemos analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.
UNIDAD III Auditoria de la función informática. 3.1 Recopilación de la información organizacional. Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con información verdadera y a tiempo de lo que sucede en la organización bajo análisis, esta obtención de la información debe ser planeada en forma estructurada para garantizar una generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se planea la recolección de datos, se analiza, se retroalimentan y se da un seguimiento. La recolección de datos puede darse de varias maneras: • Cuestionarios • Entrevistas • Observación • Información documental (archivo) . Toda la información tiene un valor en sí misma, el método de obtención de información está directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los medios para llevar a cabo esa recolección de datos en tiempo y forma para su posterior análisis. 3.2 Evaluación de los recursos humanos
entrevistador, con el fin de tener más de un
que va a dar a los procedimientos de auditoría,
La auditoría de recursos humanos puede
punto de vista a la hora de elegir el candidato
por lo que el auditor para el cumplimiento de los
definirse como el análisis de las políticas y
final. Modalidades de la Entrevista Personal
objetivos deberá considerar lo siguiente:
prácticas de personal de una empresa y la
Estructurada (dirigida) El entrevistador dirige la
- Existencia de factores que aseguren un
evaluación de su funcionamiento actual, seguida
conversación y hace las preguntas al candidato
ambiente de control
de sugerencias para mejorar. El propósito
siguiendo
El
- Existencia de riesgo en la información
principal de la auditoria de recursos humanos es
entrevistador formulará las mismas preguntas a
financiera .Existencia de un sistema presupuestal
mostrar cómo está funcionado el programa,
todos los candidatos. Se recomienda contestar a
que
localizando prácticas y condiciones que son
las preguntas aportando aquella información que
clasificar,
perjudiciales para la empresa o que no están
se
No
cuantitativa de las operaciones basadas en flujos
justificando su costo, o prácticas y condiciones
estructurada (libre) El entrevistador te dará la
de efectivo y partidas devengadas .- Existencia
que deben incrementarse. La auditoría es un
iniciativa a ti, y deberás desenvolverte por tu
de procedimientos relativos a autorización,
sistema de revisión y control para informar a la
cuenta. El entrevistador podría empezar con la
procesamiento y clasificación de transacciones,
administración sobre la eficiencia y la eficacia del
pregunta: “Háblame de ti”, y luego seguir con
salvaguarda física de documentación soporte y
programa que lleva a cabo. El sistema de
preguntas generales, que surgen en función del
de verificación y evaluación, incluyendo los
administración de recursos humanos necesita
desarrollo
más
aplicables a la actualización de cifras y a los
patrones capaces de permitir una continua
aconsejable es empezar siguiendo el guión de tu
controles relativos al procesamiento electrónico
evaluación
su
historial profesional. También puedes preguntar
de datos. - Vigilancia sobre el establecimiento y
funcionamiento. Patrón en in criterio o un
si está interesado en conocer algo en particular.
mantenimiento de controles internos con objeto
modelo que se establece previamente para
Aprovecha para llevar la conversación a los
de identificar si están operando efectivamente y
permitir la comparación con los resultados o con
puntos fuertes que deseas destacar en relación
si deben ser modificados cuando existan cambios
los objetivos alcanzados. Por medio de la
con el puesto ofertado. Semi-estructurada
importantes.
comparación con el patrón pueden evaluarse los
(mixta). Es una combinación de las dos
evaluación del control interno en una revisión en
resultados obtenidos y verificar que ajustes y
anteriores. El entrevistador utilizará preguntas
una revisión de estados presupuestarios, el
correcciones deben realizarse en el sistema, con
directas para conseguir informaciones precisas
auditor
el fin de que funcione mejor.
sobre ti, y preguntas indirectas para sondearte
aspectos: a. Existencia de un presupuesto anual
3.3 Entrevistas con el personal de informática.
respecto a tus motivaciones. Intenta seguir un
autorizado b. Existencia e políticas, bases y
La entrevista es uno de los eslabones finales para
orden discursivo, sé conciso e intenta relacionar
lineamientos presupuestarios c. Existencia de un
conseguir la posición deseada. Desde el otro lado
tus respuestas y comentarios con las exigencias
sistema de registro presupuestario d. Existencia
del mostrador y habiendo entrevistado a 5.000
del puesto al que optas.
de un procedimiento de autorizaciones e.
profesionales en sistemas entre nuestro equipo
3.4 Situación presupuestal y financiera.
Procedimientos de registro, control y reporte
de selectores, te dejamos valiosos consejos en
El estudio y evaluación del control interno
presupuestario Obtener el estado analítico de
esta nota. Es un diálogo directo entre el
deberá efectuarse conforme a lo dispuesto en el
recursos
entrevistador y entrevistado. El entrevistador
boletín 3050 “Estudio y Evaluación del Control
presupuestario del gasto, tal como lo establecen
dirige la conversación e intenta obtener la
Interno”, emitido por la Comisión de Normas y
los Términos de Referencia para auditorías a
máxima información posible del candidato. Te
Procedimientos
Órganos-
preguntará por tu currículum, experiencias,
Mexicano de Contadores Públicos, A.C., éste
Paraestatales de la SFP, así como el flujo de
habilidades, aficiones e intentará ponerte en
servirá de base para determinar el grado de
efectivo que detalle el origen y el destino de los
situaciones reales para estudiar tus reacciones.
confianza que se depositará en él y le permita
egresos
En
determinar la naturaleza, alcance y oportunidad,
Presupuesto y Responsabilidad Hacendaria).
y
ocasiones
control
puede
sistemático
haber
más
de
de
un
pide,
un
con
de
cuestionario
claridad
la
de
y
o
guión.
brevedad.
conversación.
Auditoría
del
Lo
Instituto
permita
identificar,
registrar
Para
deberá
reunir,
y producir
efectos
de
considerar
presupuestarios
Desconcentrados
(Art.103
de
la
estudio
los
y
Ley
y
siguientes
el
y
analizar,
información
ejercicio
Entidades
Federal
de
UNIDAD IV Evaluación de la seguridad. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema Informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial” (1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 4.2 Seguridad lógica y confidencial.
componentes pueden ser eludidos por
ha considerado como una evaluación cuyo
delincuentes sofisticados en computación,
único fin es detectar errores y señalar
La seguridad lógica se encarga de los
por lo que no es conveniente depender de
fallas. A causa de esto, se ha tomado la
controles de acceso que están diseñados
esos paquetes por si solos para tener una
frase "Tiene Auditoría" como sinónimo de
para salvaguardar la integridad de la
seguridad adecuada
que, en dicha entidad, antes de realizarse la
información
.
auditoría, ya se habían detectado fallas.
almacenada
de
una
computadora, así como de controlar el mal
4.3 Seguridad personal.
uso de la información.
El concepto de auditoría es mucho más que
La seguridad lógica se encarga de controlar
A finales del siglo XX, los Sistemas
esto. Es un examen crítico que se realiza
y salvaguardar la información generada por
Informáticos se han constituido en las
con el fin de evaluar la eficacia y eficiencia
los sistemas, por el software de desarrollo y
herramientas
de una sección, un organismo, una entidad,
por los programas en aplicación.
materializar uno de los conceptos más
Identifica individualmente a cada usuario y
vitales
sus actividades en el sistema, y restringe el
organización empresarial, los Sistemas de
4.4 Clasificación de los controles de
acceso a datos, a los programas de uso
Información de la empresa.
seguridad.
y
más necesarios
poderosas para
para
etc.
cualquier
general, de uso específico, de las redes y •
terminales.
La Informática hoy, está subsumida en la
La falta de seguridad lógica o su violación
gestión integral de la empresa, y por eso las
Son aquellos que reducen la frecuencia con
puede traer las siguientes consecuencias a
normas
que
la organización:
informáticos deben estar, por lo tanto,
permitiendo cierto margen de violaciones.
Cambio de los datos antes o cuando se le
sometidos a los generales de la misma. En
Ejemplos:
da entrada a la computadora.
consecuencia,
organizaciones
salvaguardar las instalaciones
Copias de programas y /o información.
informáticas forman parte de lo que se ha
Sistemas de claves de acceso
Código oculto en un programa
denominado el "management" o gestión de
Entrada de virus
la empresa. Cabe aclarar que la Informática
Un método eficaz para proteger sistemas
no gestiona propiamente la empresa,
Son aquellos que no evitan que ocurran las
de computación es el software de control
ayuda a la toma de decisiones, pero no
causas del riesgo sino que los detecta luego
de acceso. Los paquetes de control de
decide por sí misma. Por ende, debido a su
de ocurridos. Son los más importantes para
acceso protegen contra el acceso no
importancia en el funcionamiento de una
el auditor. En cierta forma sirven para
autorizado, pues piden al usuario una
empresa, existe la Auditoría Informática.
evaluar la eficiencia de los controles
y
estándares
las
propiamente
contraseña antes de permitirle el acceso a
•
Controles Preventivos ocurren
El término de Auditoría se ha empleado
paquetes de control de acceso basados en
incorrectamente con frecuencia ya que se
Letrero
causas "No
del fumar"
riesgo, para
Controles detectives
preventivos.
información confidencial. Sin embargo, los
las
•
Ejemplo: Archivos y procesos que sirvan
decir, todo lo relativo a las aplicaciones de
Diseño de bases de datos.
como pistas de auditoría
gestión, sean producto de desarrollo
Es
Procedimientos de validación
interno de la empresa o bien sean
metodologías de diseño de datos. El equipo
paquetes
de analistas y diseñadores deben hacer uso
estándar
adquiridos
en
el
mercado.
Controles Correctivos
Desarrollo de software.
adecuada
e
.
la
satisfactoria. Documentación: existe, esta
ineficiente,
siendo
difícil
necesaria
utilización
de
cual debe estar en concordancia con la
las causas del riesgo. La corrección resultar
la
de una misma metodología de diseño, la
Ayudan a la investigación y corrección de puede
importante
Metodología:
existe,
arquitectura de la Base de Datos elegida se
aplica,
es
jerárquica, relacional, red, o bien orientada a objetos.
implantación de controles defectivos sobre
actualizada, es accesible.
los controles correctivos, debido a que la
. Estándares: se aplican, como y quien lo
Debe realizarse una estimación previa del
corrección de errores es en sí una actividad
controla. Involucración del usuario.
volumen necesario para el almacenamiento
altamente propensa a errores.
. Participación de personal externo.
de datos basada en distintos aspectos tales
. Control de calidad.
como el número mínimo y máximo de
4.5 Seguridad en los datos y software de
. Entornos real y de prueba.
registros de cada entidad del modelo de
aplicación.
. Control de cambios.
datos y las predicciones de crecimiento.
Adquisición de software estándar.
A partir de distintos factores como el
Este apartado aborda los aspectos asociados
al
componente
lógico
Metodología,
del
número de usuarios que accederá a la
sistema: programas y datos. Para ello, se
condiciones,
contratos,
información, la necesidad de compartir
distingue entre las medidas para restringir
capacitación, licencias, derechos, soporte
información y las estimaciones de volumen
y controlar el acceso a dichos recursos, los
técnico.
se deberá elegir el SGBD más adecuado a
procedimientos para asegurar la fiabilidad
Datos.
las necesidades de la empresa o proyecto
del software (tanto operativo como de
Los datos es decir, la información que se
en cuestión.
gestión) y los criterios a considerar para
procesa y se obtiene son la parte más
garantizar la integridad de la información.
importante de todo el sistema informático
En la fase de diseño de datos, deben
y su razón de ser. Un sistema informático
definirse los procedimientos de seguridad,
Control de acceso.
existe como tal desde el momento en que
confidencialidad
Sistemas de identificación, asignación y
es
aplicarán a los datos:
cambio de derechos de acceso, control de
información. Sin ésta, se reduciría a un
accesos,
conjunto de elementos lógicos sin ninguna
Procedimientos para recuperar los datos en
utilidad.
casos de caída del sistema o de corrupción
restricción
de
terminales,
desconexión de la sesión, limitación de
capaz
garantías,
pruebas,
de
tratar
y
suministrar
e
integridad
que
se
de los archivos.
reintento. En la actualidad la inmensa mayoría de Software de base.
sistemas tienen la información organizada
Procedimientos para prohibir el acceso no
Control de cambios y versiones, control de
en sendas Bases de Datos. Los criterios que
autorizado a los datos. Para ello deberán
uso de programas de utilidad, control de
se citan a continuación hacen referencia a
identificarlos.
uso
la seguridad de los Sistemas de Gestión de
de
recursos
y
medición
de
Bases de Datos (SGBD) que cumplan
Procedimientos para restringir el acceso no
normas ANSI, si bien muchos de ellos
autorizado a los datos. Debiendo identificar
Software de aplicación.
pueden ser aplicables a los archivos de
los distintos perfiles de usuario que
En este apartado se trata todo lo
datos convencionales.
accederán a los archivos de la aplicación y
'performance'.
concerniente al software de aplicación, es
los subconjuntos de información que
. Construcción de los procedimientos de
debería estar firmada por los responsables
podrán modificar o consultar.
restricción y control de acceso. Existen dos
de Explotación. Tampoco el alta de una
enfoques para este tipo de procedimientos:
nueva Aplicación podría producirse si no
Procedimientos
para
mantener
la
existieran los Procedimientos de Backup y
consistencia y corrección de la información
Confidencialidad basada en roles, que
en todo momento.
consiste en la definición de los perfiles de
Recuperación correspondientes.
usuario y las acciones que les son
3. Los Procedimientos Específicos
de
permitidas (lectura, actualización, alta,
Informáticos.
integridad: la de datos, que se refiere al
borrado, creación/eliminación de tablas,
tipo, longitud y rango aceptable en cada
modificación de la estructura de las tablas).
Básicamente
existen
dos
niveles
caso, y la lógica, que hace referencia a las
Igualmente, se revisara su existencia en las áreas fundamentales. Así, Explotación no
relaciones que deben existir entre las
4.6 Controles para evaluar software de
debería explotar una Aplicación sin haber
tablas y reglas del negocio.
aplicación.
exigido
a
Desarrollo
la
pertinente
documentación. Del mismo modo, deberá Debe designarse un Administrador de
Una vez conseguida la Operatividad de los
comprobarse
Datos, ya que es importante centralizar en
Sistemas, el segundo objetivo de la
Específicos
personas especializadas en el tema las
auditoría
Procedimientos Generales. En todos los
tareas de redacción de normas referentes
observancia de las normas teóricamente
casos
al gestor de datos utilizado, definición de
existentes
verificarse que no existe contradicción
estándares y nomenclatura, diseño de
Informática y su coherencia con las del
alguna
procedimientos de arranque, recuperación
resto de la empresa. Para ello, habrán de
Procedimientos Generales de la propia
de datos, asesoramiento al personal de
revisarse sucesivamente y en este orden:
empresa, a los que la Informática debe
es en
la el
verificación
de
departamento
la de
desarrollo entre algunos otros aspectos.
que no
se
anteriores, con
los
opongan
a
la
Procedimientos
su
vez,
Normativa
a
los
deberá y
los
estar sometida. 4.7 Controles para prevenir crímenes y 1. Las Normas Generales de la Instalación
Creación de bases de datos.
fraudes informáticos.
Informática.
Debe crearse un entorno de desarrollo con
En los años recientes las redes de
datos de prueba, de modo que las
Se realizará una revisión inicial sin estudiar
computadoras han crecido de manera
actividades del desarrollo no interfieran el
a fondo las contradicciones que pudieran
asombrosa. Hoy en día, el número de
entorno de explotación. Los datos de
existir, pero registrando las áreas que
usuarios que se comunican, hacen sus
prueba deben estar dimensionados de
carezcan de normativa, y sobre todo
compras, pagan sus cuentas, realizan
manera que permitan la realización de
verificando que esta Normativa General .
negocios y hasta consultan con sus médicos
pruebas
de
aplicaciones,
integración de
con
otras
Informática no está en contradicción con
online supera los 200 millones, comparado
rendimiento
con
alguna Norma General no informática de la
con 26 millones en 1995.
volúmenes altos.
empresa. A medida que se va ampliando la Internet,
En la fase de creación, deben desarrollarse
2. Los Procedimientos Generales
asimismo va aumentando el uso indebido
los
Informáticos.
de
procedimientos
de
seguridad,
confidencialidad e integridad definidos en
la
misma.
Los
denominados
delincuentes cibernéticos se pasean a su
la etapa de diseño:
Se verificará su existencia, al menos en los
aire por el mundo virtual, incurriendo en
. Construcción de los procedimientos de
sectores más importantes. Por ejemplo, la
delitos
copia y restauración de datos.
recepción definitiva de las máquinas
autorización o "piratería informática", el
tales
como
el
acceso
sin
fraude, el sabotaje informático, la trata de
computadoras
niños con fines pornográficos y el acecho.
originalmente
elegidas
computadora
a
al
azar;
que
desastre y que no tienen un plan de
pasaron
de
una
recuperación
otra
medio
por
ya
en
funcionamiento,
de
saldrán del negocio en dos o tres años.
Los delincuentes de la informática son tan
disquetes "infectados"; también se están
Mientras vaya en aumento la dependencia
diversos como sus delitos; puede tratarse
propagando últimamente por las redes, con
de la disponibilidad de los recursos
de estudiantes, terroristas o figuras del
frecuencia
informáticos, este porcentaje seguramente
crimen organizado. Estos delincuentes
electrónicos o en programas "descargados"
pueden pasar desapercibidos a través de
de la red.
camuflados
en
mensajes
las fronteras, ocultarse tras incontables
Por lo tanto, la capacidad para recuperarse
"enlaces" o simplemente desvanecerse sin
4.8
dejar ningún documento de rastro. Pueden
procedimientos
despachar
directamente
desastres.
comunicaciones
o
las
esconder
crecerá.
Plan
de
contingencia, de
seguros,
recuperación
de
exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan
pruebas
estratégico
de
seguridad
para
una
delictivas en "paraísos informáticos" - o
Medida que las empresas se han vuelto
sea, en países que carecen de leyes o
cada
experiencia para seguirles la pista -.
computadoras y las redes para manejar sus
4.9 Técnicas y herramientas relacionadas
actividades,
con la seguridad física y del personal.
vez
más la
dependientes disponibilidad
de de
organización.
las los
Según datos recientes del Servicio Secreto
sistemas informáticos se ha vuelto crucial.
de los Estados Unidos, se calcula que los
Actualmente, la mayoría de las empresas
SEGURIDAD FISICA
consumidores pierden unos 500 millones
necesitan un nivel alto de disponibilidad y
Es todo lo relacionado con la seguridad y
de dólares al año debido a los piratas que
algunas requieren incluso un nivel continuo
salvaguarda de los bienes tangibles de los
les roban de las cuentas online sus
de disponibilidad, ya que les resultaría
sistemas computacionales de la empresa,
números de tarjeta de crédito y de
extremadamente difícil funcionar sin los
tales como el hardware, periféricos, y
llamadas. Dichos números se pueden
recursos informáticos.
equipos
vender por jugosas sumas de dinero a falsificadores
que
eléctricas,
las
las
instalaciones
instalaciones
de
programas
Los procedimientos manuales, si es que
especiales para codificarlos en bandas
existen, sólo serían prácticos por un corto
magnéticas de tarjetas bancarias y de
periodo. En caso de un desastre, la
Igualmente todo lo relacionado con la
crédito, señala el Manual de la ONU.
interrupción prolongada de los servicios de
seguridad
computación puede llevar a pérdidas
construcciones, el mobiliario y equipo de
Otros delincuentes de la informática
financieras significativas, sobre todo si está
oficina, así como la protección a los accesos
pueden sabotear las computadoras para
implicada la responsabilidad de la gerencia
al centro de sistematización.
ganarles
sus
de informática. Lo más grave es que se
competidores o amenazar con daños a los
puede perder la credibilidad del público o
En sí, es todo lo relacionado con la
sistemas con el fin de cometer extorsión.
los clientes y, como consecuencia, la
seguridad, la prevención de riesgos y
Los malhechores manipulan los datos o las
empresa puede terminar en un fracaso
protección
operaciones,
total.
informáticos de la empresa.
ventaja
ya
utilizan
asociados,
económica
sea
a
directamente
o
mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los
En un estudio realizado por la Universidad
sistemas o borrar todos los datos del disco
de Minnesota, se ha demostrado que más
duro.
del 60% de las empresas que sufren un
Algunos
virus
dirigidos
contra
comunicación y de datos.
y
de
salvaguarda
los
recursos
de
las
físicos
UNIDAD V Auditoria de la seguridad en la teleinformática. 5.1 Generalidades de la seguridad en el área de la teleinformática . Comenzamos por introducir la historia y evolución de la teleinformática y de la manera en que fue desarrollándose, y a su vez, proporcionando un panorama general del tema.
Luego mencionamos de forma genérica los elementos que
integran un sistema teleinformática, desde un simple terminal hasta una red. Continuamos explicando las técnicas fundamentales de transmisión de datos, para comprender cómo viaja la información de un sistema a otro a través de los circuitos de telecomunicación. También, mencionamos las redes de área local ya que son muy importantes en lo que a la teleinformática respecta. Hicimos inca pié en la red Internet y su protocolo TCP/IP, y en los conceptos básicos sobre Programas de Comunicación y Gestión de Red. Analizamos los servicios de valor añadido como el Video tex, Ibercom o La Telefonía Móvil. Además, establecimos los últimos desarrollos y las tendencias de la teleinformática, desde las redes digitales hasta el proceso distribuido. Explicaremos claramente la importancia de la teleinformática y su desarrollo a través de la historia desde el comienzo ya que es uno de los factores que ha constituido y constituye un elemento fundamental para la evolución de la humanidad: la comunicación. En una comunicación se transmite información desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la información, el medio, que permite la transmisión, y el receptor, que recibe la información. La primera comunicación que existió entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompañados de sonidos. Posteriormente, comenzó la comunicación hablada a través de un determinado lenguaje, en el cuál cada palabra significaba algo y cada frase tenía un contenido informativo. Más tarde, el hombre tubo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen las señales de humo, destellos con espejos entre innumerables métodos de comunicación. Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia comenzó a ser cada vez más importante. La primera técnica utilizada surgió con la aparición del telégrafo y el código morse que permitieron comunicaciones a través de cables a unas distancias considerables. Posteriormente se desarrolló la técnica que dio origen al teléfono para la comunicación directa de la voz a larga distancia. Más tarde la radio y la transmisión de imágenes a través de la televisión habilitaron un gran número de técnicas y métodos que luego fueron muy importantes a lo que respecta a la comunicación. 5.2 Objetivos y criterios de la auditoria en
capacidad competitiva. Cuidar de esto
astrónomos compartimos plenamente una
el área de la teleinformática.
último significa difundir, apoyar y controlar
idea: el universo se expande. Así como
las nuevas y buenas prácticas. Así, haciendo
después del "big bang" un universo de
Así ante la continua aparición de nuevas
uso del benchmarking puede verificar y
planetas y estrellas comenzó y continúa
herramientas de gestión, la auditoría
promover las mejores prácticas para el
expandiéndose, de la misma forma el
interna se ve compelida a velar entre otras
mantenimiento
de
la
alta
mundo del Auditor Interno es cada vez más
cosas por la aplicación y buen uso de las
competitividad.
Ser
competitivo
es
amplio. Como nunca, probablemente hoy
mismas. Ello ciertamente implica un muy
continuar en la lucha por la subsistencia o
se enfrenta a uno de los cambios más
fuerte compromiso. Dijimos antes que la
continuidad de la empresa.
importantes en su profesión, debiendo
auditoría debía velar no sólo por los activos
Como brillantemente lo expresa Fernando
abordar aspectos relacionados con el
de la empresa sino además por su
Gaziano (Deloitte Chile), "los auditores y los
más
Gobierno Corporativo y los nuevos riesgos
accidentes atmosféricos;
contenido en
probabilidad de que ocurran los hechos o
a los que se enfrentan las organizaciones.
paquetes}, bolsos o carteras que se
mitiguen el impacto. Para evaluarlos hay
introducen o salen de los edificios; visitas,
que considerar el tipo de información
5.3 Síntomas de riesgo.
clientes,
contratados;
almacenada, procesada y transmitida, la
La Auditoría de la Seguridad
protección de los soportes magnéticos en
criticidad de las operaciones, la tecnología
Para muchos la seguridad sigue siendo el
cuanto
usada, el marco legal aplicable, el sector de
área principal a auditar, hasta el punto de
transporte.
la entidad, la entidad misma y el momento.
Control de accesos adecuado. Tanto físicos
Los
auditoría
como lógicos, que se realicen sólo las
(generalmente no pueden eliminarse),
informática para revisar la seguridad,
operaciones permitidas al usuario: lectura,
transferirse o asumirse.
aunque después se hayan ido ampliando
variación, ejecución, borrado y copia, y
los objetivos. Cada día es mayor la
quedando las pistas necesarias para el
5.4 Técnicas y herramientas de auditoría
importancia
información,
control y la auditoría. Uso de contraseñas,
relacionadas con la seguridad en la
especialmente relacionada con sistemas
cifrado de las mismas, situaciones de
teleinformática.
basados en el uso de tecnología de
bloqueo.
Introducir al estudiante en los aspectos
que
en
algunas
inicialmente
la
entidades función
de
la
de
se
creó
información y comunicaciones, por lo que
•
•
el impacto de las fallas, los accesos no autorizados,
la
revelación
de
la
proveedores, a
acceso,
almacenamiento
y
Protección de datos. Origen del dato,
pueden
disminuirse
técnicos, funcionales y organizacionales que
proceso, salida de los datos.
riesgos
componen
la
problemática
de
Comunicaciones y redes. Topología y tipo
seguridad en las redes teleinformáticas,
información, entre otros problemas, tienen
de comunicaciones, posible uso de cifrado,
ilustrando las operaciones, técnicas y
un impacto mucho mayor que hace algunos
protecciones
de
herramientas más usuales para garantizar
años.
transacciones.
de
privacidad, autenticación y seguridad.
•
ante
virus.
Tipos
Protección
conversaciones de voz en caso necesario, •
Los
controles
protección de transmisiones por fax para
fundamentos de la seguridad: políticas,
contenidos clasificados. Internet e Intranet,
Redes
planes, funciones, objetivos de control,
correo electrónico, control sobre páginas
. Definiciones
presupuesto, así como si existen sistemas y
web, así como el comercio electrónico.
. Generalidades
de
evaluación
Son
periódica
de
•
riesgos. •
El
desarrollo
Procedimientos,
de
las
posibles
políticas.
•
estándares,
Amenazas físicas externas. Inundaciones, incendios, explosiones, corte de líneas o suministros,
terremotos,
terrorismo,
El entorno de producción. Cumplimiento
. Intrusos
de contratos, outsourcing.
. Amenazas
El desarrollo de aplicaciones en un entorno
. Ataques
seguro, y que se incorporen controles en
normas y guías. •
Introducción General a la Seguridad en
los
métodos
directivos.
•
los productos desarrollados y que éstos
Planeación de la Seguridad
resulten auditables. Con el uso de licencias
. Análisis del sistema actual
(de los programas utilizados).
. Análisis de riesgos
La continuidad de las operaciones. Planes
. Definición de políticas de seguridad
de contingencia o de Continuidad.
. Implantación de la seguridad
computadoras portátiles (incluso fuera de
Evaluación de riesgos
Servicios de Seguridad
las
diseño,
Se trata de identificar riesgos, cuantificar su
. Modelo OSI para arquitecturas de
construcción y distribución de edificios;
probabilidad e impacto y analizar medidas
Seguridad
amenazas de fuego, riesgos por agua, por
que los eliminen o que disminuyan la
. Modelo TCP/IP
huelgas, etc., se considera: la ubicación del centro de procesos, de los servidores, PCs, oficinas);
estructura,
UNIDAD VI Informe de la auditoria informática. 6.1 Generalidades de la seguridad del área física. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. 6.2 Características del informe.
legislación vigente y, también, si dichas
Concepto
Objetivos, características y afirmaciones
cuentas han sido elaboradas teniendo en
Es el documento emitido por el Auditor
que contiene el informe de auditoría
cuenta
como resultado final de su examen y/o
el
principio
contable
de
uniformidad.
evaluación, incluye información suficiente
Asimismo, expresa si las cuentas anuales
sobre
como objetivo expresar una opinión técnica
reflejan,
hechos
de las cuentas anuales en los aspectos
significativos, la imagen fiel del patrimonio,
Recomendaciones
significativos o importantes, sobre si éstas
de la situación financiera, de los resultados
superar las debilidades en cuanto a
muestran la imagen fiel del patrimonio, de
y de los recursos obtenidos y aplicados.
políticas, procedimientos, cumplimiento de
Se opina también sobre la concordancia de
actividades y otras.
El informe de auditoría financiera tiene
la situación financiera y del resultado de
en
todos
los
aspectos
significativos,
así
como
constructivos
para
la información contable del informe de
obtenidos y aplicados durante el ejercicio.
gestión con la contenida en las cuentas
Importancia
anuales.
El Informe de Auditoría, reviste gran
En su caso, explica las desviaciones que
Importancia,
1. Es un documento mercantil o público.
presentan los estados financieros con
administración de la empresa, información
2. Muestra el alcance del trabajo.
respecto
sustancial sobre su proceso administrativo,
3. Contiene la opinión del auditor.
preestablecidos.
a
unos
estándares
4. Se realiza conforme a un marco legal.
como
una
porque
forma
suministra
de
a
contribuir
la
al
cumplimiento de sus metas y objetivos 6.3 Estructura del informe.
Conclusiones de
sus operaciones, así como de los recursos
Características del informe de auditoría:
Observaciones,
programados.
Principales afirmaciones que contiene el
Concluido el Trabajo de Campo, el auditor
informe:
tendrá como responsabilidad la confección
El Informe a través de sus observaciones,
Indica el alcance del trabajo y si ha sido
del
conclusiones
posible llevarlo a cabo y de acuerdo con
Informe de Auditoría como un producto
constituye el mejor medio para que las
qué normas de auditoría.
final de este trabajo. El informe contendrá
organizaciones puedan apreciar la forma
Expresa si las cuentas anuales contienen la
el mensaje del Auditor sobre lo que ha
como
información necesaria y suficiente y han
hecho y como lo ha realizado, así como los
oportunidades puede ocurrir que, debido a
sido
resultados obtenidos.
un descuido en su preparación, se pierde la
formuladas
de
acuerdo
con
la
están
y
recomendaciones,
operando.
En
algunas
oportunidad de hacer conocer a la empresa
una
cabal
comprensión
de
lo
que
lo que realmente desea o necesita conocer
realmente quiere comunicar, asimismo
1. Título y código del proyecto
para optimizar su administración, a pesar
cuando el Informe está falto de claridad,
2. Nombre del investigador principal y de la
de que se haya emitido un voluminoso
puede dar lugar a una doble interpretación,
Facultad,
informe, pero inadvertidamente puede
ocasionando de este modo que, se torne
pertenece
estar falto de sustentación y fundamento
inútil y pierda su utilidad. En consecuencia,
3. Fecha de entrega del Informe
adecuado; en consecuencia su contenido
para que el informe logre su objetivo de
4. Sinopsis divulgativa: Con el propósito de
puede ser pobre; con esto queremos hacer
informar o comunicar al cliente, el Auditor:
promover la divulgación de las actividades
resaltar el hecho de que, el Informe debe
I. CONTENIDO DEL INFORME TÉCNICO
Centro
o
Instituto
al
que
investigativas que adelanta la Sede Bogotá
comunicar información útil para promover
. Evitará el uso de un lenguaje técnico,
y para dar mayor difusión a los proyectos,
la toma de decisiones. Lamentablemente
florido o vago.
deben incluir un resumen de una cuartilla
esto no se logrará si el informe revela
. Evitará ser muy breve.
que servirá de base para la elaboración de
pobreza de expresión y no se aportan
. Evitará incluir mucho detalle.
notas académicas dirigidas a los medios de
comentarios constructivos.
. Utilizará palabras simples, familiares al
comunicación de la Universidad.
lector, es decir, escribirá en el idioma que
5. Resumen técnico de los resultados
el lector entiende.
obtenidos
Redacción del Informe La Redacción se efectuará en forma
durante
la
realización
del
proyecto y de las principales conclusiones
corriente a fin de que su contenido sea
6.4 Formato para el informe.
(máximo cinco páginas).
comprensible al lector, evitando en lo
El formato para informes finales está
6. Cuadro de resultados obtenidos: De
posible el uso de terminología muy
enfocado a apoyar y facilitar el proceso de
acuerdo a los objetivos y resultados
especializada; evitando párrafos largos y
evaluación de los resultados de los
esperados planteados en el proyecto
complicados,
proyectos financiados por la sede Bogotá,
aprobado,
grandilocuentes y confusas.
con respecto a los compromisos adquiridos
obtenidos
durante
La Redacción del Informe debe merecer
en el proyecto aprobado. Además de
proyecto,
los
mucha atención cuidado de parte del
reportar sobre el cumplimiento de los
soportados por sus respectivos indicadores
auditor para que tenga la acogida y
objetivos y el impacto logrado a partir del
verificables:
aceptación que los empresarios esperan de
uso
registros,
él, en este sentido el
esperados
Informe debe:
investigación científica.
capacitación,
. Despertar o motivar interés.
• Los informes finales técnico y financiero,
participación en eventos científicos, etc.,
. Convencer mediante información sencilla,
deben ser entregados a la Dirección de
estos deben numerarse y adjuntarse como
veraz y objetiva.
Investigación de la sede, al finalizar el
anexos del informe (ver cuadro No. 1).
periodo de ejecución del proyecto.
7. Descripción del impacto actual o
2. Requisitos del informe
•
aprobado
potencial de los resultados: En términos de
Claridad y simplicidad.
previamente por el respectivo Consejo
generación de nuevo conocimiento a nivel
Directivo de cada
mundial, de aporte para el desarrollo del
introducir sin mayor dificultad en la mente
Facultad, Centro o Instituto.
país, de contribución a la solución de
del lector del informe, lo que el Auditor ha
• El informe debe contener un índice. Cada
problemas específicos, de fortalecimiento
escrito o pensó escribir. A veces lo que
página del informe debe estar numerada.
de
ocasiona la deficiencia de claridad y
• Cada anexo debe estar numerado
fortalecimiento
simplicidad del informe es precisamente la
haciendo referencia a lo anotado en los
creación en la Sede Bogotá (máximo dos
falta de claridad en los conceptos que el
cuadros de resultados.
páginas).
La
Claridad
así
y
como
Simplicidad,
expresiones
significan
Auditor tiene en mente, es decir, no hay
y
El
obtención y
de
informe
de
los
las
actividades
debe
ser
resultados de
relacione
los
la
cuales
resultados
realización deben
publicaciones, normas,
del estar
patentes,
certificaciones,
memorias, formación de recurso humano,
la
organización
capacidad
8. Conclusiones
de
científica,
y/o
y
la investigación
de y
.